Los códigos QR no son una evolución, más bien un paso atrás
El nuevo mecanismo de desafío de Google reformula la verificación de dispositivos: un concepto ampliamente rechazado en 2023 bajo el nombre de Integridad del Entorno Web.
Google Cloud Fraud Defense bloquea a los humanos
Los usuarios de GrapheneOS, LineageOS, CalyxOS o Firefox para el modelo Android no superan la verificación automáticamente, no porque sean bots, sino porque no utilizan el software de Google.
Seguridad a costa de la privacidad de los datos
Cada desafío de Fraud Defense enruta la verificación a través de la infraestructura de Google, generando preguntas sin respuesta sobre la recopilación de datos y el cumplimiento de la privacidad.
Friendly Captcha no necesita códigos QR
La verificación de prueba de trabajo se ejecuta completamente en el navegador: sin certificación de dispositivo, sin dependencia de Google, sin usuarios excluidos. Pruébelo ahora ›
¿Qué es Google Cloud Fraud Defense?
En el evento Google Cloud Next celebrado el 22 de abril de 2026, Google anunció Google Cloud Fraud Defense, presentándolo como la próxima generación de su tecnología reCAPTCHA.
El objetivo declarado de la evolución de reCAPTCHA es bien conocido: distinguir a los humanos de los bots. Cloud Fraud está diseñado para proteger los sitios web de los ataques automatizados y reducir el fraude en lo que Google denomina “la web agente segura”, un entorno en el que los agentes de IA autónomos interactúan cada vez más con los servicios digitales junto a los usuarios humanos.
El cambio más evidente es el mecanismo de verificación CAPTCHA. Google se aleja del tradicional reCAPTCHA v2 o v3 puzles de reconocimiento de imágenes. En lugar de pedir a los usuarios que identifiquen pasos de peatones o hidrantes, Google Cloud Fraud Defense introduce un desafío de código QR. El usuario lo escanea con su teléfono. El teléfono confirma la presencia humana. Se otorga acceso.
Suena como una mejora limpia sobre los rompecabezas de imágenes para los usuarios legítimos. Pero el mecanismo real no es el código QR, es lo que sucede cuando el teléfono lo escanea. Los críticos ya han respondido.
Cómo funciona: La realidad técnica
Cuando un usuario escanea el código QR de Google Cloud Fraud Defense, su dispositivo se comunica con la infraestructura de Google para verificar la presencia humana. Según Los propios requisitos de Google, el sistema funciona en:
Dispositivos Android modernos con Google Play Services instalado
Un iPhone o iPad moderno con la versión iOS 16.4 o posterior
La ruta iOS no requiere ningún software adicional. La ruta Android requiere Google Play Services, la capa de software de código cerrado de Google que se ejecuta en los dispositivos Android certificados.
Ese único requisito es donde empiezan los problemas.
¿Quién se queda afuera?
Cualquier dispositivo Android que no cuente con Google Play Services no supera la verificación de Google Cloud Fraud Defense. Esto incluye:
GrapheneOS: la bifurcación Android reforzada en materia de seguridad recomendada por la Electronic Frontier Foundation, utilizada por periodistas, abogados y activistas en entornos de alto riesgo
CalyxOS y LineageOS: distribuciones Android orientadas a la privacidad que utilizan millones de usuarios en todo el mundo
Firefox para Androidque no aparece en la lista de navegadores compatibles declarada por Google para Fraud Defense
Estos no son casos extremos. Representan a los usuarios con más probabilidades de preocuparse por la forma en que un sitio web maneja sus datos, y menos propensos a presentar un riesgo real de fraude. Según lo informado por PrivacySavvy y documentado en detalle en los foros de XDA, la puesta en marcha ya ha suscitado una gran preocupación entre las comunidades Android preocupadas por la privacidad.
Para los operadores de sitios web, la implicación comercial es sencilla: cada usuario que ha optado conscientemente por no participar en el ecosistema de Google es tratado automáticamente como sospechoso. Ese no es puramente un resultado de seguridad. También es un resultado del ecosistema.
Críticos Trazan Paralelos con la Integridad del Entorno Web
Los defensores de la privacidad y los investigadores de seguridad han trazado paralelismos directos entre Google Cloud Fraud Defense y una propuesta que Google hizo, y luego retiró, tres años antes.
En junio de 2023, Google propuso Integridad del Entorno WebWEI) al proyecto Chromium: un mecanismo que habría permitido a los sitios web verificar si el navegador y el dispositivo de un usuario eran hardware certificado por Google. Los organismos de normalización, Mozilla y la Electronic Frontier Foundation lo rechazaron rápidamente. Mozilla declaró la propuesta “va en contra de los intereses de los usuarios’ y ”crea una internet cerrada controlada por los proveedores de sistemas operativos y dispositivos“. La EFF lo calificó de ”el plan de Chrome para implementar DRM en la web“. Google retiró la propuesta en cuestión de semanas.
Los críticos argumentan ahora que Google Cloud Fraud Defense logra resultados estructuralmente similares –condicionando el acceso web a la certificación del dispositivo– esta vez como un producto comercial en lugar de una propuesta de estándares públicos. Google no ha reconocido ninguna conexión entre Fraud Defense y WEI, y enmarca el producto exclusivamente como una plataforma de prevención de fraudes.
Preguntas sobre la recopilación y privacidad de datos
Google afirma que Google Cloud Fraud Defense utiliza “procesamiento de datos que preserva la privacidad”y describe su transición a un modelo de Procesador de Datos a partir del 2 de abril de 2026, otorgando a los operadores del sitio web “control directo sobre los datos del usuario”. Google también describe la recopilación de “telemetría anonimizada” a través de miles de millones de interacciones para potenciar sus modelos de detección.
Sin embargo, los defensores de la privacidad plantean preguntas que la documentación pública de Google no responde del todo: qué señales a nivel de dispositivo se recopilan durante una verificación de Google Cloud Fraud Defense, cuánto tiempo se conservan y si podrían utilizarse para crear identificadores persistentes entre sitios web. Dado que la verificación está vinculada al hardware certificado del dispositivo en lugar de a una sesión cookie, los críticos sostienen que esta arquitectura plantea dudas sobre la posibilidad de una atribución duradera, aunque ese no sea el propósito declarado de Google.
Para los operadores de sitios web sujetos a GDPR, esto crea una pregunta práctica de cumplimiento: comprender exactamente qué datos fluyen a través de Google Cloud Fraud Defense, sobre qué base legal y cómo documentarlo en una política de privacidad.
¿Realmente detiene a los bots?
El caso de seguridad para el mecanismo de desafío de QR de Google Cloud Fraud Defense merece un examen por dos frentes.
Bypass automatizado: Los investigadores de seguridad han señalado que un código QR mostrado en una pantalla puede ser escaneado por una cámara apuntada a esa pantalla, una automatización sencilla que se puede lograr con hardware comercial. Según discusión en Hacker News Tras el lanzamiento, un comentarista calculó que un dispositivo compatible con Android capaz de superar la verificación puede adquirirse por aproximadamente $30, lo que convierte la certificación basada en hardware en un coste fijo asumible para las operaciones profesionales con bots a gran escala.
Riesgo de comportamiento del usuario: Un profesional de respuesta a incidentes en el mismo Hilo de Hacker News planteó una preocupación separada: Fraud Defense entrena a los usuarios para escanear códigos QR con el fin de acceder a sitios web. Las campañas de phishing explotan habitualmente el comportamiento entrenado del usuario. La misma costumbre que ayuda a un usuario a superar un desafío legítimo de Google Cloud Fraud Defense podría hacerlo más susceptible a un código QR malicioso presentado en el mismo contexto.
Lo que esto significa para los operadores de sitios web
Los operadores que consideran la Defensa contra el Fraude se enfrentan a una serie de preguntas prácticas:
Obligaciones de cumplimiento
Integrar la Defensa contra el Fraude significa dirigir la verificación de sus usuarios a través de la infraestructura de Google. Comprender la base legal para ese procesamiento de datos, documentarla con precisión en su política de privacidad y asegurarse de que cumple con los requisitos del RGPD sigue siendo su responsabilidad. La transición de Google a un modelo de Procesador de Datos es un paso adelante, pero el marco de cumplimiento aún requiere un trabajo activo por parte de los operadores.
Riesgo de conversión
Cada usuario que no puede completar la verificación es una interacción perdida, y en el comercio electrónico ese costo se acumula rápidamente. Cómo los ataques de bots afecta la conversión del comercio electrónico y los ingresos.
Los usuarios preocupados por la privacidad, quienes utilizan ROM personalizadas para el Android y los usuarios de Firefox para el Android obtendrán un error silencioso, no porque sean bots, sino porque utilizan software que no forma parte de la arquitectura de certificación de Google.
Dependencia del proveedor
Fraud Defense vincula tu protección de bots directamente a la infraestructura y los requisitos de certificación de Google. Los cambios en los precios de Google, la lista de dispositivos compatibles o las políticas afectan tu capa de protección sin tu intervención.
Estructura de costos
La defensa contra el fraude es gratuita hasta 10 000 evaluaciones (Essentials), pasa a costar $8,00 por cada 1000 en el plan Premium y requiere un compromiso de 12 meses en el nivel Enterprise. ¿Cómo se compara esto con Precios reCAPTCHA?
Un enfoque diferente: Proof-of-Work sin certificación de dispositivos
La alternativa a la verificación basada en dispositivos no es una seguridad más débil. Es un modelo de seguridad completamente diferente.
Sistemas de prueba de trabajo como Friendly Captcha emite desafíos criptográficos que requieren esfuerzo computacional directamente en el navegador del usuario. Un solo humano resolviendo un desafío paga un costo insignificante. Una granja de bots que ejecuta sesiones concurrentesI enfrenta costos de cómputo que aumentan exponencialmente con cada intento adicional. Los agentes de IA, que consumen ciclos de GPU para operar, enfrentan la misma estructura de costos independientemente de su sofisticación.
No se utiliza ningún identificador de hardware ni escaneo de códigos QR. Ninguna capa de certificación determina quién puede participar. Los usuarios en GrapheneOS, Firefox o cualquier otro navegador y dispositivo completan la verificación sin fricción, porque el mecanismo nunca pregunta qué dispositivo están usando en primer lugar.
Friendly Captcha procesa únicamente la información necesaria para la detección de bots, aplica medidas automáticas de anonimización y elimina los datos en un plazo de 30 días, y mantiene todos los datos dentro de la infraestructura de la UE. El cumplimiento del RGPD está integrado en la arquitectura, no se deja en manos de los operadores para que lo implementen a posteriori.
Conclusión
Google Cloud Fraud Defense se presenta como una importante evolución de reCAPTCHA, diseñada específicamente para una web en la que cada vez navegan más tanto personas como agentes de IA autónomos. Su inteligencia contra el fraude a escala de Google y su protección unificada del recorrido del usuario son capacidades genuinas.
Al mismo tiempo, el producto plantea interrogantes legítimos que los operadores de sitios web deben considerar antes de integrarlo: qué usuarios quedan excluidos estructuralmente, qué datos fluyen a Google durante la verificación y cómo se documentan las obligaciones de cumplimiento. Los críticos trazan una línea desde Fraud Defense hasta Web Environment Integrity, un planteamiento que Google rechaza, pero que refleja un debate más amplio sobre quién controla el acceso a la web abierta.
La protección contra bots no requiere saber qué hardware tienen tus usuarios. Friendly Captcha lo demuestra cada día: sin bloquear el acceso a nadie, sin depender de la infraestructura de certificación de un único proveedor y con prácticas de datos claras y auditables que facilitan el cumplimiento normativo, en lugar de convertirlo en algo que hay que ir reconstruyendo a posteriori.
FAQ
Sí. Google ha confirmado que los clientes actuales de reCAPTCHA pasan automáticamente a ser clientes de Fraud Defense, sin necesidad de realizar ninguna migración. Las claves de sitio y las integraciones existentes se mantienen tal y como están: no es necesario realizar ninguna acción y los precios no varían.
No. Cuando el sistema decide verificar una sesión, requiere un teléfono Android que tenga instalada la versión 25.41.30 o superior de Google Play Services. Esto significa que Google Cloud Fraud Defense obligará a los usuarios de dispositivos sin servicios de Google —como GrapheneOS, CalyxOS o LineageOS— a que la verificación falle automáticamente, incluso si se trata de usuarios legítimos.
Google presenta Fraud Defense como la siguiente evolución de reCAPTCHA, ampliando su alcance más allá de la detección de bots para convertirse en una plataforma de confianza más amplia. Además de la protección contra bots, Fraud Defense incorpora la detección de apropiación de cuentas, la prevención de SMS toll fraud, la defensa de transacciones y herramientas diseñadas específicamente para la web agentiva. reCAPTCHA sigue siendo la capa de defensa contra bots dentro de la plataforma más amplia de Fraud Defense.
Google introdujo un modelo de Procesador de Datos para Defensa contra el Fraude a partir del 2 de abril de 2026, que otorga a los operadores de sitios web un control más directo sobre los datos de los usuarios. Sin embargo, el cumplimiento no es automático: los operadores siguen siendo responsables de documentar los flujos de datos, establecer una base legal y actualizar sus políticas de privacidad. Las preguntas sin respuesta sobre la recopilación de señales a nivel de dispositivo y la retención de datos significan que los operadores, y no Google, cargan con la responsabilidad del cumplimiento.
English 
German 
French 
Spanish 
Italian 
Portuguese