Google reCAPTCHA: proteja seu site com detecção avançada de bots

generated-image (16).png

Bots não batem à porta antes de entrar. Eles sondam páginas de login, inundam formulários de contato, acaparam estoque e raspam seus dados — tudo isso sem que um ser humano sequer toque no teclado. O Google reCAPTCHA é a contramedida mais amplamente implantada na web, usada por milhões de sites para separar visitantes reais de tráfego automatizado. Mas implantá-la de forma eficaz exige mais do que simplesmente inserir uma tag de script na sua página. Você precisa entender como o mecanismo de detecção funciona, qual versão se encaixa no seu caso de uso e onde os compromissos entre privacidade e acessibilidade exigem atenção.

Este guia conduz você por tudo: o mecanismo de detecção de bots, as diferenças entre versões, os passos de integração, as melhores práticas, considerações de UX, implicações de privacidade e uma comparação honesta com as principais alternativas — incluindo GeeTest, Imperva e Altcha.

Comece agora e automatize sua solução reCAPTCHA v2

Começar agora Demonstração

Como o mecanismo de detecção de bots funciona

O serviço google recaptcha opera com um modelo em camadas de coleta de sinais. Quando um usuário acessa uma página protegida, o cliente JavaScript do reCAPTCHA começa a observar passivamente o comportamento: trajetórias de movimento do mouse, profundidade de rolagem, hesitação antes do clique e intervalos de tempo entre teclas pressionadas. Humanos se movem com uma leve aleatoriedade natural; bots geralmente não.

Além dos sinais comportamentais, a google recaptcha api coleta dados do ambiente: reputação do endereço IP, fingerprint do navegador (fontes instaladas, resolução da tela, fuso horário, plugins), histórico de cookies e características do dispositivo. Tudo isso alimenta um modelo de pontuação de risco apoiado pela infraestrutura de machine learning do Google, que avalia cada visitante em tempo real e retorna um veredito em milissegundos.

O pipeline de tokens funciona assim:

O script do lado do cliente roda no carregamento da página e monitora o comportamento.
Quando uma ação protegida é acionada (envio de formulário, clique de login), grecaptcha.execute() é chamado e um token assinado é gerado.
Seu servidor envia esse token para o endpoint de verificação do google recaptcha (https://www.google.com/recaptcha/api/siteverify) junto com sua chave secreta.
O Google retorna uma resposta JSON contendo success, score (somente v3), action, challenge_ts, hostname e, opcionalmente, error-codes.
A lógica da sua aplicação decide o que fazer — permitir, desafiar (challenge) ou bloquear.

Para um passo a passo visual desse fluxo, a documentação de desenvolvedor do reCAPTCHA v3 e este guia técnico com diagramas trazem diagramas de sequência claros do pipeline completo de verificação de tokens.

Detalhamento das versões do reCAPTCHA

O Google oferece três níveis do serviço, cada um projetado para diferentes níveis de segurança e tolerância à fricção.

reCAPTCHA v2 — O clássico do checkbox (google recaptcha 2)

O Google reCAPTCHA 2 tem duas variantes. A versão com checkbox exibe o conhecido widget "I'm not a robot"; a maioria dos usuários reais passa com um único clique, mas o sistema eleva para desafios de imagem (semáforos, hidrantes, fachadas de lojas) quando sua confiança é baixa. A variante invisível executa a análise silenciosamente em segundo plano e só mostra um desafio se a sessão parecer suspeita — usuários em dispositivos “limpos” e navegadores bem comportados não veem nada.

reCAPTCHA v3 — Pontuação de risco invisível

A v3 elimina completamente o checkbox. Ela atribui a cada visitante uma pontuação de risco de 0.0 a 1.0 (1.0 = muito provavelmente humano) com base em comportamento e contexto. Os proprietários do site definem um limiar; sessões com pontuação abaixo dele podem ser redirecionadas para uma etapa secundária de verificação, receber uma checagem adicional ou ser bloqueadas de forma branda. A v3 é ideal quando a redução de fricção é prioridade — checkouts de e-commerce, plataformas de conteúdo e APIs de alto volume.

reCAPTCHA Enterprise — Controle máximo

O nível Enterprise estende a pontuação da v3 com recursos que incluem detecção de fraude, detecção de vazamento de senhas e suporte à integração de MFA (verifique a disponibilidade atual dos recursos na página do produto no Google Cloud). Ele vem com um Data Processing Addendum dedicado e oferece suporte ao gerenciamento de múltiplos domínios a partir de um único painel.

Após a migração do Google em 2025 de todas as Classic keys para o Google Cloud Platform, o reCAPTCHA agora usa um modelo de preços em três níveis:

Essentials: grátis, até 10.000 avaliações (assessments) por mês
Standard: $8/mês, até 100.000 avaliações (assessments) por mês
Enterprise: $1 por 1.000 avaliações (assessments) acima de 100.000/mês

Versão	Fricção para o usuário	Pontuação de risco	Melhor para
reCAPTCHA v2 (checkbox)	Média	Não	Login, registro, formulários de contato
reCAPTCHA v2 (invisible)	Baixa–média	Não	Seções de comentários, barras de busca
reCAPTCHA v3	Nenhuma	0.0–1.0	Checkout, APIs, atividade de conta
reCAPTCHA Enterprise	Nenhuma	0.0–1.0 + políticas	Alto risco, setores regulados

Integrando o Google reCAPTCHA no seu site

Etapa 1 — Registre-se e obtenha suas chaves

Acesse o reCAPTCHA Admin Console, registre um novo site, selecione a versão e adicione seus domínios. Você receberá duas chaves: uma site key (pública, usada no client-side) e uma secret key (privada, usada no server-side para verificação). A google recaptcha site key identifica sua propriedade para o Google.

Etapa 2 — Carregue o script da API

Adicione o seguinte a qualquer página (google recaptcha page) que você queira proteger. Isso carrega a biblioteca JavaScript www google recaptcha:

<script src="https://www.google.com/recaptcha/api.js" async defer></script>

Observação: em ambientes em que google.com é inacessível (por exemplo, certas regiões), o domínio google recaptcha net (https://www.recaptcha.net/recaptcha/api.js) pode ser usado como um endpoint funcionalmente equivalente.

Etapa 3 — Incorpore o widget no seu formulário

Para um google recaptcha form usando v2 checkbox:

<form action="/submit" method="POST">
  <div class="g-recaptcha" data-sitekey="YOUR_SITE_KEY"></div>
  <button type="submit">Submit</button>
</form>

Para v3, chame grecaptcha.execute() programaticamente quando o usuário acionar uma ação protegida e, em seguida, anexe o token retornado ao payload do formulário como um campo oculto.

Etapa 4 — Valide no servidor

Envie o token para o endpoint de verificação do Google (google recaptcha) no seu backend:

POST https://www.google.com/recaptcha/api/siteverify

  secret=YOUR_SECRET_KEY
  response=TOKEN_FROM_CLIENT

Para v3, verifique success: true e score >= your_threshold antes de permitir a ação.

Etapa 5 — Use chaves de teste durante o desenvolvimento

Durante staging e QA, use as chaves oficiais de teste do google recaptcha (disponíveis na documentação do admin console). Essas chaves sempre retornam um resultado de aprovação, então seu pipeline de integração não fica bloqueado enquanto você valida o envio do formulário e a lógica de tratamento de tokens.

Boas práticas e checklist de implementação

Ajuste seu limiar (threshold) do v3 com cuidado. Um score de 0.5 é frequentemente citado como ponto de partida, mas ações de alto risco (reset de senha, pagamento) podem justificar 0.7 ou mais. Monitore as taxas de falso positivo antes de apertar o limiar.
Valide no servidor — sempre. As checagens de reCAPTCHA no client-side podem ser burladas; a proteção real está na chamada de verificação do seu backend.
Faça defesa em camadas. O reCAPTCHA funciona melhor junto com rate limiting, campos honeypot e um WAF. Nenhuma ferramenta isolada garante prevenção completa contra bots.
Vincule tokens a ações. No v3, passe um parâmetro action (por exemplo, action: 'checkout') e verifique no servidor se ele corresponde para evitar ataques de reutilização de tokens.
Faça rotação de secret keys se houver comprometimento. Trate sua secret key como uma senha; nunca a exponha em código client-side ou em repositórios públicos.
Adie o carregamento do script quando possível para evitar bloquear a renderização da página; use os atributos async defer.
Configure alertas no seu painel do reCAPTCHA para mudanças bruscas na distribuição de score, o que pode indicar novas campanhas de ataque.

Considerações de UX e acessibilidade

A versão que você escolhe molda diretamente seu funil de conversão. Os desafios de checkbox do reCAPTCHA v2 — especialmente grades de imagens em múltiplas etapas — introduzem fricção mensurável no momento do envio e podem frustrar usuários em dispositivos móveis com telas pequenas. A abordagem invisível do reCAPTCHA v3 elimina essa fricção, mas desloca o risco para falsos positivos: usuários legítimos com VPNs, Tor exit nodes ou navegadores focados em privacidade podem receber scores baixos e acabar sendo desafiados (challenged) ou bloqueados incorretamente.

Do ponto de vista de acessibilidade, o reCAPTCHA v2 oferece uma alternativa de desafio por áudio, mas sua qualidade historicamente tem sido inconsistente para usuários de leitores de tela. Nem as interações com o checkbox nem os desafios por áudio atendem plenamente às expectativas da WCAG 2.1 AA em todos os cenários. Principais mitigações:

Sempre disponibilize a opção de desafio por áudio junto com a visual.
Ofereça um caminho de fallback (por exemplo, verificação por e-mail) para usuários que não conseguem concluir nenhum desafio de CAPTCHA.
Teste com leitores de tela (NVDA, VoiceOver) e navegação somente por teclado antes de implantar.
Para v3, monitore a distribuição de score entre segmentos de usuários — usuários móveis e usuários com hardware mais antigo frequentemente geram sinais com menor confiança, não relacionados à atividade de bots.

Implicações de privacidade

A eficácia do reCAPTCHA tem um custo: coleta extensa de dados. De acordo com conclusões de reguladores, o serviço pode analisar sinais comportamentais incluindo movimentos do mouse, digitação, endereços IP, fingerprints do navegador, plugins instalados, resolução de tela e, em algumas configurações, capturas de tela do navegador. Essa intensidade entra em conflito direto com o princípio de minimização de dados do GDPR.

Reguladores já agiram. Em março de 2023, a CNIL da França multou a Cityscoot em €125.000 em parte por implantar o reCAPTCHA sem consentimento prévio do usuário, decidindo que o acesso da ferramenta a dados do dispositivo exige autorização explícita sob o Artigo 82 da Lei Francesa de Proteção de Dados. A conclusão: o reCAPTCHA não é inerentemente compatível com o GDPR “pronto para uso”.

Passos práticos para conformidade:

Coloque o reCAPTCHA atrás do consentimento de cookies. Se o usuário recusar, o reCAPTCHA não deve carregar.
Atualize sua política de privacidade para divulgar quais dados são coletados, por quê e para onde são transferidos.
Realize um DPIA (Data Protection Impact Assessment) sob o Artigo 35 do GDPR, dada a coleta comportamental e as transferências de dados para os EUA envolvidas.
Para usuários Enterprise, assine o Cloud Data Processing Addendum do Google, que limita explicitamente o uso dos dados a segurança e entrega do serviço — mas saiba que isso reduz, e não elimina, o risco de conformidade.
Considere alternativas (veja abaixo) se sua audiência for principalmente baseada na UE e as expectativas de privacidade forem altas.

Alternativas ao Google reCAPTCHA

O Google reCAPTCHA domina em participação de mercado, mas nem sempre é a escolha certa. Veja como três alternativas líderes se comparam:

GeeTest

A GeeTest usa desafios comportamentais adaptativos — mais comumente um quebra-cabeça de slider — que ajustam dinamicamente a complexidade com base na avaliação de risco em tempo real. A plataforma oferece suporte a uma ampla variedade de idiomas e expõe múltiplas estratégias de segurança configuráveis via seu dashboard (verifique números exatos diretamente com a GeeTest). Ela se concentra especificamente na segurança de interação do usuário, em vez de segurança completa da aplicação, o que a torna uma boa opção para sites que querem um mecanismo de desafio mais amigável à privacidade e consciente do GDPR.

Imperva (Incapsula)

A Imperva é uma plataforma de segurança de aplicações de nível enterprise, e não um widget de CAPTCHA independente. Seu bot management é integrado a uma pilha mais ampla que inclui WAF, proteção contra DDoS, defesa contra SQL injection e análise de tráfego em tempo real. Isso a torna uma escolha atraente para organizações que querem uma camada de segurança unificada, em vez de uma solução pontual. Preços e complexidade de configuração são significativamente maiores do que em alternativas baseadas em widget.

Altcha

A Altcha é um CAPTCHA open-source e self-hosted baseado em um mecanismo de proof-of-work — o navegador executa uma pequena tarefa computacional em vez de enviar dados comportamentais a um terceiro. Ela não usa fingerprinting, não usa cookies de rastreamento e foi projetada para ser totalmente compatível com GDPR, HIPAA e CCPA. Ela atende aos padrões WCAG 2.2 AA e European Accessibility Act (EAA). O trade-off: pode ser menos resiliente contra bots altamente sofisticados, e recursos avançados exigem a assinatura paga Sentinel. Ela também é notavelmente leve, com aproximadamente 30 kB (GZIPped) versus 270+ kB do reCAPTCHA — cerca de 90% menor — com impacto quase zero no tempo de carregamento.

Solução	Mecanismo	Privacidade	Preço	Melhor para
Google reCAPTCHA v3	Pontuação comportamental	Exige trabalho de GDPR	Grátis / preços por níveis	Apps web em geral
GeeTest	Desafio adaptativo	Orientado ao GDPR	Baseado em volume	Sites globais, com alto tráfego
Imperva	WAF + bot management	DPA enterprise	Alto / sob medida	Pilhas de segurança enterprise
Altcha	Proof-of-work	GDPR/HIPAA/CCPA nativo	Grátis (self-hosted) + Sentinel	Apps privacy-first, acessíveis

Testes e automação: onde o CapMonster Cloud se encaixa

Depois que sua integração do reCAPTCHA está no ar, existe uma categoria de problemas que o QA manual deixa passar: campos de token que não serializam corretamente, callbacks que não disparam em certos navegadores, lógica de verificação no backend que não corresponde ao parâmetro action do frontend ou timeouts de rede regionais que fazem a google recaptcha api parecer quebrada para usuários reais.

É aqui que o CapMonster Cloud se torna valioso em fluxos de QA autorizados. O CapMonster Cloud é um serviço automatizado de resolução de CAPTCHA que aceita parâmetros de CAPTCHA — como websiteURL e websiteKey da configuração do google recaptcha do seu site — processa esses dados via API e retorna um token g-recaptcha-response pronto para uso. Em seguida, você pode injetar esse token no formulário para verificar se a lógica de verificação do seu backend aceita e processa tokens válidos de ponta a ponta, sem depender de um testador humano para resolver desafios repetidamente.

O CapMonster Cloud oferece suporte a reCAPTCHA v2, reCAPTCHA v3 e reCAPTCHA Enterprise por meio de sua task API padronizada. Uma solicitação básica de resolução v2 se parece com isto (verifique o nome exato do tipo de task na documentação da API do CapMonster Cloud):

POST https://api.capmonster.cloud/createTask
  
{   
  "clientKey": "YOUR_API_KEY",   
  "task": {   
    "type": "RecaptchaV2Task",   
    "websiteURL": "https://your-site.com/protected-page",   
    "websiteKey": "YOUR_RECAPTCHA_SITE_KEY"   
  }   
}

Assim que a task for concluída, chamar getTaskResult retorna o token gRecaptchaResponse , que você insere no campo oculto do formulário para validação no backend.

Esta abordagem é particularmente útil para:

Testes de regressão após mudanças no frontend — confirmar que o widget ainda carrega, que o token é enviado e que o backend verifica corretamente
Testes de edge cases — timeouts, tentativas (retries) e fallbacks elegantes quando o serviço reCAPTCHA fica temporariamente indisponível
Comparar soluções de CAPTCHA medindo onde os desafios aparecem, taxas de conclusão e pontos de abandono na integração em diferentes implementações

Importante: o CapMonster Cloud é destinado a automatizar testes nos seus próprios sites e em sites aos quais você tem acesso legal. Sempre verifique se o seu uso está em conformidade com os termos de serviço do seu site e as leis aplicáveis.

Conclusão e próximos passos

O Google reCAPTCHA continua sendo uma camada de detecção de bots bem projetada e amplamente suportada — mas não é uma solução de “configurar e esquecer”. Sua escolha de versão, configuração de limiar, tratamento de consentimento e fallbacks de acessibilidade determinam se ela protege seu site de forma eficaz ou afasta silenciosamente usuários legítimos.

Escolha v2 quando você precisar de uma garantia visível e baseada em desafios em formulários críticos. Escolha v3 quando um UX sem atrito for inegociável e você estiver preparado para ajustar limiares com cuidado. Escolha Enterprise quando você precisar de aplicação de políticas, sinais antifraude avançados e um Data Processing Addendum assinado. E, se seu público, postura de compliance ou compromissos de privacidade indicarem se afastar do Google, GeeTest, Imperva e Altcha oferecem alternativas relevantes com trade-offs distintos.

Pronto para começar?

Configure o Google reCAPTCHA no Google Cloud para seu ambiente de produção
Experimente o CapMonster Cloud para validar sua integração de CAPTCHA de ponta a ponta em um ambiente de teste controlado antes de entrar em produção