Urlan Heat

¿Cuánto daño te está haciendo el captcha de Google?

por

Miles (puede que millones) de webs usan los captcha de Google para evitar el spam en sus formularios.

Es comodísimo y te lo implementa cualquier desarrollador en un ti-tá. Y hay montones de plugins para meterlo en WordPress y similares.

Y además ¡gratis!

Pero.

Hay un pero enorme. Bueno… varios peros.

Poca gente es consciente del coste invisible que supone y de los peligros que tiene.

¿Esto va conmigo?

Debería importarte en estos casos:

  • Si tienes un formulario en tu web y usas Recaptcha sin haberte preguntado por qué.
  • Si te preocupa RGPD pero asumes que Google cumple.
  • Si notas que tu formulario convierte poco.

RGPD y multas

Para empezar tienes un riesgo enorme porque Google recopila montones de datos del usuario. Y se los lleva a servidores en EE.UU.

Y ya sabemos lo de fiar que son estas empresas con el tema de los datos.

Varias webs han sido ya multadas por usarlo (y son multitas de más de 100.000 euros).

CityScoot fue multada con 125.000€ por usar reCAPTCHA sin informar ni obtener consentimiento. Ns Cards Fance se llevó otra multa de 105.000€. Como puedes ver, no es un riesgo pequeño.

Algunos organismos europoeos como la Autoridad Bávara de Protección de Datos (BayLDA) aconsejan usar alternativas a Google Recaptcha.

La información recopilada por reCAPTCHA, particularmente en la versión invisible v3, puede incluir información de dispositivo y navegador, métricas de comportamiento del usuario, información contextual y cookies, clicks y movimientos del ratón. Vamos, de todo.

¿Y funciona?

Hay muchos bots que intentan saltarse los capthas. El de Google lo hace muy bien con los bots básicos, pero empieza a haber bots más sofisticados que se los saltan sin mucho problema.

Por otro lado, el captcha puntúa el comportamiento del usuario para ver si es un bot. Se puede configurar el captcha para marcar el umbral a partir del cual no dejamos pasar a un usario.

Esto puede dejar fuera a algunos usuarios válidos.

¿Mejoró el recaptcha de Google con la versión v3?

La versión v3 prometía arreglar los problemas de la versión 2 pero resulta que:

  • Recopila más datos (rastrea TODAS tus páginas, no solo formularios).
  • Es menos transparente para el usuario.
  • Sigue sin funcionar contra bots sofisticados (estudio ETH Zürich: bots resolvieron el 100% de captchas v2).
  • Y encima, Google te dice en sus términos: ‘tú eres responsable de cumplir RGPD’. Se lavan las manos.

¿Y qué puedo usar?

Hay bastantes alternativas.

Por mencionar algunas opciones:

  • hCaptcha. Es gratuita con algunos límietes pero se fundamenta en la privacidad.
  • Cloudflare Turnstile. De pago. Es también invisible y enfocado en cumplir con RGPD.
  • Friendly Captcha. De pago. Los datos se quedan en la UE.

No recomiendo ninguna en concreto sin conocer tu caso. Pero estas son algunas de las opciones que deberías evaluar.

Una aclaración importante: En Urlan Heat no cobramos comisión de ninguna de estas alternativas. Nuestro trabajo como CTO externalizado es decirte lo que te conviene, no lo que nos beneficia a nosotros.

Y a veces lo que te conviene es no usar ningún CAPTCHA y buscar otras formas de protección (honeypots, análisis de comportamiento, rate limiting…).

¿Tienes dudas sobre tu Captcha? ¡Habla con nosotros!

© 2025 Urlan Heat. Consultoría tecnológica desde 2001.

Política de privacidad | Aviso legal | Política de cookies