
El CAPTCHA, esa omnipresente casilla de verificación que pregunta “No soy un robot”, ha sido un elemento fijo de la web durante dos décadas. Pero un creciente cuerpo de evidencia sugiere que ya no es adecuado para su propósito. En 2024, investigadores de la ETH Zúrich lograron un 100 % de precisión en reCAPTCHA v2 de Google utilizando un modelo YOLOv8 modificado. En 2026, Ng Chong, director del Centro de Computación del Campus de la UNU, construyó una herramienta comercial que funciona en una sola computadora portátil y elude reCAPTCHA v2, hCaptcha y Cloudflare Turnstile en dos o tres segundos sin activar la cuadrícula de imágenes.
“Cuando tanto el desafío como la capa de comportamiento son derrotados por herramientas comerciales que funcionan en una sola computadora portátil, la premisa fundamental del CAPTCHA deja de ser válida”, dijo Ng Chong.
La carrera armamentista
La historia del CAPTCHA comenzó en 1997, cuando AltaVista implementó imágenes de texto distorsionado para bloquear registros automatizados, reduciendo el spam en aproximadamente un 95 %. Durante la década siguiente, los CAPTCHA de texto se volvieron progresivamente más difíciles tanto para bots como para humanos, hasta que los modelos de aprendizaje profundo alcanzaron una precisión casi perfecta en todas las variantes comunes para 2018.
Google respondió en diciembre de 2014 con reCAPTCHA v2, la familiar casilla de verificación “No soy un robot” respaldada por análisis de comportamiento (movimientos del ratón, historial de IP, huellas del navegador, cookies). La prueba real era invisible; la cuadrícula de imágenes era un plan de respaldo. En 2018 llegó reCAPTCHA v3, que prescindió por completo de la casilla de verificación, devolviendo una puntuación de 0.0 a 1.0 basada en señales de fondo.
Cada avance ha encontrado una contramedida. El aprendizaje por refuerzo rompió reCAPTCHA v3 al 97 % en 2019. El estudio de la ETH Zúrich demostró que todo el pipeline de reCAPTCHA v2, incluida la capa de comportamiento, podía automatizarse por completo.
Dónde estamos
A partir de 2026, el panorama de los CAPTCHA incluye:
- reCAPTCHA v2, 100 % roto (ETH Zúrich, 2024; herramientas comerciales, 2026)
- reCAPTCHA v3, 60-80 % de tasa de elusión
- hCaptcha, 70-90 % de tasa de elusión
- Cloudflare Turnstile, 40-65 % de tasa de elusión
- CAPTCHA de audio, 85-95 % rotos
- Texto distorsionado, 100 % roto
Los datos de la industria del Merchant Risk Council reportan tasas de elusión por IA del 99.8 % para reCAPTCHA en general.
Los incentivos económicos son claros: las API comerciales de resolución de CAPTCHA cobran de $0.50 a $2 por cada 1,000 resoluciones. En 2025, los rastreadores impulsados por IA alcanzaron el 57.5 % de todo el tráfico web, superando el tráfico humano por primera vez, según Cloudflare Radar.
Más allá de los acertijos
La industria se está moviendo hacia una verificación invisible y sin fricciones. Cloudflare Turnstile utiliza prueba de trabajo criptográfica combinada con comprobaciones del entorno del navegador, resolviendo aproximadamente el 90 % de las cargas sin ninguna interacción del usuario. Los Tokens de Acceso Privado de Apple proporcionan atestación a nivel de dispositivo. La IETF ha estandarizado Privacy Pass (RFC 9576-9578), un sistema de firma ciega que permite a los usuarios resolver un CAPTCHA para obtener múltiples tokens anónimos.
El enfoque más vanguardista es Web Bot Auth, un borrador de la IETF liderado por Cloudflare que otorga a los bots una identidad criptográfica. Los bots publican una clave pública en una URL conocida, y cada solicitud HTTP saliente lleva una firma Ed25519. Google, OpenAI, AWS WAF y Vercel ya lo están adoptando.
“Ya que ya no podemos distinguir de manera confiable a los humanos de las máquinas evaluando la capacidad de resolver acertijos, nos estamos desplazando hacia la prueba de identidad e intención a través de señales criptográficas y de comportamiento”, señala el artículo.
Lo que queda
Por ahora, los CAPTCHA persisten porque son simples, baratos y representan el statu quo. Pero un estudio de 2023 de la UC Irvine encontró que los humanos pierden colectivamente 819 millones de horas al año resolviéndolos, lo que representa $6.1 mil millones en valor laboral perdido. Y son activamente discriminatorios: los usuarios con discapacidad visual enfrentan barreras de accesibilidad persistentes.
La era del CAPTCHA basado en acertijos está terminando. En su lugar hay una capa de verificación más silenciosa e invisible, y una carrera armamentista que se ha movido de la pantalla del usuario a la infraestructura subyacente.
Traducido por Alessandra

