Google cambia reCAPTCHA para que no funcione para usuarios de Android sin Google

 (reclaimthenet.org)
2 puntos por GN⁺ 2026-05-09 | 5 comentarios | Compartir por WhatsApp
  • Google vinculó el reCAPTCHA de nueva generación para Android con Google Play Services, por lo que los usuarios de Android sin Google fallan automáticamente en los pasos de verificación adicionales
  • Para que un usuario de Android demuestre que es humano, debe ejecutar el framework propietario de apps de Google, Google Play Services 25.41.30 o superior
  • Si se detecta actividad sospechosa, en lugar del clásico rompecabezas de imágenes ahora se exige escanear un código QR, y este proceso solo se completa si Play Services se comunica con los servidores de Google
  • Los dispositivos con iOS 16.4 o superior pueden pasar la misma verificación sin software adicional de Google, pero se crea una estructura asimétrica en la que solo quedan bloqueados los usuarios de Android que rechazan Play Services
  • Como reCAPTCHA está al frente de millones de sitios web, este cambio sienta un precedente en el que el acceso web básico requiere ejecutar software de Google y transferir datos a los servidores de Google

Método de verificación atado a Google Play Services

  • En Android, el proceso para demostrar que una persona es humana depende del framework propietario de apps de Google, Google Play Services 25.41.30 o superior
  • Si reCAPTCHA determina que hay actividad sospechosa, en vez del tradicional rompecabezas de imágenes exige escanear un código QR
  • Como el escaneo del QR requiere que Play Services, que se ejecuta en segundo plano, se comunique con los servidores de Google, la verificación falla en GrapheneOS y en otras ROM personalizadas que eliminaron el software de Google
  • Los usuarios que usan un teléfono sin Google fallan automáticamente cuando el sistema solicita verificación adicional

Google Cloud Fraud Defense y cómo se introdujo

  • El 23 de abril, Google presentó en Cloud Next un sistema más amplio llamado Google Cloud Fraud Defense
  • El sistema fue presentado como una plataforma de confianza para lidiar tanto con agentes autónomos de IA como con bots tradicionales
  • El hecho de que el proceso para demostrar que una persona es humana en Android quedó vinculado a la ejecución de software propietario de Google no apareció de forma destacada en el anuncio
  • Este cambio no surgió de repente; en la misma página de soporte ya aparecía el requisito de Play Services 25.39.30 en una captura de Internet Archive de octubre de 2025
  • Un usuario del subreddit degoogle en Reddit lo confirmó, y luego se difundió más ampliamente por reportes de PiunikaWeb y Android Authority

Diferencias entre iOS y Android

  • Los dispositivos Apple con iOS 16.4 o superior completan la misma verificación sin instalar apps adicionales
  • Google no exige a los usuarios de iPhone instalar software de Google para pasar reCAPTCHA
  • Se crea una estructura asimétrica en la que solo quedan bloqueados los usuarios de Android que rechazan Play Services
  • Esta diferencia parece estar más relacionada con el control del ecosistema que con la seguridad

Problemas de accesibilidad web y transferencia de datos

  • reCAPTCHA está al frente de millones de sitios web
  • Si Google ata la verificación a Play Services, se crea un precedente en el que el acceso a contenido web básico requiere ejecutar software de Google y transferir datos a los servidores de Google
  • Los usuarios de teléfonos sin Google eligen esa configuración precisamente porque no están de acuerdo con las prácticas de datos de Play Services
  • El nuevo sistema trata por defecto como sospechosa la ausencia de software propietario de Google, penalizando esa elección

La exclusión que terminan eligiendo los desarrolladores web

  • Los sitios web que adopten este reCAPTCHA terminan enviando la señal de que no dan la bienvenida a usuarios de Android sin Google
  • Ese grupo de usuarios todavía es pequeño, pero es uno de los más sensibles a cómo los sitios manejan los datos
  • Es poco probable que ese grupo ceda fácilmente ante la exigencia de Google Play Services

Lecturas relacionadas

5 comentarios

 
holywork 2026-05-12

¿Se ha reportado que no se pueden usar los desafíos de imagen o audio existentes?
 
holywork 2026-05-12

No sé si es un titular exagerado para provocar clics, o si simplemente se ve todo lo que hace Google de manera automáticamente negativa, pero cuesta entender por qué se sigue repitiendo sin verificación una afirmación sin fundamento como: "When the system flags suspicious activity, it drops the old image puzzles."

Parece más bien un malentendido originado en la frase: "To complete the mobile verification, you must use a compatible mobile device." Esa oración significa "para usar la verificación móvil, necesitas un dispositivo compatible", no "ahora solo se puede usar la verificación móvil".

La documentación oficial también solo explica en qué entornos es compatible la verificación móvil; no dice que los desafíos de imágenes anteriores hayan desaparecido. Incluso revisando la consola de Cloud o la documentación para desarrolladores, no aparece nada que indique que el operador del sitio o el desarrollador pueda limitar el tipo de desafío. De hecho, según esa nota, la publicación en /r/degoogle, la página oficial de ayuda de Google y lo que yo mismo comprobé, debajo del código QR siguen apareciendo los íconos del ojo o de los audífonos, y a través de ellos se pueden seguir usando los desafíos anteriores sin cambios.

En otras palabras, la verificación móvil parece más bien un método adicional de autenticación, ofrecido por conveniencia en dispositivos compatibles, y no hay base suficiente para afirmar tajantemente que "los dispositivos de-googled ya no pueden resolver reCAPTCHA".

Cuesta entender esa actitud de dar por sentado que todo lo que hace Google para prevenir fraudes o mejorar la experiencia de usuario es automáticamente malicioso, mientras al mismo tiempo parece aceptable difundir información no verificada. Como mínimo, si se va a hacer una crítica, ¿no habría que comprobar primero los hechos? Repetir una y otra vez información exagerada sin hacer esa distinción se parece más a difundir miedo que a una crítica.
 
ndrgrd 2026-05-12

Lo mismo con las restricciones para instalar apps; a estas alturas, Android ya hay que verlo como un ecosistema cerrado.
 
GN⁺ 2026-05-09
Opiniones en Hacker News

  • Este nuevo reCAPTCHA se entiende básicamente como atestación remota (remote attestation)
    La atestación remota no usa firmas ciegas, porque eso permitiría reutilizarlas a gran escala. Entonces, si los servidores de Google se ponen de acuerdo, pueden vincular técnicamente el dispositivo con quien presenta la prueba: el flujo sería EK (clave privada fija grabada en el hardware) → AIK (clave de identidad temporal del área segura, firmada por los servidores de Google) → atestación (firmada por la AIK)
    Si los servidores de Google registran la conversión EK → AIK, pueden rastrear fácilmente una atestación específica hasta la EK del dispositivo. Por eso casi no existen servicios en línea que ofrezcan atestación remota falsa, y parece difícil que los haya en el futuro. Porque el siguiente paso de operar uno de esos servicios es que Google se haga cliente y ponga todos los dispositivos en una lista de bloqueo
    Si este nuevo reCAPTCHA no tiene medidas especiales, no solo estaría encerrando los servicios de internet detrás de un chip TPM, sino también entregándole el anonimato a Google. A menos que consigas un dispositivo temporal no rastreable para cada servicio, este esquema permite vincular entre sí todas tus cuentas en varios servicios. Es parecido a la verificación de edad: aunque parezca que el servicio tendría que cooperar para conectar la sesión de reCAPTCHA con el registro, es muy probable que solo con la hora de registro el conjunto anónimo casi se desmorone

    • Si operas un sitio web, también parece fácil subir el mismo código a tu propio sitio para reenviar solicitudes de atestación a otras personas y hacer que Google bloquee el dispositivo de esa persona en vez del tuyo
    • Si existe una empresa así, no veo qué sentido tiene depender del TPM. El futuro de los bots financiados por VC se ve prometedor
      https://doublespeed.ai/
    • No creo que “interpretar este código QR” entre ni siquiera en la lista de las 500 mil tareas en las que “los humanos pueden hacerlo mejor que las computadoras”
    • En la documentación de reCAPTCHA no veo un requisito de que el soporte de atestación por hardware sea obligatorio; parece que con Play Services basta
      Probablemente Google haga la atestación de forma remota y use una app con acceso enorme al teléfono, como Play Services, para correlacionar distintos datos. Puede ser con el pretexto de juzgar mejor la “humanidad” de alguien, incluso incluyendo la actividad local del teléfono
      Para la gente que usa una cuenta de Google, quizá no haya una gran diferencia en cuanto a los datos recolectados
      Con este enfoque, en teoría también sería posible falsificarla, pero desde la perspectiva de Google sería fácil detectar atestaciones compartidas entre muchas personas
      De entrada es una actualización de un sistema muy aproximado, así que todavía no requiere seguridad absoluta, pero es probable que eludirlo se vuelva extremadamente difícil
    • Si Google no les pidió a los usuarios de iPhone instalar software de Google para pasar la prueba, ¿podría un teléfono Android des-Googleado hacerse pasar por un iPhone?

  • Ahora no uso Android, casi tampoco he usado Android con Google en casi 10 años, y tampoco lo haré en el futuro. Si esta es la línea que hay que mantener hasta el final, así será
    No voy a usar atestación por hardware, la controle Google o no. Incluso si tuviera un teléfono Android certificado por Google y sin root, creo que no debería usarse

    • Cuando una app fintech deja de funcionar y ya no puedes recibir dinero, deja de ser un problema interesante. Por eso hace falta regulación
      Aunque no parece que los políticos vayan a enfrentarse a una empresa de publicidad. Al fin y al cabo, son sus clientes

  • Tenía un Android viejo y barato como respaldo, y hace poco me pasé a GrapheneOS. Mantengo un solo perfil de Google y lo uso solo para Uber, Google Chat del trabajo y mapas
    Un banco se negaba a funcionar incluso con los servicios de Google, así que me cambié de banco. Gran parte de mi uso móvil lo moví a cosas autoalojadas, y configuré freshrss de texto completo, mi gestor de contraseñas, calendario, gestión de tareas y demás para no exponerlos directamente a internet
    Es algo molesto, pero me alegra haber empezado este camino. Cada vez parece más que uno terminará evitando el internet mismo

    • ¿Cuál sería la mejor alternativa a Google Drive? Yo también me fui por ese camino, pero Samba a veces es medio fastidioso

  • archive.is me pidió escanear un código QR, y esto detrás de Cloudflare da demasiada vergüenza. ¿Le están imponiendo KYC a los visitantes del sitio web? ¿Están locos?
    Si siguen empujando en esta dirección, la web se rompe. ¿De repente millones de sitios web van a imponer KYC?
    https://ibb.co/X9Q6Y84
    Digo KYC porque hay muy pocas formas no delictivas de conseguir una SIM sin KYC y crear una cuenta de Google para Play Store sin número de teléfono. Entonces cada visita a un sitio web quedaría vinculada a una identidad real
    Como no uso Android stock, en este momento de verdad no puedo acceder a muchos sitios web. Es absurdísimo

    • El texto dice “reCAPTCHA no comparte tus datos con este sitio”, pero no dice que no los comparta con Google. Entonces, ¿sí los comparte?
    • Esto sí está muy mal :-(
      Sobre todo en lugares como archive.is, parece que ver internet sin teléfono se va a volver mucho más difícil
      No sé qué tan relacionado esté con la discusión, pero por si sirve, hice un proyecto para archivar páginas de archive.is en archive.org/Wayback Machine. Usa singlefile
      La comunidad podría usar algo así a gran escala. Ojalá archive.is arregle este problema de exigir códigos QR y no se vuelva algo permanente
      [0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...

  • No entiendo por qué no adoptaron Private Access Tokens. Tampoco son maravillosos, pero al menos habrían podido venderlo así: fingir que no se trata de invadir la privacidad de la gente, usar la excusa tradicional de “Apple también lo hace”, aparentar orientación a estándares y promocionarlo como una función completamente transparente para el usuario final
    Si lo hubieran hecho, parece que habrían logrado algún tipo de atestación de dispositivo con mucha menos resistencia. Pero no parece que ese fuera el objetivo real

    • En el fondo no resuelve nada. Lo que quieren es identificar a una persona específica, o al menos un dispositivo relativamente caro, para que si lo bloquean, siga bloqueado
    • ¿No será el síndrome de Not Invented Here?

  • Esto ya cruzó la línea en la que el gobierno debería intervenir para prohibírselo con fuerza a Google o multarlo. Es una conducta monopólica

    • Lo monopólico se nota en que, si vas al sitio de documentación, la mitad del video trata de conectar esta función con Google Analytics
      Es una estructura para reforzar su monopolio de búsqueda y publicidad usando otros productos
      Ya no se podría raspar contenido para hacer un mejor Google o Gemini, ni construir un sistema operativo que compita con Google o Apple, ni crear un competidor de Google Analytics
      Es claramente anticompetitivo
    • Justamente los gobiernos son quienes más necesitan algo así. Quieren saber quiénes son los disidentes potenciales y actuales
    • Aquí sí parece haber base clara para investigar por venta atada ilegal o abuso de poder de mercado. Ojalá la FTC también esté mirando esto
    • Peor aún, el gobierno ya está usando esto incluso en sitios .gov y nos lo está imponiendo

  • ¿Alguien sabe qué cambió en iOS 16.5 para que Google dejara de exigir instalar una app? Por lo que se ve, parece estar relacionado con Private Access Tokens, la atestación remota de Apple
    https://developer.apple.com/videos/play/wwdc2022/10077/

  • Es la clásica movida de quitar la escalera para bloquear agentes de IA competidores mientras aseguran el acceso para los suyos
    El mercado de agentes autónomos que prestan servicios y realizan tareas en línea va a ser enorme, así que necesitan fichas de negociación para que sus bots no queden bloqueados en activos controlados por Amazon, Cloudflare, Microsoft y otros

  • Hace poco ayudé a familiares confundidos a borrar dos cuentas de Google Cloud cuya existencia ni siquiera conocían. Solo se enteraron al recibir un correo diciendo que reCAPTCHA se integraría con otros productos de Google
    No tengo idea de qué pasó. Mi mejor hipótesis hasta ahora es que resolvieron un CAPTCHA mientras tenían iniciada sesión en una cuenta de Google en el mismo navegador y realmente apretaron el botón equivocado. Es rarísimo

    • ¿No habrá sido el playground de AI Studio? Todo parece estar integrado

  • Para ser justos, ya hay apps que piden teléfono para registrarte. Por ejemplo, VK y Telegram hacen eso
    También parece que Google exige escanear un código QR para registrar cuentas, así que si el objetivo es cualquiera, quizá sea más fácil simplemente comprar cuentas de Google en el mercado negro
    Hoy en día nadie confía en el navegador web
 
holywork 2026-05-12

¿De dónde sale esa reacción de "¿Están en su sano juicio?"? Parece que archive.is, que hasta ahora ha ofrecido un servicio gratuito sin siquiera poner anuncios, fuera un derecho básico del que naturalmente hay que disfrutar. Si ponen anuncios, casi dan la impresión de que les mandarían amenazas de muerte.