InspectWP Logo
Glosario

¿Qué es un CAPTCHA? Tipos, funcionamiento y alternativas

20 de mayo de 2026

Un CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) es una prueba reto-respuesta utilizada en sitios web para distinguir a personas de bots automatizados. El término fue acuñado en 2003 por Luis von Ahn, Manuel Blum, Nicholas J. Hopper y John Langford en la Universidad Carnegie Mellon. Los CAPTCHAs modernos incluyen Google reCAPTCHA v2 (rejillas de imágenes), reCAPTCHA v3 (puntuación invisible), hCaptcha y Cloudflare Turnstile, mientras que alternativas más respetuosas con la privacidad son los campos honeypot y el análisis de formularios por tiempo.

¿Cómo funciona un CAPTCHA?

Un CAPTCHA propone una tarea fácil para humanos y difícil para software: identificar texto distorsionado, seleccionar imágenes con un semáforo o, en CAPTCHAs invisibles, analizar en segundo plano el movimiento del ratón, cookies, fingerprint y reputación de IP. El servidor solo acepta el envío si el token CAPTCHA valida contra la API del proveedor.

¿Qué tipos de CAPTCHA existen en 2026?

  1. CAPTCHA de texto — letras distorsionadas; obsoleto desde ~2014.
  2. CAPTCHA de imagen (reCAPTCHA v2) — "selecciona los cuadros con autobuses", lanzado en 2014.
  3. Checkbox CAPTCHA — "No soy un robot", parte de reCAPTCHA v2 desde 2014.
  4. Invisible / puntuación (reCAPTCHA v3) — score 0.0–1.0, lanzado en octubre de 2018.
  5. hCaptcha — alternativa privacy-first lanzada en 2018, usada por Cloudflare 2020–2023.
  6. Cloudflare Turnstile — invisible, sin etiquetado, GA septiembre de 2023.
  7. CAPTCHA matemático o de pregunta — operaciones simples ("2 + 3 = ?").
  8. CAPTCHA de slider o puzzle — arrastrar una pieza a su sitio.

¿Por qué usar un CAPTCHA en un sitio WordPress?

  • Anti-spam en formularios de contacto, comentarios y registro.
  • Defensa contra fuerza bruta en wp-login.php y login de WooCommerce.
  • Mitigación de credential stuffing con contraseñas filtradas.
  • Disuasión de scrapers en listas de precios y formularios de lead-gen.

¿Qué desventajas tienen los CAPTCHAs?

  • Accesibilidad: los retos visuales bloquean a usuarios de lectores de pantalla; WCAG 2.2 exige alternativa.
  • Privacidad: Google reCAPTCHA carga scripts desde google.com y recoge IP, cookies y datos de navegador. Autoridades de protección de datos europeas exigen consentimiento explícito (RGPD).
  • Caída de conversión: estudios estiman entre un 3,2 % y un 29 % de abandono de formularios.
  • Rendimiento: reCAPTCHA añade ~200 KB de JavaScript.
  • Resoluble por IA: desde 2023 los modelos clase GPT-4 resuelven la mayoría en segundos.

¿Qué alternativas respetuosas con la privacidad existen?

  • Campo honeypot — input oculto que solo los bots rellenan.
  • Comprobación de tiempo — rechazar envíos en menos de 2–3 segundos.
  • Cloudflare Turnstile — sin etiquetado ni cookies.
  • Friendly Captcha — proof-of-work alojado en la UE.
  • Rate limiting — bloquear IPs tras N intentos por minuto.

Qué comprueba InspectWP

InspectWP detecta Google reCAPTCHA, hCaptcha y Cloudflare Turnstile a través de los scripts cargados y los reporta en RGPD (scripts de Google) y seguridad. También marca la falta de protección contra fuerza bruta en wp-login.php.

Artículo anterior

¿Qué es un honeypot? Protección antispam sin CAPTCHA

Artículo siguiente

¿Qué son los shortcodes de WordPress? Una guía práctica

Artículos relacionados

¿Qué son HTTP/2 y HTTP/3? Guía práctica para sitios WordPress

¿Qué son los custom post types de WordPress?

¿Qué es un block theme de WordPress (Full Site Editing)?

Ver todos los artículos

Analiza tu sitio de WordPress ahora

InspectWP analiza tu sitio de WordPress en busca de problemas de seguridad, SEO, cumplimiento del RGPD y rendimiento, gratis.

Analiza tu sitio gratis