Definición
reCAPTCHA v3 es la tercera iteración mayor del servicio CAPTCHA de Google, lanzada en octubre de 2018. A diferencia de sus predecesores —que pedían marcar una casilla o resolver acertijos de imágenes— la v3 es totalmente pasiva. Corre silenciosa en el background del navegador, observando las interacciones del usuario en la página, y produce una puntuación numérica de riesgo que el dueño del sitio usa para decidir cómo manejar la sesión. Una puntuación de 1.0 representa alta confianza de que el visitante es humano; 0.0 indica tráfico casi seguramente automatizado.
El sistema construye sobre la infraestructura de reCAPTCHA v2 pero quita la fricción de los desafíos explícitos. La meta declarada de Google fue eliminar la interacción “No soy un robot” para la gran mayoría de los usuarios legítimos, reduciendo el abandono de carrito y de formularios mientras mantiene o mejora la cobertura de detección de bots.
Cómo funciona reCAPTCHA v3
reCAPTCHA v3 opera a través de una librería JavaScript cargada desde https://www.google.com/recaptcha/api.js. Una vez cargada, comienza a recolectar pasivamente una huella conductual de la sesión actual. Las señales recogidas incluyen trayectorias de movimiento del mouse, comportamiento de scroll, patrones de timing entre pulsaciones, secuencia de interacciones DOM, antigüedad y actividad de la cookie de cuenta de Google del navegador (si está presente), y características de red de la conexión originadora.
Cuando el dueño del sitio quiere evaluar una acción concreta —por ejemplo, un envío de formulario o un clic en botón de votar— invoca grecaptcha.execute(siteKey, {action: 'vote'}). Eso dispara la infraestructura de análisis de riesgo de Google para computar una puntuación de la sesión y devolver al navegador un token firmado (un JSON Web Token). El token se envía junto a los datos del formulario.
Del lado servidor, la aplicación receptora envía el token al endpoint de verificación de Google en https://www.google.com/recaptcha/api/siteverify, junto con la clave secreta del sitio. La respuesta de Google incluye la puntuación numérica, un timestamp, el nombre de la acción y una confirmación de hostname. El desarrollador fija un umbral —comúnmente 0.5— bajo el cual los envíos se bloquean, se marcan para revisión adicional o se envían a un challenge secundario como reCAPTCHA v2.
reCAPTCHA Enterprise, el tier pago disponible vía Google Cloud, extiende la v3 con señales adicionales, explicaciones de puntuación desglosadas por factor, features de account defender y garantías SLA.
Dónde aparece
reCAPTCHA v3 se despliega en una amplia gama de propiedades web donde la verificación sin fricción es prioridad. Las plataformas de concurso y sweepstakes la integran en el endpoint de envío de voto y en el formulario de registro de cuenta. Las plataformas de e-commerce la usan en el checkout para frenar credential-stuffing. Las publicaciones de noticias la usan en endpoints de envío de comentarios. Las empresas de servicios financieros la aplican en flujos de reset de contraseña y transferencia de fondos. Las plataformas de venta de tickets la usan para frenar bots scalper en lanzamientos de alta demanda.
Como la v3 es invisible, su presencia en una página no es evidente para usuarios casuales: solo los desarrolladores examinando el source o monitoreando tráfico de red notarán las llamadas a la API recaptcha.
Ejemplos prácticos
Un concurso regional de fotografía hospedado en un microsite a medida integra reCAPTCHA v3 en su endpoint de voto. Cada envío dispara una llamada grecaptcha.execute. Los envíos por debajo de 0.3 se descartan silenciosamente; los de entre 0.3 y 0.5 se loguean para revisión por lote al cierre; los superiores a 0.5 se registran de inmediato. El operador revisa los envíos retenidos y descalifica los que comparten huellas de dispositivo o se originan en rangos IP concentrados.
Una ONG nacional corre una competencia de subvenciones donde los votos públicos definen una porción de la asignación de fondos. La plataforma usa reCAPTCHA v3 combinada con confirmación por correo. La puntuación CAPTCHA se guarda con cada registro de voto, lo que permite al administrador retumbralizar los datos al cierre del concurso, ajustando efectivamente la sensibilidad de rechazo de bots de manera retroactiva con base en la distribución observada.
Un programa universitario de premios al estudiante despliega reCAPTCHA Enterprise para aprovechar las explicaciones de puntuación. El log de auditoría muestra que un pico de votos de baja puntuación en una nominación se originó en una sola subred, y el conteo de la entrada se ajusta antes de anunciar a los ganadores.
Conceptos relacionados
reCAPTCHA v3 convive con generaciones CAPTCHA anteriores en el mismo ecosistema de detección. La entrada base de reCAPTCHA cubre la mecánica de v1 y v2 en detalle. hCaptcha y Cloudflare Turnstile son sistemas competidores que ofrecen distintos trade-offs en privacidad, tipo de desafío y dependencia de proveedor. Biometría conductual describe la categoría más amplia de medición pasiva de interacción que subyace al enfoque de scoring de reCAPTCHA v3.
Limitaciones / advertencias
reCAPTCHA v3 delega la decisión de umbral de riesgo totalmente al operador del sitio, lo que crea inconsistencia entre despliegues. Un sitio que setea su umbral en 0.3 acepta sustancialmente más tráfico bot que uno seteado en 0.7. Google no publica las señales o pesos específicos detrás de la puntuación, lo que vuelve imposible la auditoría independiente. Además, como el sistema se apoya en parte en la telemetría de cuenta de Google, los usuarios que no están logueados a Google —o que usan navegadores que bloquean cookies de Google— pueden recibir puntuaciones más bajas de lo que su comportamiento merecería, disparando posibles falsos positivos para votantes legítimos.
