Google lanzó Cloud Fraud Defense en la conferencia Next '26, expandiendo reCAPTCHA hacia una plataforma de señales de fraude que puntúa la actividad de "humanos, bots y agentes IA" sobre los flujos de registro, login y pago. Los clientes existentes de reCAPTCHA quedan auto-inscritos, las site keys se mantienen, y la superficie de integración no cambia — lo que cambia es el significado del risk score que Google devuelve y las categorías de fraude que el sistema afirma modelar.
La divulgación técnica es escasa. Google dice que el sistema combina su threat intelligence global con machine learning para detectar "intentos de fraude coordinados", pero el anuncio no especifica la arquitectura del modelo, el conjunto de features, ni el ratio de falsos positivos. Lo concreto: las mismas APIs de reCAPTCHA devuelven risk scores más reason codes; Jian Zhen, lead product manager en Google, lo enmarcó como "tus site keys e integraciones existentes permanecen exactamente como hoy". Precio: 10 000 evaluaciones al mes gratis, después por volumen, sin cambios anunciados al pricing de reCAPTCHA existente. reCAPTCHA sigue siendo "el pilar core de defensa contra bots"; Fraud Defense se acopla encima.
La categoría interesante es la tercera: agentes IA. Que Google nombre a los agentes IA como una clase de señal distinta — separada de humanos y bots — es el primer reconocimiento mayor por una plataforma de detección de fraude de que la automatización de navegador por agentes controlados por usuarios legítimos (Claude Code con acceso a browser, Operator de OpenAI, los varios frameworks browser-use) es ahora una porción significativa del tráfico que no encaja ni en "humano llenando el formulario" ni en "bot intentando entrar". Para builders que envían features agénticas tocando sitios de terceros, el problema del bypass de captcha no desaparece — Cloud Fraud Defense se convierte en aquello contra lo que tu tráfico de agente será evaluado, y "soy un agente autorizado actuando por un humano" no es una categoría que las primitivas de risk-score existentes expresen.
Lunes: si usas reCAPTCHA Enterprise hoy, ya eres cliente de Fraud Defense según el anuncio de Google — revisa si tu código consumidor del risk score contempla un conjunto más amplio de reason codes, ya que probablemente lleguen nuevos valores. Si construyes agentes user-facing que POSTean a sitios terceros, todavía no tienes un handshake limpio para declararte como agente autorizado actuando por un usuario logueado; espera que eso se convierta en su propia capa de protocolo en los próximos dos años. Vigila la divulgación de falsos positivos y la taxonomía publicada de reason codes antes de cambiar cómo actúas sobre el score.