Saltar al contenido principal

reCAPTCHA

reCAPTCHA es un servicio gratuito de CAPTCHA operado por Google que utiliza algoritmos de análisis de riesgo y, en sus versiones más recientes, señales de comportamiento totalmente invisibles para distinguir a usuarios humanos de bots automatizados.

¿Qué es reCAPTCHA?

reCAPTCHA es un sistema de seguridad de tipo desafío-respuesta originalmente desarrollado en Carnegie Mellon University y adquirido por Google en 2009. Su propósito principal es bloquear programas automatizados —comúnmente llamados bots— para que no envíen formularios, creen cuentas o emitan votos en aplicaciones web, sin generar fricción para los usuarios humanos legítimos.

Mecanismo técnico

Google ha lanzado tres versiones mayores de reCAPTCHA, cada una reduciendo de manera progresiva la fricción visible para los usuarios legítimos.

reCAPTCHA v1 presentaba el clásico rompecabezas de texto distorsionado que obligaba a descifrar caracteres deformados. Aunque eficaz al inicio, este enfoque terminó siendo derrotado por reconocimiento de imágenes con machine learning.

reCAPTCHA v2 introdujo la ya conocida casilla “No soy un robot”. Detrás de ese único clic, el motor de riesgo de Google analiza una huella de señales de comportamiento: trayectoria del mouse, patrón temporal de las pulsaciones de teclado previas al clic, atributos del dispositivo y navegador, e historial previo de navegación asociado a las cookies de Google del usuario. Las sesiones sospechosas reciben un desafío secundario de selección de imágenes (por ejemplo, “selecciona todos los semáforos”).

reCAPTCHA v3, la versión actual recomendada por Google, es totalmente invisible. Corre en segundo plano de manera continua y devuelve un valor flotante entre 0.0 (muy probable bot) y 1.0 (muy probable humano). El dueño del sitio decide qué umbral activa un bloqueo, un desafío secundario o una verificación adicional. Para sesiones de alta confianza nunca se requiere interacción del usuario.

¿Cuándo se utiliza reCAPTCHA?

Las plataformas de concurso y voto despliegan reCAPTCHA en el endpoint de envío de voto, en el formulario de registro de cuenta y, a veces, en la página de inicio de sesión. La integración requiere colocar un pequeño snippet de JavaScript proveniente de google.com/recaptcha/api.js en la página y validar el token resultante del lado del servidor enviándolo a https://www.google.com/recaptcha/api/siteverify junto con la clave secreta del sitio. La respuesta del servidor contiene el veredicto pasa/falla y, en v3, la puntuación numérica de riesgo.

Cómo interactúan los votos con reCAPTCHA

Cuando un visitante hace clic en el botón de votar dentro de un concurso protegido por reCAPTCHA, el widget recoge silenciosamente una instantánea conductual y la envía a la infraestructura global de análisis de riesgo de Google. El token de respuesta (un JWT firmado) se adjunta al envío del voto. El backend del concurso llama a la API de verificación de Google antes de registrar el voto. Un bot que no pueda producir un token válido y fresco —o produzca un token con baja puntuación v3— ve su voto rechazado en silencio o marcado para revisión.

Por eso, los servicios de compra de votos deben obtener tokens válidos de reCAPTCHA para poder enviar votos exitosamente. Google actualiza sus modelos de detección de manera continua, lo que significa que enfoques que funcionaron meses antes pueden dejar de servir en cuanto el motor de riesgo se reentrena.

Particularidades del proveedor Google

reCAPTCHA opera bajo la infraestructura y los términos de servicio de Google. Los sistemas de Google ingieren historial de navegación y telemetría conductual ligada a cuentas de Google para mejorar la precisión en la detección de bots. Los dueños de sitios registran su dominio en https://www.google.com/recaptcha/admin para recibir un par de clave de sitio y clave secreta. Los clientes empresariales pueden acceder a reCAPTCHA Enterprise dentro de Google Cloud, que ofrece señales adicionales, explicaciones granulares de la puntuación y garantías de uptime con SLA.

Usos legítimos

Más allá del voto en concursos, reCAPTCHA se despliega en páginas de checkout de e-commerce para frenar credential-stuffing, en formularios de comentarios para bloquear spam, en flujos de restablecimiento de contraseña para frenar tomas de cuenta automatizadas y en plataformas de venta de tickets para impedir que bots de scalpers compren todo el inventario de un evento en milisegundos tras la apertura.

Ángulo de prevención de fraude

Desde la mirada antifraude, el modelo de scoring continuo de reCAPTCHA v3 es especialmente valioso para los operadores de concurso porque permite aplicar puntuación de riesgo a cada vista de página, no solo al momento del envío del voto. Patrones anómalos —como cientos de votos originados en la misma subred en segundos, o sesiones sin historial previo de navegación— pueden ser marcados de manera retrospectiva, habilitando la invalidación masiva de votos sin afectar la experiencia de los participantes genuinos.

Más guías de CAPTCHA

5máscaptchaartículos · guías prácticas, análisis profundos, casos de estudio. La selección rota.

Todos captcha artículos (5) → Ver todo 60 artículos
Victor Williams — founder of Buyvotescontest.com
Victor Williams
En línea · respuesta en 5 min

Hola — pásame la URL del concurso y te paso precio en una hora. Aún sin tarjeta.

💬 Abrir chat en vivo ️ Chat en Telegram 📋 Hacer pedido o email a [email protected]