Qué es el nuevo reCAPTCHA de Google y por qué puede fallar en móviles sin Google Play

Última actualización: 13/05/2026

  • Google reCAPTCHA evoluciona hacia v3 y Enterprise, centrado en puntuaciones de riesgo e integración con Google Cloud.
  • La migración obligatoria a proyectos de Cloud y los nuevos límites del nivel gratuito introducen costes y mayor complejidad.
  • Desde 2026, el rol de Google pasa a procesador de datos, lo que desplaza la responsabilidad legal al propietario del sitio.
google recaptcha

Cualquiera que tenga un formulario de contacto, un login o cualquier zona de tu web donde un usuario pueda enviar datos, casi seguro que en algún momento ha recurrido a Google reCAPTCHA para frenar el spam y los bots. Esa famosa casilla de «No soy un robot» o el pequeño icono flotante en la esquina se han convertido en un clásico de Internet. Ahora este sisema se perfecciona con la llegada del nuevo reCAPTCHA de Google.

Los continuos cambios a nivel técnico, económico y legal han llevado a Google a esto. Hay nuevas versiones, integración con Google Cloud, límites de uso, cambios en la responsabilidad sobre los datos y, para rematar, la obligación de adaptar textos legales y aspectos visuales de tus formularios. Aquí lo repasamos todo con calma.

Qué es exactamente Google reCAPTCHA y cómo ha evolucionado

 

Google reCAPTCHA es un servicio de seguridad que analiza el comportamiento de los visitantes para separar humanos de tráfico automatizado. Nació como una evolución de los viejos CAPTCHA de texto borroso y, con los años, ha ido incorporando análisis de riesgos, puntuaciones y desafíos visuales cada vez más sofisticados.

Cuando integras reCAPTCHA en tu sitio, lo haces mediante claves (site key y clave secreta) asociadas a tu dominio. A partir de ahí, Google observa cómo interactúan los usuarios con tu web (movimientos de ratón, tiempos de permanencia, clics, etc.) y genera una evaluación de riesgo para cada solicitud que envía un formulario, inicia sesión o realiza una acción sensible.

A lo largo del tiempo, Google ha lanzado varias variantes pensadas para equilibrar seguridad, usabilidad y precisión:

  • reCAPTCHA v2: la famosa casilla «No soy un robot», que a veces dispara un reto de imágenes (semáforos, pasos de peatones, etc.).
  • reCAPTCHA v3: elimina los desafíos manuales y devuelve una puntuación de 0.0 a 1.0 que indica la probabilidad de que la interacción sea legítima.
  • Invisible reCAPTCHA (v2 invisible): se ejecuta sin mostrar una casilla visible; solo lanza un desafío cuando detecta actividad sospechosa.
  • reCAPTCHA Enterprise: versión empresarial, con funciones avanzadas de análisis de fraude, protección de cuentas y, ahora, integrada de lleno en Google Cloud.

La versión clásica reCAPTCHA v1 ya se retiró hace tiempo, y el foco actual de Google está en v3 y en reCAPTCHA Enterprise, con la mirada puesta en el análisis de riesgo continuo más que en hacer sufrir al usuario con acertijos visuales.

nuevo reCAPTCHA de Google

Los tipos de reCAPTCHA que existen hoy y cómo funcionan

Para aclarar el mapa, conviene distinguir bien los tipos de reCAPTCHA que todavía se pueden encontrar activos en webs y aplicaciones:

1. reCAPTCHA v3: puntuación sin fricción
Con v3, el usuario no ve retos; simplemente se ejecuta en segundo plano y asigna una puntuación a cada petición. Un valor de 1.0 indica que casi seguro es un humano «bueno» y 0.0 que huele a bot por los cuatro costados.

Esta puntuación se obtiene analizando el comportamiento en tu sitio, y tú decides qué hacer según el umbral que definas. Por ejemplo, con puntuaciones bajas puedes forzar un 2FA, un correo de verificación o limitar ciertas acciones en lugar de bloquear a lo bruto.

reCAPTCHA v3 se puede ejecutar en múltiples acciones dentro de una misma página (registro, login, compra, publicación de contenido, etc.) y no interrumpe el flujo del usuario, algo clave para no dañar la conversión.

2. reCAPTCHA v2 «No soy un robot» (casilla de verificación)
Es el modelo clásico: una casilla que el usuario marca y, si el sistema duda, lanza un desafío de imágenes o texto. Aunque muy extendido, Google reconoce que este tipo de clave:

  • Aumenta la fricción para el usuario.
  • No mejora tanto la precisión como cabría esperar frente a métodos más silenciosos.
Contenido exclusivo - Clic Aquí  Vecinos europeos encuentran formas ingeniosas para frenar el turismo con Google Maps

Por eso, Google ya no recomienda usar las claves de casilla de verificación para nuevos proyectos, salvo escenarios muy concretos.

3. reCAPTCHA v2 invisible
Funciona como v2, pero sin mostrar la casilla. Se activa al hacer clic en un botón o mediante JavaScript. Solo muestra un reto si el tráfico parece sospechoso. Es una especie de punto intermedio entre la casilla visible y la experiencia completamente silenciosa de v3.

4. reCAPTCHA para Android
Pensado para integrarse con apps Android mediante sus APIs nativas, evalúa las interacciones dentro de la app en lugar de en un navegador tradicional.

Acciones, respuestas y verificación en el backend

Una de las grandes novedades de v3 es el concepto de acciones (actions). Cada vez que ejecutas reCAPTCHA, puedes especificar un nombre de acción (por ejemplo, login, checkout, comment) que:

Permite que la consola te muestre un desglose detallado de tus diez acciones principales y sus niveles de riesgo, y ayuda a que el sistema aplique análisis de riesgo adaptativo según el contexto (no es lo mismo un comentario que un intento de pago).

Es muy importante que, al validar la respuesta en tu servidor, compruebes que el campo action coincide con lo que esperas. Así evitas que un token emitido para una acción se reutilice maliciosamente en otra.

La respuesta JSON de verificación incluye campos clave como:

  • success: si el token es válido para tu sitio.
  • score: puntuación entre 0.0 y 1.0.
  • action: nombre de la acción.
  • challenge_ts: marca de tiempo del desafío.
  • hostname: dominio donde se ejecutó la verificación.
  • error-codes: lista opcional de errores.

Algunas recomendaciones técnicas extra que da Google son:

  • Usar grecaptcha.ready() para evitar condiciones de carrera con api.js.
  • Cargar la biblioteca de reCAPTCHA antes de cualquier llamada a grecaptcha o usar un callback de onload como en la API v2.
  • Cargar la API con el parámetro trustedtypes=true si quieres compatibilidad con Trusted Types en navegadores modernos.

Google Cloud Skills Boost

Creación y gestión de claves de reCAPTCHA en Google Cloud

Con la integración cada vez más estrecha en Google Cloud, la forma de crear y administrar claves de reCAPTCHA ha dado un salto. Puedes hacerlo desde la consola clásica de administración, desde la consola de Google Cloud, mediante la CLI gcloud o vía REST.

Recomendaciones generales antes de crear claves
Google aconseja crear una clave distinta por cada sitio web y separar entornos:

  • Una clave para producción.
  • Otra para staging o entorno de pruebas, para no contaminar el análisis de riesgos con tráfico de test.

No hay límite de número de claves por proyecto de Google Cloud, así que puedes organizarte con bastante flexibilidad.

Crear claves desde la Consola del administrador de reCAPTCHA
Desde la interfaz clásica puedes:

  1. Entrar en la Consola del administrador de reCAPTCHA.
  2. Asignar una etiqueta identificativa a la clave (el nombre de tu sitio, por ejemplo).
  3. Elegir si la clave será basada en puntuación (v3) o de desafío (v2).
  4. Añadir uno o varios dominios (hasta 250) donde se podrá usar la clave.
  5. Aceptar las condiciones de Google Cloud la primera vez y enviar.

Si no tienes todavía un proyecto en Google Cloud, el sistema te crea uno y habilita automáticamente las APIs necesarias. Si ya tienes proyecto, simplemente activa lo que falte.

Crear claves desde la consola de Google Cloud
En la consola de Cloud, el flujo es similar, pero con más opciones avanzadas:

  • Verificas que estás en el proyecto correcto.
  • Pulsas en Crear clave y defines un nombre visible.
  • Seleccionas tipo de aplicación web, lo que abre la sección de dominios.
  • Decides si quieres tener verificación de dominio activada (lo recomendable) para evitar que cualquiera use tu clave.
  • Añades dominios y, si hace falta, permites que funcione con páginas AMP.
  • Para entornos de prueba, puedes fijar una puntuación de retorno fija cuando se creen evaluaciones, útil para simular casos.
Contenido exclusivo - Clic Aquí  Qué hacer si Google Meet activa la cámara aunque entras con ella desactivada

Si tu caso de uso exige más de 250 dominios, se puede desactivar la verificación de dominio, pero eso implica que deberás controlar tú mismo el hostname a través del campo tokenProperties.hostname en las evaluaciones, con el riesgo de seguridad que eso conlleva.

Claves de casilla de verificación y basadas en políticas
Aunque Google no las recomienda ya para la mayoría de escenarios, sigue permitiendo crear:

  • Claves de casilla de verificación (checkbox), donde puedes ajustar la seguridad del desafío (Fácil, Difícil) y el tipo de reto (Auto, No CAPTCHA, desafío irresoluble para pruebas).
  • Claves de desafío basadas en políticas, en las que defines umbrales de puntuación globales y por acción que determinan cuándo se dispara un CAPTCHA.

En las claves de desafío basadas en políticas, solo verás en las evaluaciones la puntuación final posterior a cualquier reto; la puntuación inicial se compara internamente con el umbral para decidir si mostrar o no el desafío.

Gestión por CLI y API REST
Si trabajas en entornos más técnicos, también puedes crear claves con:

  • gcloud recaptcha keys create indicando el tipo de integración (score, checkbox, policy-based-challenge), el nombre visible y los dominios autorizados.
  • API REST, enviando un POST a recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys con un cuerpo JSON que incluya displayName, allowedDomains e integrationType.

Ten en cuenta que no puedes migrar una clave de reCAPTCHA de un proyecto de Google Cloud a otro, y que una vez borrada una clave no se puede recuperar. Sí puedes editarla mientras exista.

Claves secretas heredadas para integraciones antiguas
Para integraciones con aplicaciones de terceros que aún no usan la API de reCAPTCHA Enterprise, Google genera una clave secreta heredada asociada a cada clave de sitio. Puedes consultarla en la consola de Cloud, en la página de detalles de la clave, pestaña Integración, opción «Usar clave heredada».

No es buena idea exponer esa clave secreta heredada en el frontend, porque sería visible para usuarios y atacantes, facilitando abusos contra tu aplicación.

Cambios de Google reCAPTCHA en 2025: migración a Cloud y nuevos precios

Más allá de lo técnico, Google está dando un giro de negocio importante: reCAPTCHA pasa a estar mucho más ligado a Google Cloud y a un modelo de precios estructurado. Esto afecta especialmente a propietarios de sitios en WordPress y a cualquiera que utilice formularios de volumen medio o alto.

Qué cambia a finales de 2025
Google ha anunciado que, hacia finales de 2025, se producirán varios cambios clave:

  • Migración obligatoria a proyectos de Google Cloud: todas las claves de reCAPTCHA deberán estar asociadas a un proyecto en la nube.
  • Nuevos límites y precios: el nivel gratuito se limitará a unas 10.000 evaluaciones mensuales; a partir de ahí, empezarás a pagar.
  • Funciones avanzadas solo en planes de pago: herramientas de detección de fraude, protección de cuentas y capacidades Enterprise quedarán restringidas a clientes de Google Cloud de pago.
  • Riesgo de inactividad: si no migras tu configuración, reCAPTCHA puede dejar de funcionar y tus formularios podrían fallar.

No es que reCAPTCHA vaya a desaparecer, pero sí se convierte en un servicio gestionado en la nube con más pasos administrativos, más seguimiento y posibles costes adicionales, especialmente para sitios con mucho tráfico.

Por qué muchos sitios se plantean abandonar reCAPTCHA
Incluso antes de estos cambios, reCAPTCHA ya arrastraba mala fama por la fricción de sus desafíos (la eterna duda de si ese borde de semáforo cuenta o no) y por las dudas de privacidad. Con la nueva migración a Cloud y la limitación del nivel gratuito, muchos propietarios de webs se plantean soluciones más ligeras, rápidas y privadas.

La pregunta que muchos se hacen es simple: ¿merece la pena pelearse con proyectos de Google Cloud, facturación y RGPD si hay alternativas igual de efectivas sin coste directo y sin puzzles?

nuevo google recaptcha

Cambios legales de reCAPTCHA de cara a 2026: RGPD y responsabilidad de datos

Además del plano técnico y económico, hay un ángulo crítico: el legal. A partir del 2 de abril de 2026, Google cambia su rol en la protección de datos vinculada a reCAPTCHA en Europa, lo que impacta de lleno en cómo debes informar a tus usuarios.

Contenido exclusivo - Clic Aquí  Cómo proteger tu cuenta de Google con verificación en dos pasos (actualizado 2025)

De «Controlador» a «Procesador» de datos
Hasta ahora, Google actuaba como Controlador de datos en el contexto de reCAPTCHA: decidía qué hacer con los datos recogidos, con bastante margen para usar esa información en la mejora de sus servicios.

A partir de abril de 2026, pasa a ser Procesador de datos. En la práctica, significa que:

  • Tú, como dueño de la web, pasas a ser el Responsable único del tratamiento de los datos recopilados vía reCAPTCHA.
  • Google solo procesará la información en tu nombre, bajo tus instrucciones.

Esto te da, en teoría, más control sobre el tratamiento de datos, pero también implica más responsabilidad legal a ojos del RGPD y de cualquier autoridad de protección de datos.

Acción obligatoria: eliminar las menciones a la política de Google
Google ha sido muy claro en su aviso: si tu sitio muestra actualmente la típica frase de «This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply», tienes que eliminar esa referencia.

El motivo es que, al dejar de ser Google el Controlador, ya no se aplican sus términos de uso finales al usuario de la misma forma. Mantener ese texto puede inducir a error y entrar en conflicto con el marco legal actual.

Qué debes hacer en tu web WordPress
En la práctica, los pasos recomendables son:

  1. Revisar todos tus formularios: comprueba si aparece la frase de Google o el distintivo con enlaces a su política.
  2. Ocultar el badge o editar el texto: muchos plugins (Contact Form 7, Elementor Pro, etc.) insertan el texto automáticamente. Puedes:
  • Ajustar la configuración del plugin para desactivar o personalizar el aviso.
  • Usar CSS como .grecaptcha-badge { visibility: hidden; } para ocultar el distintivo flotante, teniendo en cuenta que, si lo haces, deberías informar en tu propia política de que utilizas un servicio antispam de Google.

Actualizar tu política de privacidad
Como Responsable del tratamiento, tu política de privacidad debe reflejar que:

  • Usas Google reCAPTCHA como medida de seguridad y anti-spam.
  • Google actúa como encargado del tratamiento, no como responsable.
  • Indicas de forma clara qué datos se recogen, con qué base legal y durante cuánto tiempo.

En paralelo, no está de más revisar también otros aspectos de accesibilidad y experiencia de usuario, especialmente con la entrada en vigor de la Ley Europea de Accesibilidad de 2025, que empuja a tener formularios más claros, contrastados y usables para todo el mundo.

¿Por qué puede fallar en móviles sin Google Play?

Google reCAPTCHA depende en parte de servicios de Google que muchos móviles no tienen. Nos encontramos eso en móviles Huawei sin Google Play, pero también en modelos de otras marcas. O si se usan navegadores como Firefox con seguridad endurecida.

La clave es que el reCAPTCHA moderno es algo más que simplemente el método de “marcar casilla”, Ahora el sistema analiza cookies, la huella del navegador, los servicios Google, el comportamiento, la IP, JavaScript e incluso las APIs del dispositivo

De esta manera, en móviles sin Google Play, nos podemos encontrar con estas situaciones:

  • El captcha no carga.
  • Detecta “tráfico sospechoso”.
  • Entra en bucle.
  • Aparece el mensaje de “verificación fallida”.
  • Bloquea formularios.

¿Qué se puede hacer para evitarlo? Las soluciones pueden ser variadas y dependen de cada caso. Por ejemplo, a veces es suficiente con activar JavaScript y cookies. También es útil desactivar la VPN temporalmente o instalar microG.

Al final, el nuevo reCAPTCHA de Google y sus cambios asociados te obligan a tomar partido: puedes seguir dentro del ecosistema de Google Cloud, asumir sus límites de servicio, la complejidad añadida y las responsabilidades legales reforzadas; o bien apostar por alternativas más ligeras y centradas en la privacidad que, en muchos casos, ofrecen una experiencia más amable a tus visitantes y menos dolores de cabeza a ti como administrador de la web.