A finales de 2016 Google empezó a hablar públicamente de una nueva versión de reCAPTCHA que prometía eliminar la fricción del clic y, en muchos casos, hasta el incómodo «selecciona los semáforos». El anuncio formal de Invisible reCAPTCHA llegó pocos meses después, el 7 de marzo de 2017, y supuso un cambio importante en cómo se verificaba al usuario en formularios web. Diez años después conviene revisar qué ha pasado con esta tecnología, qué controversias la rodean y por qué la propia IA ya puede resolver CAPTCHAs mejor que muchos humanos.
Cómo funcionaba (y funciona) Invisible reCAPTCHA
El planteamiento era romper con la versión anterior, conocida como «no CAPTCHA reCAPTCHA» (lanzada en 2014), que pedía marcar una casilla «no soy un robot». La versión invisible analiza señales del navegador en segundo plano: cookies, historial de navegación, comportamiento del cursor, tiempos entre pulsaciones, IP y características del cliente HTTP. Si Google considera al usuario de bajo riesgo, el formulario simplemente se envía sin pedir nada. Si sospecha, devuelve un reto visual al estilo clásico (semáforos, escaparates, autobuses).
Para los desarrolladores, el cambio era menor: la integración funcionaba con un script de Google que se incrustaba en el sitio y se vinculaba con un botón de envío. Para el usuario, el resultado era una experiencia mucho menos invasiva en la mayoría de los casos.
El antecedente directo, «no CAPTCHA reCAPTCHA» de 2014, ya marcaba el camino: aquella versión introdujo por primera vez el análisis de comportamiento del navegador antes incluso del clic en la casilla. Invisible reCAPTCHA llevó esa lógica al extremo y eliminó la casilla en la mayoría de las interacciones de bajo riesgo, lo que reducía fricción y, por tanto, mejoraba tasas de conversión en formularios.
El siguiente paso: reCAPTCHA v3
En 2018 Google dio un paso más allá con reCAPTCHA v3. Aquí desaparecía cualquier rastro visible (incluso el reto visual residual): el sistema asignaba a cada interacción una puntuación de 0,0 a 1,0, donde 1,0 indicaba alta confianza de que el usuario es humano. El desarrollador del sitio decidía qué hacer en cada umbral, desde permitir la acción tal cual hasta exigir verificación adicional, MFA u otro paso. Eso trasladaba parte del problema al equipo del sitio, que tenía que afinar umbrales con datos reales.
La pega: para que el sistema funcione bien, Google necesita ver al usuario en muchos sitios y compilar un perfil de comportamiento, lo que ha levantado críticas serias en términos de privacidad. Más detalles a continuación.
Las críticas de privacidad
El propio modelo de funcionamiento exige que reCAPTCHA recoja huellas de navegador, cookies persistentes, IP y patrones de interacción. Eso ha generado choques regulatorios: en julio de 2020, la CNIL francesa concluyó que reCAPTCHA no era plenamente compatible con el RGPD por la cantidad de datos que envía a Google sin consentimiento explícito. Numerosos análisis técnicos han mostrado que usuarios con extensiones de privacidad, VPN o navegadores como Firefox reciben con más frecuencia retos visuales y, además, retos más difíciles, lo que en la práctica penaliza al que se preocupa por su privacidad.
Esa controversia ha empujado el ecosistema hacia alternativas: Cloudflare Turnstile, hCaptcha y Friendly Captcha son las opciones que más se citan en 2025-2026, todas con planteamientos más respetuosos con la privacidad y, en el caso europeo, mejor encaje con RGPD por defecto.
Actualización a 1 de mayo de 2026
El paisaje en 2026 está bastante movido. Por un lado, reCAPTCHA sigue siendo el sistema antifraude más extendido del mundo y se ha convertido en producto comercial de Google Cloud (reCAPTCHA Enterprise). Por otro lado, la IA generativa ha demostrado ser capaz de resolver retos visuales con una eficacia inquietante: cubrimos cómo la IA puede resolver reCAPTCHA como un humano y, ya en 2025, lo extendimos a casos donde ChatGPT supera a usuarios reales en pruebas de imagen. Esto ha empujado a Google a apoyarse cada vez más en señales de comportamiento y menos en retos visuales. En paralelo, Cloudflare Turnstile ha ganado tracción en sitios profesionales que buscan reducir dependencia de Google y mejorar privacidad por defecto. Si gestionas un sitio web hoy, conviene comparar opciones antes de implementar reCAPTCHA por inercia.
Mi valoración
Llevo cubriendo seguridad web desde 2013 y reCAPTCHA es uno de los productos que más rápido pasaron de «mejora notable» a «compromiso problemático». El paso de v1 a Invisible reCAPTCHA fue una mejora real para el usuario; el paso a v3, con todo el peso del scoring en datos de comportamiento, lo convirtió en un mecanismo de fingerprinting con ropa de seguridad. Eso ha hecho que muchos proyectos europeos (y en general orientados a privacidad) hayan migrado a hCaptcha o Turnstile.
Si lanzas un proyecto en 2026, recomendaría no ir directamente a reCAPTCHA. Cloudflare Turnstile es una opción razonable si ya usas Cloudflare; Friendly Captcha es la más fuerte para casos europeos puros. reCAPTCHA Enterprise tiene sentido en aplicaciones que ya están en Google Cloud y necesitan capacidades antifraude avanzadas (filtrado por puntuación, integraciones empresariales), pero conviene haber leído el aviso de privacidad y el RGPD antes.
Preguntas frecuentes
¿Cuándo se lanzó oficialmente Invisible reCAPTCHA?
El 7 de marzo de 2017, según el blog oficial de Google y la documentación pública del producto. La versión anterior con casilla («no CAPTCHA reCAPTCHA») había llegado en 2014. La iteración siguiente, reCAPTCHA v3 con sistema de puntuación, llegó en 2018.
¿Es reCAPTCHA compatible con el RGPD europeo?
Es un tema controvertido. La CNIL francesa concluyó en julio de 2020 que el uso de reCAPTCHA, tal como Google lo enviaba por defecto, no cumplía plenamente con el RGPD por la cantidad de datos transmitidos sin consentimiento explícito. Para garantizar cumplimiento, en proyectos europeos suele recomendarse usar alternativas como Friendly Captcha o pedir consentimiento explícito antes de cargar el script.
¿Hay alternativas serias a reCAPTCHA en 2026?
Sí. Cloudflare Turnstile (gratis para clientes Cloudflare), hCaptcha (con opción de monetización por resolver retos) y Friendly Captcha (puzzle criptográfico invisible, sin tracking, ideal para RGPD) son las tres más citadas. La elección depende del nivel de tráfico, del marco legal aplicable y de qué proveedor cloud uses.