reCAPTCHA v2 vs v3: Diferencias clave que todo desarrollador debe conocer

TL;DR

• reCAPTCHA v2 desafía a los usuarios con acertijos visibles (casilla de verificación o cuadrículas de imágenes); v3 funciona en segundo plano y devuelve una puntuación de riesgo.
• La diferencia principal entre reCAPTCHA v2 y v3 es la fricción del usuario: v2 interrumpe el flujo del usuario, v3 no lo hace.
• Las puntuaciones de v3 van de 0,0 (probablemente un robot) a 1,0 (probablemente humano) — su servidor decide qué hacer con esa puntuación.
• v2 es más fácil de implementar y depurar; v3 requiere manejo de puntuaciones en el lado del servidor y ajuste de umbrales.
• Ninguna de las versiones es universalmente "mejor" — la elección correcta depende del nivel de riesgo de su sitio y de los requisitos de experiencia de usuario (UX).
• Los flujos automatizados que interactúan con cualquiera de estas versiones pueden usar la API de CapSolver para manejar desafíos CAPTCHA de forma programática.

Introducción

Si alguna vez ha construido un formulario web, una página de inicio de sesión o un flujo de compra, casi con certeza ha encontrado reCAPTCHA. El reCAPTCHA de Google es el sistema CAPTCHA más ampliamente utilizado en Internet, protegiendo a millones de sitios contra abusos automatizados. Pero la diferencia entre reCAPTCHA v2 y v3 es más que un número de versión — los dos sistemas funcionan según principios fundamentalmente diferentes, sirven objetivos de experiencia de usuario (UX) distintos y requieren estrategias de implementación diferentes.

Este artículo explica en términos técnicos claros la comparación entre reCAPTCHA v2 y v3: qué hace cada versión, cómo funciona en segundo plano, cuándo usar una sobre la otra y qué necesitan entender los desarrolladores que construyen automatizaciones o pipelines de datos sobre ambos.

¿Qué es reCAPTCHA? Un breve antecedente

reCAPTCHA es un servicio gratuito de Google diseñado para distinguir usuarios humanos de bots automatizados. Fue adquirido originalmente de la Universidad Carnegie Mellon en 2009 y ha tenido varias iteraciones importantes desde entonces.

Según la documentación oficial de reCAPTCHA de Google, las versiones activas actuales son v2 (con dos subtipos) y v3, cada una buscando un equilibrio diferente entre seguridad y experiencia de usuario. Una cuarta categoría — reCAPTCHA Enterprise — se basa en v3 con señales de riesgo adicionales y está orientada a implementaciones a gran escala comerciales.

Entender la diferencia entre reCAPTCHA v2 y v3 comienza con entender qué problema fue diseñada para resolver cada versión.

reCAPTCHA v2: Desafíos visibles, verificación directa

reCAPTCHA v2 es la versión más reconocida por los usuarios. Presenta un desafío explícito que debe completarse antes de que se pueda enviar un formulario.

Cómo funciona reCAPTCHA v2

Cuando un usuario llega a una página protegida por reCAPTCHA v2, el widget se carga y analiza señales pasivas: movimiento del mouse, historial de navegación, cookies. Si el sistema está seguro de que el usuario es humano, lo puede pasar automáticamente. Si no, presenta un desafío.

Hay dos subtipos de reCAPTCHA v2:

1. Casilla de verificación ("No soy un robot")
El usuario hace clic en una casilla. Si las señales pasivas son insuficientes, aparece un desafío de cuadrícula de imágenes (por ejemplo, "selecciona todos los semáforos"). Esta es la forma más reconocible de reCAPTCHA v2.

2. reCAPTCHA v2 invisible
No se muestra ninguna casilla. El desafío se activa automáticamente cuando el usuario envía un formulario. Si la puntuación de riesgo es demasiado baja, aparece un desafío visual. Esta variante reduce la fricción mientras mantiene el mecanismo de desafío de v2.

Características clave de reCAPTCHA v2

El token generado por un desafío exitoso de v2 se envía a su servidor y se verifica mediante la API siteverify de Google. La respuesta es binaria: válida o inválida. No hay puntuación.

reCAPTCHA v3: Puntuación silenciosa, sin interrupción del usuario

reCAPTCHA v3 toma un enfoque completamente diferente. Nunca muestra un desafío al usuario. En su lugar, funciona continuamente en segundo plano, recopilando señales de comportamiento y devolviendo una puntuación de riesgo entre 0,0 y 1,0.

Cómo funciona reCAPTCHA v3

Incorpore el script de reCAPTCHA v3 en cada página que desee monitorear. El script recopila señales: patrones de interacción, tiempos, huellas dactilares del dispositivo y, cuando llama a grecaptcha.execute(), devuelve un token. Su servidor envía ese token al endpoint siteverify de Google y recibe una respuesta JSON que incluye:

• Una puntuación (0,0–1,0)
• Una etiqueta de acción (que usted define, por ejemplo, inicio de sesión, compra)
• Un nombre de host y una hora

Según la documentación de reCAPTCHA v3 de Google, una puntuación de 0,5 es el umbral recomendado por defecto, pero Google afirma explícitamente que debe ajustarlo según sus datos de tráfico.

Qué significa la puntuación

La puntuación no es un veredicto de aprobación o rechazo. Es una señal de riesgo. Su aplicación decide qué hacer:

• Puntuación ≥ 0,7: Probablemente humano — permitir la acción
• Puntuación 0,3–0,7: Incierta — considerar autenticación de paso superior (OTP por correo electrónico, SMS)
• Puntuación < 0,3: Probablemente automatizado — bloquear o marcar para revisión

Esta flexibilidad es poderosa, pero también significa que reCAPTCHA v3 requiere más lógica del lado del servidor que v2.

reCAPTCHA v2 vs v3: Comparación directa

Aquí está una comparación estructurada de las dos versiones en las dimensiones que más importan para las decisiones de implementación.

La diferencia principal entre reCAPTCHA v2 y v3 radica en dónde se toma la decisión. En v2, Google toma la decisión y presenta un desafío si es necesario. En v3, Google proporciona una señal y su aplicación toma la decisión.

Cuándo usar reCAPTCHA v2

reCAPTCHA v2 es la elección correcta cuando:

• Necesita una puerta clara y auditable de aprobación/rechazo (por ejemplo, registro de cuenta, restablecimiento de contraseña)
• Su base de usuarios está cómoda con desafíos ocasionales
• Quiere lógica mínima del lado del servidor
• Protege una acción de alto valor en lugar de monitorear el comportamiento del sitio en su totalidad
• Necesita un mecanismo de respaldo para usuarios que fallen en la puntuación v3

La variante de casilla es especialmente adecuada para formularios donde el usuario ya se detiene para completar campos. La fricción adicional de un desafío CAPTCHA es menos disruptiva en ese contexto.

Cuándo usar reCAPTCHA v3

reCAPTCHA v3 es la elección correcta cuando:

• La experiencia de usuario es prioritaria y no puede permitirse interrumpir el flujo
• Quiere monitorear el riesgo en múltiples páginas o acciones simultáneamente
• Tiene la infraestructura del lado del servidor para manejar decisiones basadas en puntuaciones
• Quiere recopilar datos de riesgo antes de decidir una respuesta (por ejemplo, sombra-baneo vs bloqueo estricto)
• Está construyendo un modelo de seguridad progresivo donde los usuarios de bajo riesgo obtienen una experiencia sin fricción

Muchos sistemas en producción usan reCAPTCHA v3 como primera capa y recurren a reCAPTCHA v2 cuando la puntuación está por debajo de un umbral. Este enfoque híbrido es explícitamente recomendado en la FAQ de reCAPTCHA de Google.

Errores comunes en la implementación

Entender reCAPTCHA v2 vs v3 también significa conocer dónde los desarrolladores cometen errores.

Error 1: Usar un umbral fijo de v3 sin ajustarlo
La puntuación predeterminada de Google de 0,5 es un punto de partida, no una regla universal. Sitios con patrones de tráfico inusuales (por ejemplo, uso intensivo de móviles, audiencias internacionales) pueden necesitar ajustes significativos.

Error 2: Tratar v3 como reemplazo directo de v2
Resuelven problemas diferentes. Reemplazar v2 con v3 en un formulario de alto riesgo sin agregar manejo de puntuación del lado del servidor crea una brecha de seguridad.

Error 3: No verificar la etiqueta de acción
Los tokens de reCAPTCHA v3 incluyen el nombre de la acción que usted definió. Si no verifica que la acción coincida con lo que espera, un token generado en una página podría reutilizarse en otra.

Error 4: Almacenar o reutilizar tokens
Los tokens de v2 y v3 son de uso único y expiran después de dos minutos. Reutilizar un token siempre fallará en la verificación.

reCAPTCHA en flujos automatizados: Lo que deben saber los desarrolladores

Los desarrolladores que construyen scrapers web, suites de pruebas automatizadas, pipelines de RPA o herramientas de recolección de datos encuentran con frecuencia reCAPTCHA v2 y v3 en sitios objetivo. Ambas versiones están diseñadas para detectar patrones de interacción no humanos, lo que significa que marcos de automatización estándar a menudo activan desafíos o reciben puntuaciones bajas en v3.

Para casos legítimos de automatización — como pruebas automatizadas de su propia aplicación web, scraping web para investigación de mercado o seguimiento de posicionamiento SEO — CapSolver ofrece una API programática que maneja la generación de tokens tanto para reCAPTCHA v2 como v3.

CapSolver utiliza reconocimiento basado en IA para devolver tokens válidos que pueden enviarse al endpoint de verificación del sitio objetivo. Esto es especialmente útil cuando necesita resolver desafíos reCAPTCHA v2 o manejar requisitos de puntuación de reCAPTCHA v3 dentro de un pipeline automatizado.

Una integración básica con la API de CapSolver para reCAPTCHA v2 se ve así (ejemplo en Python de la documentación oficial de CapSolver):

import capsolver

capsolver.api_key = "SU_CLAVE_DE_API"

solution = capsolver.solve({
    "type": "ReCaptchaV2Task",
    "websiteURL": "https://ejemplo.com",
    "websiteKey": "SU_CLAVE_DE_SITIO",
})

print(solution["gRecaptchaResponse"])

Para reCAPTCHA v3, el tipo de tarea cambia a ReCaptchaV3Task y usted proporciona el parámetro pageAction para coincidir con la acción definida en la página objetivo. Siempre asegúrese de que su caso de uso de automatización cumpla con los términos de servicio del sitio objetivo y las regulaciones de datos aplicables.

Reciba su código de bonificación de CapSolver

Aumente su presupuesto de automatización instantáneamente!
Use el código de bonificación CAP26 al recargar su cuenta de CapSolver para obtener un 5% adicional de bonificación en cada recarga — sin límites.
Recójalo ahora en su Panel de CapSolver

reCAPTCHA v2 vs v3: ¿Cuál es más seguro?

Esta es una pregunta común, y la respuesta es matizada.

reCAPTCHA v2 proporciona una barrera más dura: un bot debe resolver un desafío visual o de audio para continuar. Esto es más resistente a ataques automatizados simples. Sin embargo, también es más disruptivo para usuarios legítimos y puede resolverse mediante servicios especializados.

reCAPTCHA v3 proporciona una cobertura más amplia: monitorea el comportamiento durante toda la sesión, no solo en un punto de envío de formulario. Un bot sofisticado que pase un desafío v2 una vez está hecho; un bot operando en un sitio protegido por v3 debe mantener un comportamiento humano continuamente.

En la práctica, investigadores de seguridad encontraron en USENIX Security 2023 que sistemas de CAPTCHA basados en comportamiento como v3 son más efectivos contra ataques automatizados a gran escala cuando se ajustan correctamente, pero más vulnerables a ataques dirigidos que imitan patrones de comportamiento humano.

Las implementaciones más robustas usan ambas: v3 para monitoreo pasivo y v2 como desafío de paso superior cuando la puntuación cae por debajo de un umbral aceptable.

Conclusión

La diferencia entre reCAPTCHA v2 y v3 no radica en qué versión es más nueva o mejor — radica en qué modelo se adapta a su arquitectura de seguridad. reCAPTCHA v2 le da una puerta binaria clara con desafíos visibles para el usuario. reCAPTCHA v3 le da una señal de riesgo continua sin interrupciones del usuario, pero requiere un manejo más sofisticado del lado del servidor.

Para la mayoría de las aplicaciones en producción, la respuesta no es reCAPTCHA v2 vs v3, sino reCAPTCHA v2 y v3 trabajando juntos. Use v3 para monitorear y puntuar, y recorra a v2 cuando la señal de riesgo exija un desafío más estricto.

Si está construyendo herramientas de automatización que necesitan interactuar con cualquiera de estas versiones — para pruebas, recolección de datos o automatización de flujos de trabajo — la API de CapSolver admite ambos tipos de tarea de reCAPTCHA v2 y v3 con tiempos de respuesta rápidos e integración sencilla. Puede explorar la documentación completa en capsolver.com.

Preguntas frecuentes

P1: ¿Puedo usar reCAPTCHA v3 sin ningún mecanismo de respaldo?
Sí, pero no se recomienda para acciones de alto riesgo. Sin un mecanismo de respaldo, los usuarios que reciban una puntuación baja serán bloqueados o marcados en silencio, sin forma de probar que son humanos. Un respaldo de v2 da a usuarios legítimos un camino adelante.

P2: ¿reCAPTCHA v3 ralentiza mi sitio web?
El script de reCAPTCHA v3 agrega un pequeño amount de JavaScript a cada página en la que se carga. Google reporta que el tamaño del script es aproximadamente 35 KB. Para la mayoría de los sitios, el impacto en el rendimiento es insignificante, pero vale la pena medirlo en páginas donde el tiempo de carga es crítico.

P3: ¿Cuál es la diferencia entre reCAPTCHA v2 invisible y reCAPTCHA v3?
Ambos evitan mostrar un desafío a menos que sea necesario, pero funcionan de manera diferente. reCAPTCHA v2 invisible aún usa el mecanismo de desafío de v2 — mostrará una cuadrícula de imágenes si las señales pasivas son insuficientes. reCAPTCHA v3 nunca muestra un desafío; solo devuelve una puntuación. La decisión sobre qué hacer con una puntuación baja es completamente responsabilidad de su aplicación.

P4: ¿Cómo elijo el umbral adecuado de puntuación v3?
Comience con el umbral recomendado por Google de 0,5, luego analice sus datos de tráfico durante 1–2 semanas. Mire la distribución de puntuaciones para usuarios conocidos (cuentas iniciadas sesión, verificadas) versus tráfico anónimo. Ajuste el umbral para minimizar falsos positivos para su base de usuarios específica.

P5: ¿reCAPTCHA v3 es compatible con el RGPD?
reCAPTCHA v3 recopila datos de comportamiento y los envía a los servidores de Google, lo que plantea consideraciones de privacidad de datos bajo el RGPD. Deberías divulgar el uso de reCAPTCHA en tu política de privacidad y, según tu jurisdicción, es posible que debas obtener el consentimiento del usuario antes de cargar el script. Consulta a tu equipo legal para obtener orientación específica para tu implementación.