A IA venceu o CAPTCHA. O que vem por aí?

Por mais de uma década, os usuários da Internet tiveram que forçar a vista para enxergar hidrantes, pontes e bicicletas borradas, até que chegou a IA. Qual é o futuro do CAPTCHA?

Por que os CAPTCHAs estão prestes a desaparecer: como a IA transformou o teste "prove que você é humano"

Os CAPTCHAs, como os conhecemos, surgiram em nossas telas há 26 anos. Embora tenham evoluído bastante desde então, os CAPTCHAs sempre seguiram o mesmo princípio: apresentar uma tarefa que um humano resolve em segundos, mas um computador não.

Tudo começou com texto distorcido, problemas de matemática e clipes de áudio curtos. Então veio a era de identificar hidrantes, semáforos e motocicletas, uma fase que parecia durar para sempre. Mas descobriu-se que os LLMs modernos conseguem resolver esses quebra-cabeças visuais muito mais rápido e com mais precisão do que qualquer humano jamais conseguiria.

Veja como esses testes de “você é humano?” mudaram e o que isso significa para a sua segurança.

O fim da era de clicar em imagens

Em 2007, o Google lançou o reCAPTCHA. Oito anos depois, passou a pedir que os usuários selecionassem todas as imagens que correspondessem a um determinado prompt. Assim, milhões de usuários da Internet se tornaram, sem perceber, especialistas em identificar semáforos, bicicletas, telhados, pontes e hidrantes. É claro que os bots de IA já aprenderam há muito tempo a decifrar esses quebra-cabeças.

Por isso, em junho de 2026, o Google começou a testar uma forma totalmente nova de verificar se você é humano. Em vez de imagens, alguns usuários agora são solicitados a gravar um vídeo curto mostrando gestos com as mãos. Os algoritmos analisam a filmagem, rastreando 21 pontos-chave nas articulações das mãos e dos dedos. Com base no movimento da sua mão, o sistema consegue identificar se você é um ser humano de verdade ou um bot. Passar por esse novo tipo de CAPTCHA significa conceder acesso à câmera, algo que chama a atenção de quem se preocupa com segurança e privacidade. Além disso, pesquisadores de segurança afirmam já ter descoberto uma brecha no CAPTCHA experimental do Google baseado em gestos com as mãos, demonstrando que basta uma foto de uma mão para enganá-lo.

Ainda assim, o Google insiste que esses vídeos nunca são vinculados à sua identidade pessoal e nenhum áudio é gravado. A política de segurança deles também afirma que o Google exclui todos os dados assim que a verificação é concluída. Como sempre, confiar ou não no Google é uma decisão que cabe só a você. Gostaríamos apenas de indicar nossa postagem, “É seguro tirar uma selfie com um documento de identidade?“, que detalha os riscos da verificação biométrica usando fotos de passaporte como exemplo.

Quais são as alternativas para o reCAPTCHA?

Embora o reCAPTCHA do Google ainda seja a principal referência para bloquear bots, a IA está forçando o mundo a se adaptar, e os CAPTCHAs tradicionais estão ficando no passado. Veja um breve resumo de outros serviços e métodos de bloqueio de bots, do ponto de vista da segurança.

Sistemas de análise de comportamento

Uma das formas mais avançadas de proteger um site contra enxames de bots é um sistema de análise comportamental. Esse método avalia automaticamente cada visitante, rastreando movimentos do mouse, padrões de cliques e impressões digitais, para detectar comportamento humano. Mas essa também não é uma solução infalível contra bots: os operadores podem simplesmente treiná-los para imitar padrões de comportamento naturais, permitindo que os bots contornem esse tipo de defesa.

Para os usuários, isso não é exatamente uma boa notícia quando se trata de privacidade. Afinal, ninguém quer que todos os sites na Internet coletem as especificações de seus dispositivos e rastreiem como eles se comportam. Ainda assim, também não podemos chamar isso de vigilância em larga escala, já que a maioria desses sistemas não tenta descobrir quem você realmente é, e seus criadores prometem não armazenar seus dados ou usá-los para fins de marketing. O objetivo principal aqui é, estritamente, descobrir quem acabou de acessar a página: um humano ou um bot.

Turnstile e hCaptcha

Outro grande concorrente do reCAPTCHA é o Cloudflare Turnstile. Ele realiza a verificação de duas maneiras: completamente em segundo plano ou por meio de uma ação mínima do usuário. Você não precisa fazer nada ou apenas marca a caixa de seleção “Eu não sou um robô”. O principal risco para os usuários aqui está relacionado à engenharia social. Os hackers costumam usar os CAPTCHAs com aparência legítima em sites de phishing. Isso faz com que os usuários tenham uma falsa sensação de segurança e impede que os verificadores de segurança identifiquem páginas maliciosas.

Depois, há o hCaptcha, um serviço com forte foco em segurança que, ao contrário do reCAPTCHA e do Turnstile, não pertence a uma gigante da tecnologia.

Chaves de acesso

De modo geral, todos os métodos e serviços mencionados até agora seguem o mesmo esquema: coletam os seus dados, às vezes os armazenam e os usam para outros fins. A principal mudança agora é que eles exigem menos esforço de sua parte. Você não precisa procurar por hidrantes ou acenar com a mão para uma câmera. Mas você pode ir além e eliminar completamente os CAPTCHAs se um site for compatível com chaves de acesso.

Nesta configuração, você não faz login com uma senha; em vez disso, usa chaves criptográficas ativadas por biometria ou um PIN, o que geralmente torna desnecessária uma verificação extra para “provar que você é humano”. Detalhamos o que são exatamente as chaves de acesso, onde funcionam e como usar essa tecnologia na nossa postagem Chaves de acesso em 2025: seu guia completo para login sem senha. Se você quiser armazenar suas chaves de acesso e garantir que elas funcionem perfeitamente em todos os seus dispositivos, nosso gerenciador de senhas resolve isso para você.

Infelizmente, as chaves de acesso não funcionam em situações em que você deseja permanecer anônimo e navegar sem criar uma conta. Por conta disso, elas não conseguem substituir os CAPTCHAs completamente, mas ainda assim facilitam bastante a vida da grande maioria dos usuários.

Como proteger sua privacidade

Do ponto de vista do usuário, não faz muita diferença qual método de proteção contra bots um site decide usar. Sejamos sinceros: você provavelmente não vai sair de uma página só porque ela usa reCAPTCHA ou um sistema de análise comportamental. Além disso, quando se trata de sistemas que funcionam silenciosamente em segundo plano, dificilmente dá para saber que tipo de dados eles coletaram sobre você e seu dispositivo. Mas isso não significa que sua privacidade esteja perdida.

Nossos aplicativos Kaspersky Standard, Kaspersky Plus e Kaspersky Premium para Windows e macOS incluem Navegação privada. O recurso impede que sites de terceiros rastreiem sua atividade online em tempo real. Para privacidade móvel, você pode contar com a Privacidade social (Android , iOS). Além disso, os dispositivos Android com a versão 9 ou posterior incluem o recurso Quem está me espionando disponível em regiões selecionadas. Essa ferramenta detecta stalkerware, verifica tags de rastreamento ocultas e revisa permissões de aplicativos que facilitam a espionagem.

Por fim, nosso gerenciador de senhasprotege você quando um site de phishing usa um CAPTCHA verdadeiro para parecer legítimo, o Kaspersky Password Manager não permitirá o preenchimento automático de nome de usuário e senha na página. Veja o que mais você pode fazer para manter seus dados privados:

  • Não insira seus dados em um site só porque ele está protegido por um CAPTCHA. Há muito tempo, golpistas usam reCAPTCHAs, hCaptchas e Turnstiles verdadeiros em páginas de phishing para conquistar a confiança.
  • Prefira utilizar chaves de acesso sempre que possível. Elas não funcionam em sites de phishing e reduzem bastante o risco dos dados e padrões de comportamento serem capturados.

Reunimos uma lista essencial de outras tecnologias que estão prestes a desaparecer:

Dicas