Por qué los CAPTCHA están por desaparecer: cómo la IA redefinió la prueba de “no soy un robot” | Blog oficial de Kaspersky

Los CAPTCHA, como los conocemos, aparecieron en nuestras pantallas hace ya veintiséis años. Han evolucionado bastante con el tiempo, pero siempre siguieron la misma idea central: presentar una pequeña tarea que se puede resolver en dos segundos si el usuario es un humano, pero no si es una computadora. 

Los primeros CAPTCHA usaban textos distorsionados, problemas matemáticos y breves mensajes grabados. La era de buscar semáforos, motocicletas e hidrantes para incendios llegó después. Fue una fase que creímos duraría para siempre. Pero ahora se sabe que los LLM modernos resuelven estos acertijos visuales mucho más rápido y con mayor precisión que cualquier humano.

Veamos cómo han cambiado las pruebas de “Demuestra que no eres un robot” y analicemos el impacto de los cambios en tu seguridad.

El fin de una era: despídete de hacer clic en recuadros

Google lanzó reCAPTCHA en 2007. Ocho años después, agregaron una prueba en la que los usuarios debían seleccionar todas las imágenes que respondieran a una consigna en particular. Sin notarlo, millones de usuarios de Internet se convirtieron en expertos en identificar semáforos, bicicletas, techos, puentes e hidrantes. Para sorpresa de nadie, los bots con inteligencia artificial aprendieron hace ya tiempo a descifrar estos acertijos.

Así, en junio de 2026, Google comenzó a probar una nueva forma de verificar si alguien es humano. Ahora, en lugar de mostrarles las imágenes de siempre, a algunos usuarios se les pide que graben un video breve que los muestre haciendo gestos con las manos. Las imágenes se analizan con algoritmos que rastrean veintiún puntos clave en las articulaciones de las manos y los dedos. Al analizar cómo se mueve la mano, el sistema puede determinar si el usuario es un humano o un bot. Para superar este nuevo tipo de CAPTCHA, se debe brindar acceso a la cámara, lo cual es una gran señal de alerta para quien se preocupe por la seguridad y la privacidad. Además, como lo demostró un grupo de investigadores en seguridad, este nuevo CAPTCHA “gesticular” y experimental de Google tiene falencias y se lo puede engañar solo con usar la foto de una mano.

Con esto y todo, Google insiste en que los videos no contienen audio y nunca se vinculan a la identidad del usuario. En su política de seguridad, Google también establece que eliminan los datos recabados apenas se completa la verificación. Como siempre, todo depende de si confías en Google o no. En lo que a nosotros respecta, solo nos gustaría sugerirte que leas nuestra publicación sobre si es seguro tomarte una selfie con tu documento de identidad. Allí vemos exactamente cuáles son los riesgos que conlleva la verificación biométrica y usamos las fotos de un pasaporte como ejemplo.

¿Cuáles son las alternativas a reCAPTCHA?

El sistema reCAPTCHA de Google es aún el rey indiscutido del bloqueo de bots, pero la IA está obligando al mundo a adaptarse. Así, los CAPTCHA tradicionales se están volviendo cosa del pasado. Hagamos un breve repaso de los servicios alternativos y de los métodos para bloquear bots desde la perspectiva de la seguridad.

Sistemas de análisis del comportamiento

Para proteger un sitio web contra los enjambres de bots, uno de los métodos más avanzadas consiste en usar un sistema de análisis del comportamiento. Estos sistemas analizan los movimientos del mouse, los patrones de clics y las huellas digitales de cada visitante para evaluarlo automáticamente y detectar comportamientos humanos. Por desgracia, incluso esta estrategia no es una panacea contra los bots: sus operadores pueden entrenarlos para imitar patrones de comportamiento naturales y eludir fácilmente (y repetidamente) esta clase de defensa.

No son buenas nuevas para la privacidad de los usuarios. Al fin y al cabo, nadie quiere que cada sitio web recopile las especificaciones de sus dispositivos y siga sus acciones. Dicho esto, tampoco se puede decir que estos sitios hagan vigilancia, no al menos en un sentido estricto. La mayoría de estos sistemas no buscan descubrir quién es realmente el usuario, y sus creadores prometen no almacenar los datos recabados ni usarlos con fines publicitarios. El objetivo principal es, verdaderamente, descubrir quién aterrizó en una página: un humano o un bot.

Turnstile y hCaptcha

Otro competidor importante de reCAPTCHA es Turnstile, de Cloudflare. Tiene dos métodos de verificación: uno que opera completamente en segundo plano y otro que requiere uan mínima acción del usuario. En otras palabras, o no tienes que hacer nada de nada, o tienes que marcar una casilla que dice “No soy un robot”. Para los usuarios, el principal riesgo de este sistema está en la ingeniería social. Los piratas informáticos suelen usar sistemas CAPTCHA que parecen de verdad en sus sitios fraudulentos. Cuando ven un servicio así, los usuarios se relajan indebidamente, y los análisis de seguridad no marcan las páginas como maliciosas.

También está hCaptcha, un servicio que pone el foco en la seguridad y que, a diferencia de reCAPTCHA y de Turnstile, no pertenece a un gigante tecnológico. 

Claves de acceso

En líneas generales, todos los métodos y servicios que mencionamos hasta ahora siguen el mismo plan: recopilan tus datos, a veces los almacenan y en ocasiones los usan para otros fines. La novedad es que ahora requieren menos de ti. No necesitan que te pongas a buscar bicicletas ni que agites en cámara las manos. Pero los CAPTCHA no son una realidad inevitable: los sitios web pueden obviarlos por completo al permitir el uso de claves de acceso.

Cuando se usan claves de acceso, el usuario no inicia sesión con una contraseña: en su lugar, utiliza claves criptográficas que se activan por medio de un PIN o de datos biométricos. Con ello, en general, se vuelve innecesario realizar una verificación extra para demostrar que se es humano. Si quieres saber qué son exactamente las claves de acceso, dónde funcionan y cómo se usan, puedes leer nuestra publicación de 2025 sobre esta tecnología. Si lo que buscas es almacenar tus claves de acceso y asegurarte de que funcionen sin problemas en todos tus dispositivos, nuestro administrador de contraseñas es la solución ideal.

Por desgracia, las claves de acceso no permiten mantenerse en el anonimato y navegar sin crear una cuenta. No pueden, por ende, reemplazar a los CAPTCHA por completo, pero sí le simplifican la vida a la gran mayoría de los usuarios.

Cómo proteger tu privacidad

Para el usuario, el método antibots que utilice un sitio web es casi irrelevante. Digamos la verdad: es improbable que cierres una página meramente porque utilice reCAPTCHA o un sistema de análisis del comportamiento. Además, si la página usa un sistema que opere sigilosamente en segundo plano, no sabrás siquiera qué tipo de datos ha recopilado sobre ti y tu dispositivo. Pero esto no significa que tu privacidad sea una causa perdida.

Nuestra aplicaciones Kaspersky Standard, Kaspersky Plus y Kaspersky Premium para Windows y macOS incluyen Navegación privada. Esta función impide que los sitios web de terceros sigan en tiempo real lo que haces en Internet. Para resguardar tu privacidad móvil, puedes confiar en la función Privacidad en redes sociales (para Android y iOS). Y si tienes un dispositivo con Android versiones 9 en adelante, también puedes disfrutar de la función Quién me está espiando (disponible en regiones específicas). Es una herramienta que detecta stalkerware, busca etiquetas de seguimiento ocultas y revisa los permisos para apps que facilitan la tarea de espiarte.

Antes de terminar, queremos decir que nuestro administrador de contraseñas te cubrirá las espaldas si un sitio fraudulento usa un CAPTCHA real para parecer legítimo. En casos así, Kaspersky Password Manager se negará a autocompletar tu nombre de usuario y contraseña. Te dejamos con unos últimos consejos para resguardar la privacidad de tus datos:

  • No ingreses tus datos en un sitio solo porque está protegido por un CAPTCHA. Desde hace tiempo, los estafadores utilizan versiones reales de reCAPTCHA, hCaptcha y Turnstile en páginas fraudulentas para generar confianza. 
  • Utiliza claves de acceso siempre que puedas. Estas claves no funcionan en sitios de phishing y reducen en gran medida el riesgo de que recopilen tus datos y tus patrones de comportamiento. 

Elaboramos una lista esencial de otras tecnologías que están desapareciendo: