Cómo detectar automatización de navegadores más allá de user agents

Por qué fallan los checks de user agent

La mayoría de los sistemas de detección de bots empiezan comprobando el user agent. El problema: cambiar un user agent cuesta una línea de código. La especificación W3C WebDriver obliga a poner `navigator.webdriver` en `true` cuando el navegador está automatizado. Los bots simplemente lo cambiaron a `false`. El 51 % del tráfico web en 2024 fue automatizado (Imperva, 2025). El 41 % de los bots se clasifica como "avanzado": construidos para imitar el comportamiento humano (Imperva, 2025).

Si las señales que un cliente declara sobre sí mismo no son fiables, la detección tiene que pasar a señales que el cliente no puede controlar.

Huellas TLS y de protocolo

Durante el handshake TLS, el cliente envía un ClientHello con cipher suites, extensiones y preferencias ALPN. Estos valores vienen del stack de red, no de JavaScript. JA4, desarrollado por FoxIO y adoptado por Cloudflare, resiste la aleatorización de extensiones TLS. Cloudflare rastrea más de 15 millones de huellas JA4 únicas de más de 500 millones de user agents (Cloudflare, 2025).

A nivel HTTP/2, Chrome envía un WINDOW_UPDATE de ~15 MB; Firefox ~12,5 MB. La mayoría de las bibliotecas HTTP envían cero. Una diferencia de 100 veces, visible antes de que se intercambie un solo byte de contenido. El orden de pseudo-headers también es fijo por navegador.

Señales del entorno JavaScript

Las herramientas de automatización modifican el entorno JavaScript. La detección moderna comprueba cómo están definidas las propiedades: descriptores de propiedad y valores de `toString()` que difieren cuando los getters han sido sobrescritos. Canvas y WebGL dependen de la GPU. Las herramientas que corren en la nube producen huellas que coinciden con el hardware del proveedor, no con el que declara el user agent.

Detección del Chrome DevTools Protocol

Puppeteer, Playwright y Selenium controlan navegadores vía CDP. Los sistemas de detección aprovechan los efectos secundarios de CDP: cuando se activa el dominio `Runtime`, serializa objetos por la conexión WebSocket. Solo en octubre de 2025, Castle detectó unas 205.000 sesiones de Puppeteer stealth, pero diez veces más tráfico de Selenium estándar (Castle, 2025). Los frameworks más nuevos como nodriver prescinden de CDP y controlan el navegador con APIs del sistema operativo.

Análisis de comportamiento

Los bots mueven el ratón en líneas rectas a velocidad constante. El cursor humano zigzaguea. En pruebas controladas, el análisis de dinámica de tecleo identificó bots con un 99,98 % de precisión (IFIP, 2024). Estas señales funcionan mejor en páginas interactivas como formularios de login.

Qué significa para tu sitio

El 37 % del tráfico de internet en 2024 fueron bots maliciosos (Imperva, 2025). Solo el 2,8 % de los sitios web están totalmente protegidos (DataDome, 2025). La detección efectiva requiere comprobar señales en múltiples capas (TLS, HTTP/2, JavaScript, CDP, comportamiento) y cruzarlas entre sí en tiempo real. Centinel comprueba cada petición en todas estas capas y decide en menos de 2 ms.