Solución:
Mientras que la otra respuesta describe los diferentes tipos de reCAPTCHA que tiene Google, no aborda lo que creo que pueden ser los problemas reales. Mientras me preguntaba sobre esto, me encontré con este artículo. Resumo lo que creo que es relevante:
Según el sitio web de estadísticas de tecnología Built With, más de 650.000 sitios web ya están usando reCaptcha v3; En general, hay al menos 4,5 millones de sitios web que utilizan reCaptcha, incluido el 25% de los 10.000 sitios principales. (como el 27 de junio de 2019)
Los datos están cambiando rápidamente, en este momento unos 2.602.509 sitios parecen estar usando v3.
También relevante, v3 funciona mejor si su código está instalado en todas las páginas web de un sitio. Esto significa menos privacidad del usuario. Aunque Google afirma que:
La API de reCaptcha envía información de hardware y software, incluidos datos de dispositivos y aplicaciones, a Google para su análisis, y que el servicio solo se utiliza para combatir el spam y el abuso.
Entonces:
- Google reCAPTCHA v3 es más fácil para los usuarios, pero a medida que más sitios utilizan v3, más será la información que Google tiene sobre ellos, ya que el seguimiento de un usuario en los sitios que usan v3 es técnicamente posible.
- Google reCAPTCHA v2 requiere más trabajo para el usuario, pero parece ser menos intrusivo con respecto a la privacidad.
- v3 parece estar ganando impulso rápidamente.
- Google parece comprometido a mantener ambos v2 y v3 en el futuro.
Con respecto a la seguridad, puedo decir por experiencia que v2 no detiene todo el spam. Esto probablemente se deba a que los spammers usan granjas CAPTCHA (personas reales que resuelven los problemas del bot). No tengo mucha experiencia con v3.
Así que en mi humilde opinión, iría por v3 (ya adoptado ampliamente) a menos que la máxima privacidad del usuario sea un debe. Pero si estás usando Google analitico para medir el tráfico de un sitio, utilizando v2 para mayor privacidad puede ser irrelevante.
Cualquier comentario sobre la seguridad de v3 de una fuente confiable o la experiencia del sitio será apreciada.
v3 le permite verificar si una interacción es legítima sin interacción del usuario. Es un JavaScript puro que compila una puntuación, lo que le brinda la capacidad de realizar otras acciones, como requerir factores adicionales de autenticación.
v2 viene en 2 versiones
Casilla de verificación “No soy un robot”: requiere que el usuario haga clic en una casilla de verificación que indica que el usuario no es un robot. Esto pasará al usuario inmediatamente (sin CAPTCHA) o lo desafiará a validar si es humano o no.
La insignia invisible de reCAPTCHA: no requiere que el usuario haga clic en una casilla de verificación, sino que se invoca directamente cuando el usuario hace clic en un botón existente en su sitio o se puede invocar mediante una llamada a la API de JavaScript. La integración requiere una devolución de llamada de JavaScript cuando se completa la verificación de reCAPTCHA. De forma predeterminada, solo se solicitará al tráfico más sospechoso que resuelva un captcha.
Cuál es mejor para usted dependerá de la naturaleza de su sitio web. Para un sitio de uso general, ciertamente usaría v3 ya que minimiza la interrupción de usuarios con desafíos.