El motivo por el que los bots no pueden marcar la casilla "No soy un robot" a pesar de los avances de la IA
Aunque parezca una simple casilla, el "No soy un robot" de Google esconde un complejo sistema de análisis que los bots aún no logran superar. Así funciona reCAPTCHA.
En un mundo dominado por la inteligencia artificial, resulta casi irónico que uno de los filtros más eficaces para detectar bots en Internet sea una simple casilla de verificación. Pero esa casilla que nos pide marcar 'No soy un robot' no es tan simple como parece.
¿Por qué sigue funcionando en la era de la IA y los bots superlistos? ¿Cómo es que estos 'astutos' sistemas no pueden engañarla?
La clave está en cómo funcionan los CAPTCHA modernos —especialmente el sistema reCAPTCHA de Google—, que no solo miran si haces clic, sino cómo lo haces.
No es el clic, es cómo lo haces
Los bots pueden simular un clic, pero les cuesta mucho más replicar el comportamiento humano que hay detrás. Google, con reCAPTCHA v2 y v3, ha ido perfeccionando este sistema: analiza los movimientos del ratón, la velocidad con la que te desplazas por la página, si has interactuado antes con otros servicios de Google y hasta tu historial de navegación.
En otras palabras: cuando marcas la casilla, no estás pasando un test: ya lo has pasado antes de llegar ahí. El sistema ya ha evaluado si tu comportamiento encaja con el de una persona o con el de un script automatizado.
¿Y si el bot intenta imitar a un humano?
Algunos bots avanzados intentan copiar los patrones humanos, pero siguen sin clavar ciertos detalles: movimientos del ratón con trayectorias suaves e imprecisas, ligeras pausas, microajustes… Detalles sutiles que delatan a una IA por muy bien entrenada que esté. Además, reCAPTCHA cruza estos datos con otras señales, como si hay extensiones sospechosas instaladas o si vienes de una IP usada por muchos bots.
El nuevo truco sucio: falsos CAPTCHA
Hay un riesgo añadido: los ciberdelincuentes están empezando a usar captchas falsos para ganarse tu confianza. Imitan la interfaz de Google, pero al hacer clic podrías estar dando permiso para instalar malware o permitir que accedan a tus datos. La Policía Nacional ya ha alertado sobre este tipo de fraudes.
¿Sigue funcionando con la nueva IA?
Sí, pero con matices. Las inteligencias artificiales más avanzadas —como las que usan visión por ordenador o modelos de lenguaje multimodales— ya pueden resolver muchos CAPTCHA visuales tradicionales sin pestañear. Detectar semáforos, pasos de cebra o escribir letras distorsionadas ya no es un reto.
Lo que todavía no han conseguido imitar bien es el comportamiento humano en la navegación web. Como decíamos, reCAPTCHA no se limita a lanzarte un reto: evalúa cómo llegas a ese reto, cómo te mueves por la web, cuánto tardas en reaccionar, qué otras páginas visitas, si estás logueado en servicios de Google, si has pasado por esa web antes... Y eso sigue siendo muy difícil de falsificar para un bot, incluso con IA.
Además, los sistemas de defensa digital están evolucionando al mismo ritmo que los ataques. Google y otras compañías están invirtiendo en sistemas invisibles de detección basados en machine learning, capaces de identificar patrones sospechosos sin necesidad de mostrar captchas visibles.
