acceder
Prueba gratuita

¿Qué es el CAPTCHA invisible? Cómo funciona y por qué es importante

Ilustración de un sistema CAPTCHA invisible que muestra un formulario de un sitio web, un fantasma que simboliza la verificación oculta y un tablero con la etiqueta “Prueba de trabajo” que confirma “Usuario verificado” mediante comprobaciones automáticas de antecedentes.
captcha.eu

CAPTCHA invisible pretende verificar a los usuarios en segundo plano con poca o ninguna interacción visible: sin rompecabezas, sin casillas de verificación, sin fricción para la mayoría de los usuarios. Pero “invisible” engloba dos enfoques técnicos fundamentalmente diferentes, y algunas implementaciones siguen enfrentándose a retos visibles para el tráfico que no pueden clasificar. Entender la diferencia ayuda a elegir la solución correcta y a evitar los costes ocultos de cumplimiento y accesibilidad de la equivocada.

Tiempo estimado de lectura: 1 minute

Pruebe CAPTCHA.eu gratis - sin tarjeta de crédito
Ver todas las integraciones

De un vistazo

Qué es

Verificación que se ejecuta automáticamente en segundo plano con poca o ninguna interacción visible: no hay rompecabezas ni casillas de verificación para la mayoría de los usuarios, mientras que los bots se detienen.

Dos enfoques muy diferentes

Seguimiento del comportamiento (basado en la vigilancia) frente a prueba de trabajo (basada en el cálculo). Mismo resultado para los usuarios, pero recopilación de datos, cookies e implicaciones GDPR completamente diferentes.

Por qué es importante la elección

Los sistemas de comportamiento suelen requerir cookies y un banner de consentimiento. Los sistemas de prueba de trabajo no necesitan ni lo uno ni lo otro. Además, un estudio de Stanford reveló que los CAPTCHA tradicionales reducen las conversiones de formularios hasta en un 40%; los CAPTCHA invisibles pueden reducir considerablemente o eliminar esa reducción.

Contenido de esta guía

Por qué el CAPTCHA visible se convirtió en un problema

Los CAPTCHA tradicionales partían de un supuesto razonable: mostrar a los usuarios algo que un ordenador no pueda resolver fácilmente (una palabra distorsionada, una cuadrícula de semáforos, una simple casilla de verificación), y los que lo pasen probablemente sean humanos. Durante un tiempo funcionó. Luego, dos cosas cambiaron simultáneamente.

En primer lugar, las herramientas de resolución basadas en IA son capaces de superar la mayoría de los desafíos visuales con mayor rapidez y precisión que los humanos. Las herramientas de resolución potenciadas por IA y los servicios de resolución de CAPTCHA han debilitado significativamente el valor de seguridad de los desafíos CAPTCHA visuales; los solucionadores automatizados ahora manejan muchos formatos comunes con gran precisión. Las granjas de CAPTCHA, servicios que envían los desafíos a trabajadores humanos en tiempo real, se encargan de todo lo demás. El argumento de seguridad a favor de los CAPTCHA visuales se ha debilitado considerablemente.

En segundo lugar, el coste para los usuarios legítimos se hizo más difícil de justificar. Un estudio de la Universidad de Stanford descubrió que los CAPTCHA tradicionales reducen las conversiones de formularios hasta en un 40%. Los usuarios con deficiencias visuales, discapacidades motrices o diferencias cognitivas se enfrentan a retos que no sólo resultan incómodos, sino realmente inutilizables. La propia documentación del W3C sobre la accesibilidad de los CAPTCHA concluye que los desafíos interactivos crean barreras de accesibilidad fundamentales que las alternativas y soluciones no resuelven por completo.

Esas dos presiones juntas, la disminución de la eficacia de la seguridad y el aumento del coste para el usuario, impulsaron al mercado hacia la verificación invisible. La cuestión es qué significa realmente invisible en la práctica, porque la respuesta difiere significativamente entre las distintas implementaciones.

Qué significa CAPTCHA invisible

Un CAPTCHA invisible verifica a los usuarios sin pedirles que hagan nada. No hay que hacer clic en ninguna casilla, interpretar ninguna imagen ni escribir ningún texto. La verificación se ejecuta automáticamente en segundo plano mientras el usuario rellena un formulario, carga una página o navega por un punto final protegido. En el momento en que el usuario pulsa enviar, la verificación ya está hecha.

Desde la perspectiva del usuario, la experiencia es idéntica tanto si se verifica inmediatamente como si se ejecuta una comprobación más intensiva, porque nunca ve ninguna de las dos cosas. Esa es la ventaja de la experiencia del usuario: cero fricciones para los usuarios reales, cero abandonos causados por un paso de seguridad que ni siquiera notaron.

Sin embargo, desde un punto de vista técnico, invisible no describe un único método. Describe un resultado (ninguna interacción visible) que dos arquitecturas muy diferentes consiguen de maneras muy distintas. Una observa lo que hacen los usuarios. La otra hace que el ordenador del usuario trabaje en segundo plano. Ambas producen el mismo resultado sin fricción, pero la mecánica subyacente, los datos que recogen y las obligaciones de cumplimiento que crean son completamente diferentes.

Los dos tipos de CAPTCHA invisible: por qué es importante la diferencia

La distinción que la mayoría de los artículos pasan por alto

CAPTCHA invisible suena como una cosa pero cubre dos arquitecturas completamente diferentes. Una vigila lo que usted hace. La otra hace que su navegador realice una pequeña cantidad de trabajo computacional. Esa diferencia determina su exposición a la privacidad, su posición de cumplimiento de GDPR, si necesita un banner de consentimiento de cookies y si los usuarios con discapacidades alguna vez se encuentran con un desafío. El resultado para la mayoría de los usuarios es el mismo. Por debajo, todo es diferente.

Tipo 1: Conductual (basado en la vigilancia)

Tipo 1: Comportamiento - Ejemplos: reCAPTCHA v3, modo invisible hCaptcha, Cloudflare Turnstile (parcialmente)

Estos sistemas observan lo que hacen los usuarios y recogen señales: patrones de movimiento del ratón, cadencia de tecleo, comportamiento de desplazamiento, huella digital del navegador, reputación IP y, a veces, historial de sitios cruzados. Estas señales se someten a un modelo de riesgo y devuelven una puntuación. El operador del sitio decide qué hacer con la puntuación: permitir al usuario, bloquearlo o presentarle un desafío.

Los sistemas de comportamiento son muy eficaces para distinguir los patrones típicos de interacción humana del tráfico de bots. Cuando se dispone de abundantes señales de comportamiento, funcionan bien. Sin embargo, las implicaciones para la privacidad y el cumplimiento son significativas:

  • La recopilación de datos de comportamiento, incluidos los movimientos del ratón, los patrones de tecleo y las características del dispositivo, constituye un tratamiento de datos personales con arreglo al RGPD en la mayoría de las interpretaciones, y requiere una base jurídica y documentación.
  • Muchos sistemas de comportamiento establecen cookies. Google confirma que las _grecaptcha después del cambio de procesador reCAPTCHA de abril de 2026. Esa cookie requiere una evaluación con arreglo a las normas nacionales de privacidad electrónica, aparte del análisis del RGPD. En muchas jurisdicciones de la UE, las cookies no esenciales requieren el consentimiento explícito, independientemente de la base legal del GDPR para el procesamiento subyacente.
  • Cuando las señales de comportamiento son limitadas (porque un usuario emplea una VPN, un navegador de privacidad o un bloqueador de anuncios, o porque la tecnología de asistencia crea patrones de interacción atípicos), la puntuación de riesgo aumenta y el sistema puede presentar un desafío visible. Estos usuarios tienen una probabilidad desproporcionada de ser usuarios legítimos con preferencias de privacidad o necesidades de accesibilidad. La invisibilidad no está garantizada para todos.

Invisible no significa sin cookies. Un CAPTCHA invisible para los usuarios puede establecer cookies de seguimiento, recopilar datos de comportamiento y activar requisitos de consentimiento en virtud de la Directiva sobre privacidad y comunicaciones electrónicas. La invisibilidad describe la experiencia del usuario, no la arquitectura de los datos. Para los operadores de sitios web europeos, se trata de dos cuestiones de cumplimiento distintas que requieren un análisis separado.

Tipo 2: Prueba de trabajo (basada en el cálculo)

Tipo 2: Proof-of-work - Ejemplos: CAPTCHA.eu, Friendly Captcha, ALTCHA

Estos sistemas piden al navegador del usuario que resuelva un pequeño rompecabezas criptográfico en segundo plano. El navegador realiza un cálculo, genera una prueba verificable y la envía junto con el formulario. La prueba de trabajo es la base de la seguridad: sin cookies, sin perfiles de usuario persistentes, sin rastreo entre sitios. Muchas implementaciones modernas también incorporan señales contextuales (tiempo de solicitud, características del entorno) para escalar la dificultad del rompecabezas de forma adaptativa, sin crear perfiles de usuarios individuales.

Para un usuario legítimo, este cálculo se completa de forma invisible mientras rellena el formulario, normalmente en menos de un segundo. Para un bot que intenta miles de solicitudes por minuto, cada intento requiere resolver ese rompecabezas computacional. El coste del ataque aumenta linealmente con el volumen, lo que hace que los ataques automatizados a gran escala sean económicamente impracticables en lugar de simplemente inconvenientes.

Esta es la diferencia estructural clave entre los enfoques de prueba de trabajo y de comportamiento. Los sistemas basados en el comportamiento dan la alarma cuando detectan patrones sospechosos. Los sistemas de prueba de trabajo aumentan el coste de cada intento, sospechoso o no. La limitación de velocidad dice “sólo puedes intentarlo X veces por minuto”. Proof-of-work dice “cada intento cuesta computación”. Un atacante distribuido puede eludir los límites de velocidad repartiendo las peticiones entre miles de IP. No pueden evadir la prueba de trabajo sin resolver el puzzle cada vez.

Las mejores implementaciones de pruebas de trabajo combinan la prueba de trabajo criptográfica con el análisis de señales contextuales, teniendo en cuenta los patrones de solicitud, el tiempo y las características del entorno, para escalar la dificultad de los puzles en función del riesgo sin crear perfiles de usuarios individuales. CAPTCHA.eu utiliza este enfoque por capas: la prueba de trabajo criptográfica constituye la base de la seguridad, y las señales contextuales informan del grado de dificultad del puzzle para una solicitud determinada. El resultado es una seguridad más adaptable que la de la prueba de trabajo pura, con la misma arquitectura que da prioridad a la privacidad: sin cookies, sin rastreo entre sitios, sin perfiles de usuario individuales creados o almacenados.

Friendly Captcha adopta un enfoque por capas similar, combinando PoW con lo que ellos describen como una “base de datos de riesgo global”: un conjunto compartido de inteligencia sobre amenazas en toda su base de clientes. Este modelo de base de datos compartida es eficaz, pero introduce una capa de agregación de datos entre clientes. El análisis de señales de CAPTCHA.eu funciona por solicitud sin agregar datos entre sitios o clientes, lo que constituye una distinción significativa para las organizaciones con estrictos requisitos de minimización de datos.

Por qué el proof-of-work es genuinamente cookieless, incluso con análisis de señales

A diferencia de los sistemas de comportamiento que dependen de las cookies para la identificación entre sesiones, el CAPTCHA a prueba de trabajo no necesita cookies para funcionar. La verificación se basa en la prueba criptográfica. Las señales contextuales (tiempo, entorno) que las implementaciones modernas utilizan para escalar la dificultad de los acertijos se evalúan por solicitud y no requieren almacenamiento persistente en el navegador ni seguimiento entre sesiones. La capa CAPTCHA no instala cookies, lo que elimina la base técnica para el requisito de consentimiento de cookies bajo ePrivacy en la mayoría de las jurisdicciones de la UE. No se introduce ninguna sobrecarga en la gestión del consentimiento cuando se añade a un flujo de inicio de sesión o registro.

Prueba de trabajo frente a prueba de comportamiento de un vistazo

La comparación entre ambos enfoques queda más clara en una tabla:

CARACTERÍSTICAS
COMPORTAMIENTO (RECAPTCHA V3, HCAPTCHA)
PRUEBA DE TRABAJO (CAPTCHA.EU, CAPTCHA AMIGABLE)
Interacción necesaria con el usuario
Nunca (a menos que se marque)
Nunca
Datos recogidos
Señales de comportamiento, huella digital del dispositivo, historial potencial de sitios cruzados
Prueba de trabajo criptográfica más análisis de señales contextuales; sin cookies, sin perfiles de usuario individuales, sin seguimiento entre sitios web.
Conjunto de cookies
Sí (por ejemplo, _grecaptcha persiste después de abril de 2026)
No
Es probable que se necesite el consentimiento de ePrivacy
Sí, en la mayoría de las jurisdicciones de la UE
No
Vuelve a caer ante el desafío visible
Sí, para usuarios marcados como sospechosos
En la mayoría de las implementaciones: la dificultad se ajusta de forma invisible sin desafío visual. Algunos productos PoW también ofrecen verificación escalonada opcional para casos de mayor riesgo.
Mecanismo de seguridad
Puntuación del riesgo basada en la vigilancia del comportamiento
Coste computacional por solicitud; aumenta con el volumen de ataques
Impacto de la accesibilidad
Los usuarios de TA pueden provocar falsos positivos y recibir retos visibles
En implementaciones sin desafío, totalmente accesibles por arquitectura. Algunos productos PoW también ofrecen verificación escalonada opcional para casos de mayor riesgo.
Alojamiento de datos de la UE
Con sede en EE.UU. (Google, Cloudflare) a menos que se seleccione un punto final de la UE
CAPTCHA.eu: Austria; Friendly Captcha: Alemania

CAPTCHA.eu: prueba de trabajo CAPTCHA invisible, alojado en Austria

Sin puzles de imágenes. Sin cookies. Sin perfiles de comportamiento. Todos los datos se procesan en Austria conforme a la legislación de la UE. Certificado independiente por TÜV Austria conforme a WCAG 2.2 AA. 100 verificaciones gratuitas para empezar.

Iniciar prueba gratuita
Ver todas las integraciones

CAPTCHA invisible y accesibilidad

La accesibilidad es el aspecto en el que ambos enfoques divergen más visiblemente en la práctica. Para la mayoría de los usuarios, ambos parecen idénticos: no pasa nada. Para los usuarios que dependen de tecnologías de asistencia, la diferencia importa.

Los sistemas CAPTCHA conductuales determinan el riesgo en función de los patrones de interacción. Los usuarios que navegan con teclado, lectores de pantalla, dispositivos de acceso conmutado u otras tecnologías de asistencia presentan patrones de interacción distintos a los de los usuarios típicos de ratón y teclado. Estos patrones atípicos pueden desencadenar puntuaciones de riesgo elevadas, haciendo que el sistema retroceda a un desafío visible. El usuario que más necesita un acceso sin fricciones es el que más probabilidades tiene de recibir fricciones.

La nota Inaccesibilidad de CAPTCHA del W3C documenta directamente esta tensión: “la propia naturaleza de la tarea interactiva excluye intrínsecamente a muchas personas con discapacidad”. El Criterio de Éxito 3.3.8 (Autenticación Accesible, Nivel AA) de las WCAG 2.2 va más allá, prohibiendo las pruebas de función cognitiva en los flujos de autenticación. Este criterio pasó a ser jurídicamente vinculante en virtud de la Ley Europea de Accesibilidad para las empresas que atienden a clientes de la UE a partir de junio de 2025.

Proof-of-work CAPTCHA evita esto por completo. No hay ningún desafío que desencadenar, ningún patrón que malinterpretar, ningún fallback que excluya a nadie. El cálculo criptográfico se ejecuta de la misma manera independientemente de cómo navegue el usuario, qué dispositivo utilice o qué tecnología de asistencia esté activa. No hay que ofrecer ninguna alternativa accesible porque, para empezar, no se presenta ningún desafío.

CAPTCHA.eu cuenta con la certificación independiente WCAG 2.2 AA de TÜV Austria, verificada conforme a la norma de accesibilidad completa. Esta certificación cubre el flujo de verificación en sí, no solo la interfaz que lo rodea.

CAPTCHA invisible y tasas de conversión

El argumento comercial a favor de los CAPTCHA invisibles es sencillo: una verificación que los usuarios nunca perciben no puede hacer que abandonen un formulario. El CAPTCHA tradicional crea un paso distinto en un flujo que antes no tenía ninguno. Algunos usuarios abandonan en ese paso. El CAPTCHA invisible elimina o reduce significativamente esa fricción.

Una investigación de la Universidad de Stanford cuantificó la fricción: los desafíos CAPTCHA tradicionales reducen las conversiones de formularios hasta en 40%. La investigación de HUMAN Security descubrió que 40% de los compradores reales habían abandonado una compra debido específicamente a la fricción de CAPTCHA. Estas cifras reflejan un tipo específico de usuario de alta intención: alguien que quería completar la acción pero se detuvo debido a la comprobación de seguridad.

Los flujos en los que esto es más importante son exactamente los flujos con más probabilidades de llevar CAPTCHA: inicio de sesión, registro, pago, formularios de contacto y restablecimiento de contraseña. Estas son las interacciones de mayor valor en la mayoría de los sitios web. Los CAPTCHA invisibles las protegen sin convertirse en una fuente de abandono dentro de ellas.

Las pruebas de trabajo pueden añadir un beneficio de conversión secundario, ya que las implementaciones sin retos no dan la talla cuando las señales son limitadas o ambiguas. Los sistemas de comportamiento que muestran desafíos a usuarios “sospechosos” también muestran desafíos a usuarios preocupados por su privacidad, usuarios de VPN y usuarios de tecnología de asistencia, grupos que la puntuación de comportamiento tiende a clasificar erróneamente. Proof-of-work trata a todos estos usuarios de forma idéntica: verificación invisible, ningún desafío, fricción cero.

Qué flujos se benefician más de los CAPTCHA invisibles

CAPTCHA invisible mejora la seguridad y la experiencia del usuario en cualquier flujo en el que el tráfico de bots cree un problema. Priorice primero estos puntos finales:

  • Formularios de acceso. El principal objetivo de los ataques de relleno de credenciales y de fuerza bruta. Los CAPTCHA invisibles aumentan el coste computacional de cada intento de inicio de sesión, lo que hace inviables los ataques automatizados a gran escala sin afectar a los usuarios legítimos.
  • Registro y creación de cuenta. Los robots crean cuentas falsas para el fraude, el spam y el abuso promocional. El CAPTCHA invisible en el registro bloquea la creación masiva de cuentas falsas antes de que lleguen a su base de datos.
  • Flujos de restablecimiento de contraseña. Los atacantes utilizan los flujos de restablecimiento para enumerar cuentas válidas o iniciar la toma de control de cuentas. Proteger el punto final de restablecimiento con CAPTCHA invisibles añade una capa sin añadir fricción en un momento ya de por sí frustrante para los usuarios legítimos.
  • Formularios de contacto. El spam de formularios genera costes operativos: llena los sistemas CRM de datos basura y hace perder tiempo al equipo. El CAPTCHA invisible reduce los envíos de spam sin afectar a las consultas auténticas.
  • Flujos de caja y pago. Los ataques con tarjetas prueban números de tarjetas robadas a escala contra los puntos finales de pago. El CAPTCHA invisible aumenta el coste de cada intento de prueba y protege los ingresos sin ralentizar a los clientes legítimos.
  • Puntos finales de autenticación de la API. A menudo pasados por alto porque carecen de interfaz visual, los puntos finales de API son objetivos frecuentes de abusos automatizados. CAPTCHA invisible se integra en la capa API sin cambiar la experiencia del desarrollador para los usuarios legítimos.

La dimensión de la UE: GDPR, ePrivacy y la cuestión de las cookies

Los operadores de sitios web europeos se enfrentan a una cuestión de cumplimiento específica que la mayoría de los artículos sobre CAPTCHA invisibles no abordan directamente: aunque un CAPTCHA sea invisible para los usuarios, ¿crea obligaciones en materia de cookies o tratamiento de datos que requieran un banner de consentimiento?

La respuesta depende del tipo de CAPTCHA invisible que utilice, y no es la misma respuesta para ambos tipos.

En el caso de los CAPTCHA invisibles para el comportamiento, la respuesta suele ser afirmativa. Google confirma en su propia FAQ de abril de 2026 que el _grecaptcha persiste sin cambios tras el cambio de controlador a procesador de reCAPTCHA. Esa cookie requiere una evaluación conforme a las normas nacionales de privacidad electrónica, un análisis independiente del GDPR. En la mayoría de los Estados miembros de la UE, las cookies no esenciales requieren el consentimiento previo antes de su instalación. Si la cookie _grecaptcha se considera esencial a efectos de seguridad es una cuestión jurídica que depende de la aplicación y la jurisdicción, y los reguladores de Francia (CNIL) y Austria han descubierto que las implantaciones de reCAPTCHA sin marcos de consentimiento adecuados incumplían la normativa. El resultado práctico: un CAPTCHA invisible para el comportamiento requiere con frecuencia una actualización del banner de cookies y, potencialmente, un flujo de consentimiento que la palabra “invisible” podría hacerle creer que había evitado.

En el caso de los CAPTCHA invisibles de prueba de trabajo, la respuesta es no para la capa CAPTCHA en sí. No se establecen cookies, no se utiliza el almacenamiento persistente del navegador y el mecanismo CAPTCHA no recopila ni transmite datos personales de comportamiento. En el caso de los CAPTCHA de prueba de trabajo sin cookies, la capa CAPTCHA suele eliminar la pregunta de consentimiento de cookies y reduce sustancialmente la sobrecarga de cumplimiento. Aun así, los operadores deben documentar el servicio con precisión en su aviso de privacidad y en los materiales de revisión del proveedor. CAPTCHA.eu procesa todos los datos en Austria bajo la jurisdicción de la UE, con una DPA estándar disponible. Todo el procesamiento tiene lugar dentro de la jurisdicción de la UE.

Para los operadores de sitios web que ya han invertido en infraestructura de gestión del consentimiento, puede parecer una distinción menor. Para los operadores que intentan minimizar la sobrecarga de cumplimiento en los flujos de inicio de sesión y autenticación, en los que solicitar el consentimiento de las cookies antes de iniciar sesión crea sus propios problemas de usabilidad, se trata de una diferencia práctica significativa.

El análisis anterior describe el marco técnico y jurídico general. Las obligaciones de cumplimiento específicas dependen de su implementación, de la legislación nacional aplicable y del asesoramiento de su asesor jurídico. Para obtener más detalles sobre cómo los cambios de abril de 2026 en reCAPTCHA afectan específicamente al cumplimiento del GDPR, consulte nuestro análisis: ¿Cumplirá reCAPTCHA el GDPR en 2026?

Añada CAPTCHA invisible y sin cookies a su flujo de inicio de sesión hoy mismo

CAPTCHA.eu se integra en minutos con WordPress, TYPO3, Keycloak, Magento y pilas personalizadas. Alojado en Austria, sin cookies, sin rompecabezas, sin sobrecarga de cumplimiento.

Iniciar prueba gratuita
Vea cómo funciona el abuso del inicio de sesión

Cómo evaluar un CAPTCHA invisible para su sitio web

Cuatro preguntas cortan la mayor parte del lenguaje de marketing en torno al CAPTCHA invisible y llegan a la realidad operativa:

  • ¿Instala cookies o recoge datos personales?

    En caso afirmativo, deberá evaluar si esas cookies requieren el consentimiento de ePrivacy en sus jurisdicciones y si el tratamiento subyacente requiere una base legal GDPR y una actualización del aviso de privacidad. Esto no es un obstáculo, pero es una sobrecarga que una alternativa de prueba de trabajo elimina por completo.

  • ¿Mostrará alguna vez un desafío visible a un usuario real?

    Los sistemas de comportamiento recurren a retos visibles para los usuarios que no pueden clasificar con seguridad. En cambio, los sistemas de prueba de trabajo ajustan la dificultad computacional, permaneciendo invisibles a pesar de todo. Si tu audiencia incluye usuarios de herramientas de privacidad, usuarios de VPN o usuarios de tecnología de asistencia, un sistema de comportamiento pondrá a prueba a algunos de ellos.

  • ¿Está certificada independientemente según una norma de accesibilidad?

    La autocertificación es fácil de reclamar. Una certificación independiente conforme a WCAG 2.2 AA de un organismo acreditado (como TÜV Austria para CAPTCHA.eu) significa que la declaración de accesibilidad ha sido verificada externamente.

  • ¿Dónde se procesan los datos?

    Para los operadores europeos, Austria o Alemania significan jurisdicción de la UE sin complejidad de transferencia transfronteriza. Los proveedores con sede en EE.UU. requieren mecanismos de transferencia activos (cláusulas contractuales tipo o equivalentes) que necesitan documentación y revisiones periódicas.

Aplicación de este marco a las principales opciones:

reCAPTCHA v3: Comportamiento. Establece la cookie _grecaptcha (confirmada como persistente después de abril de 2026). Puede volver a los desafíos visibles. No hay certificación independiente de accesibilidad para el modo invisible. Procesamiento en EE.UU. Requiere una gestión continua del cumplimiento para los despliegues europeos.

Cloudflare Turnstile: En parte conductual, en parte no interactivo. Establece una cookie cf_clearance en algunas configuraciones. Por lo general, la mayoría de los usuarios no recurren a los rompecabezas, pero puede plantear problemas en determinadas circunstancias. Posicionamiento "Privacy-first", pero basado en EE.UU. Es mejor que reCAPTCHA en cuanto a privacidad, pero no es totalmente cookieless.

CAPTCHA.eu: Prueba de trabajo combinada con análisis de señales contextuales: sin cookies, sin perfiles de usuario individuales, sin agregación de datos entre sitios. El análisis de señales escala la dificultad del rompecabezas por solicitud sin crear perfiles de comportamiento. Sin retos fallback. Certificado independiente por TÜV Austria contra WCAG 2.2 AA. Con sede en Austria, todos los datos se procesan conforme a la legislación de la UE. Precios transparentes con un nivel gratuito. Diseñado específicamente para cumplir los requisitos europeos.

Captcha amigable: Pruebas de trabajo combinadas con señales de riesgo procedentes de una base de datos global de amenazas compartida por toda su base de clientes. Sin cookies. Sin problemas de fallback. Certificación independiente WCAG 2.2 AA. Con sede en Alemania. Cumplimiento estricto de la normativa de la UE. El modelo de riesgo de base de datos compartida es eficaz; las organizaciones con requisitos estrictos de minimización de datos por solicitud deben revisarlo en función de sus propias políticas. Precios para empresas en los niveles superiores.

ALTCHA: Prueba de trabajo de código abierto. La opción de autoalojamiento proporciona la máxima soberanía de datos. Sin cookies ni flujos de datos de terceros. Conforme a WCAG 2.2 AA. Requiere recursos técnicos para su alojamiento y mantenimiento. Adecuado para equipos que no toleran el tratamiento de datos de terceros.

Preguntas frecuentes

¿Qué es un CAPTCHA invisible?

CAPTCHA invisible es una forma de protección contra bots que verifica a los usuarios en segundo plano sin pedirles que resuelvan rompecabezas, hagan clic en casillas de verificación o interactúen con ningún desafío. La verificación se ejecuta automáticamente mientras el usuario rellena un formulario o realiza una acción en la página. Desde la perspectiva del usuario, no ocurre nada. Los robots son identificados y bloqueados.

¿Es el CAPTCHA invisible lo mismo que reCAPTCHA v3?

No. reCAPTCHA v3 es un ejemplo de CAPTCHA invisible, y utiliza un enfoque basado en el comportamiento: observa cómo interactúan los usuarios con la página y asigna una puntuación de riesgo. El CAPTCHA invisible Proof-of-work (utilizado por CAPTCHA.eu y Friendly Captcha) funciona de forma diferente: pide al navegador que resuelva un pequeño rompecabezas criptográfico en segundo plano. Ambos producen cero interacción visible para la mayoría de los usuarios, pero difieren significativamente en la recopilación de datos, las cookies, las implicaciones GDPR y el comportamiento de accesibilidad.

¿Funciona el CAPTCHA invisible sin cookies?

Depende de la implementación. Los CAPTCHA invisibles de comportamiento (reCAPTCHA v3, hCaptcha) suelen establecer cookies. Google confirma que la cookie _grecaptcha persiste tras los cambios de abril de 2026 en reCAPTCHA. Los CAPTCHA invisibles de prueba de trabajo (CAPTCHA.eu, Friendly Captcha, ALTCHA) no requieren cookies. La verificación se basa en la prueba criptográfica, no en la identificación del usuario entre sesiones.

¿Es el CAPTCHA invisible accesible para usuarios con discapacidad?

Las implementaciones de pruebas de trabajo sin retos pueden ser totalmente accesibles por arquitectura porque no dependen de pruebas visuales, auditivas o cognitivas. No hay nada que ver, oír, pulsar o resolver. Algunos productos de prueba de trabajo ofrecen, además, una verificación escalonada opcional para los casos de mayor riesgo, pero CAPTCHA.eu y otras implementaciones similares realmente invisibles nunca presentan un desafío, independientemente del nivel de riesgo. Los CAPTCHA invisibles de comportamiento pueden volver a plantear desafíos visibles para los usuarios que producen patrones de interacción atípicos, entre los que se incluyen muchos usuarios de tecnologías de apoyo. El criterio de éxito 3.3.8 de las WCAG 2.2 prohíbe las pruebas de función cognitiva en los flujos de autenticación, lo que hace que la prueba de trabajo sea la opción más conforme para los flujos de inicio de sesión y registro.

¿Pueden los robots saltarse el CAPTCHA invisible?

Los atacantes sofisticados y con recursos pueden derrotar a la mayoría de los controles de seguridad si disponen de tiempo y recursos suficientes. Sin embargo, la prueba de trabajo CAPTCHA aumenta el coste computacional de cada intento, lo que significa que los ataques automatizados a gran escala se vuelven económicamente impracticables en lugar de técnicamente imposibles. Un bot que ejecute el relleno de credenciales a miles de intentos por minuto debe ahora resolver un rompecabezas criptográfico para cada uno de ellos. Los CAPTCHA de comportamiento se basan en la detección de patrones sospechosos, que los atacantes motivados pueden aprender a imitar. Ninguna de las dos es una solución perfecta, por lo que CAPTCHA funciona mejor como una capa de una estrategia de defensa en profundidad junto con MFA y la limitación de velocidad.

¿Requiere el CAPTCHA invisible un banner de consentimiento GDPR?

En el caso de los CAPTCHA de prueba de trabajo sin cookies, la capa CAPTCHA no suele crear un requisito propio de consentimiento de cookies. El mecanismo CAPTCHA no instala cookies ni recopila datos personales de comportamiento. No obstante, los operadores deben evaluar su implementación completa y los requisitos legales locales. En cuanto al CAPTCHA de comportamiento invisible: depende de su implementación y jurisdicción, pero en la mayoría de los Estados miembros de la UE la respuesta es sí. La cookie persistente y la recopilación de datos de comportamiento requieren tanto una base legal GDPR como una evaluación según las normas nacionales de ePrivacy, que normalmente requieren consentimiento. Elegir la prueba del trabajo elimina por completo esta cuestión de cumplimiento.

¿Cuál es la diferencia entre CAPTCHA invisible y reCAPTCHA v2 Invisible?

reCAPTCHA v2 Invisible es un producto específico de Google que sigue utilizando el mecanismo de desafío de reCAPTCHA v2; sólo retrasa su aparición hasta que el usuario activa una acción marcada. Cuando se marca, presenta el conocido desafío de selección de imagen. reCAPTCHA v3 elimina por completo ese desafío y utiliza en su lugar una puntuación de riesgo. Los CAPTCHA invisibles de prueba de trabajo modernos van más allá: no hay retroceso basado en la puntuación, ni desafío visual, nunca, independientemente del nivel de riesgo asignado a una solicitud.

¿Cómo detiene la prueba de trabajo CAPTCHA a los bots si no hay desafío?

La prueba de trabajo aumenta el coste computacional de cada solicitud. Para un único usuario legítimo que envía un formulario, el cálculo es insignificante y se completa en segundo plano en milisegundos. Para un bot que envía miles de solicitudes por minuto, cada intento requiere resolver un rompecabezas criptográfico. El coste computacional total del ataque es lo suficientemente grande como para hacerlo económicamente poco atractivo. A diferencia del bloqueo por dirección IP (que los atacantes distribuidos sortean), el coste computacional no puede evitarse: se aplica independientemente de cuántas IP o dispositivos diferentes utilice el atacante.

Lecturas relacionadas

Fuentes primarias

W3C: Inaccesibilidad de CAPTCHANota autorizada del W3C sobre las barreras de accesibilidad de los CAPTCHA tradicionales y las limitaciones de las soluciones alternativas.
WCAG 2.2 Criterio de éxito 3.3.8 Autenticación accesible (mínimo)el criterio de nivel AA que prohíbe las pruebas de función cognitiva en los flujos de autenticación
Preguntas frecuentes sobre Google reCAPTCHA (abril de 2026): confirmación de que la cookie _grecaptcha persiste tras el cambio de rol de controlador a procesador.
CAPTCHA.eu Certificación WCAG 2.2 AAcertificado independiente por TÜV Austria
Estudio de la Universidad de Stanford: Los desafíos CAPTCHA reducen las conversiones de formularios hasta en un 40%
Acta Europea de Accesibilidad (Directiva 2019/882): WCAG 2.2 AA legalmente vinculante para las empresas de la UE a partir de junio de 2025

Entradas recientes

es_ESSpanish
en_USEnglish de_DEGerman fr_FRFrench nl_NLDutch it_ITItalian es_ESSpanish