Me pregunto si existen o no mecanismos distintos de captcha que eviten que un script malicioso cree un número indefinido de cuentas para un servicio determinado. Si es así, ¿no es esto una gran señal de alerta, especialmente si los algoritmos de análisis de imágenes mejoran constantemente?
Los servicios web prominentes utilizan la confirmación de segundo nivel para detectar y el registro automatizado de spam confuso para aumentar el costo del spam automatizado. Por ejemplo:
Se puede iniciar otra comprobación del bot cargando una página de bienvenida con javascript que rastrea el movimiento del mouse (normalmente el script del bot no emula el movimiento del mouse). Sin embargo, esta es un área gris porque se puede abusar de tal script para usarla como huella digital del usuario.
Los mecanismos varían según el sitio. Captcha no es solo imagen de letras, ReCaptcha de Google no muestra nada más que una casilla de verificación (puede buscar en Google cómo funciona).
Por lo tanto, los diferentes mecanismos dependen del sitio. Un desarrollador puede requerir que los administradores aprueben las cuentas, restrinjan la creación de cuentas solo después de la validación del correo electrónico o el número de cuentas de una IP, etc. No hay una respuesta para una pregunta como esta.
Pero en respuesta directa a su pregunta, sí, se puede hacer más que solo un captcha.
Lea otras preguntas en las etiquetas denial-of-service captcha