Por qué una página de desafío intersticial es inevitable

El TLS fingerprinting identifica bots inspeccionando los primeros bytes de una conexión. Durante años funcionó. En 2023, Chrome rompió el método de fingerprinting dominante, y las herramientas de spoofing ocuparon ese espacio. La detección pasiva ya no detiene a los scrapers modernos. La alternativa: obligar al cliente a ejecutar código antes de servir contenido.

Este artículo continúa donde terminó nuestro primer sobre TLS fingerprinting: [TLS Fingerprinting explicado](/es/learn/tls-fingerprinting-explained).

La carrera del fingerprinting ha terminado

JA3 funcionaba hasheando cipher suites y extensiones TLS. Entonces Chrome comenzó a aleatorizar el orden de sus extensiones TLS. Un cliente Chrome con 16 extensiones en orden aleatorio produce 16 factorial variaciones — aproximadamente 20,9 billones de hashes JA3 distintos. Stamus Networks concluyó que JA3 se ha vuelto inútil para identificar clientes y user agents (Stamus Networks, 2024).

JA4 resolvió el problema del ordenamiento. Pero herramientas como curl-impersonate, uTLS y Noble TLS reproducen handshakes reales de navegadores desde scripts. El fingerprint ya no es algo que el cliente revela. Es algo que elige.

Cómo se ve el spoofing hoy

DataDome documentó en 2024 que falsificar señales se ha vuelto más fácil, incluso señales de bajo nivel que antes eran difíciles de replicar de forma consistente (DataDome, 2024). Solo el 15,82 % de los bots que imitaban Chrome fueron detectados. El 83 % de los bots simples basados en curl pasaron inadvertidos (DataDome, 2024). Las granjas de resolución de CAPTCHAs cobran ahora $0,80 por cada 1.000 resoluciones, frente a $3 en 2018 (DataDome, 2024).

La detección pasiva no alcanza

El 95 % de los ataques avanzados de bots pasan desapercibidos (DataDome, 2024). Casi dos de cada tres empresas están completamente desprotegidas incluso contra bots básicos. Un sistema que solo confía en las señales que envía el cliente está confiando en el atacante.

Qué hace una página de desafío

Un desafío intersticial cambia quién tiene que demostrar qué. En lugar de preguntar *¿qué eres?*, pregunta *¿qué puedes hacer?*

Cloudflare Turnstile ejecuta pruebas no interactivas en segundo plano: pruebas de trabajo (proof-of-work), pruebas de espacio, sondeo de APIs web y detección de comportamientos del navegador. El tiempo promedio de desafío se redujo de 32 segundos a aproximadamente un segundo (Cloudflare, 2024). El proyecto Anubis, usado por Arch Wiki, GNOME, FFmpeg y UNESCO, plantea desafíos SHA-256 que los navegadores resuelven en milisegundos, pero que en volumen se vuelven prohibitivos para botnets.

El espejismo del robots.txt

Solo el 37 % de los 10.000 dominios principales tienen un archivo robots.txt (Cloudflare, 2025). El 30 % de los scrapes de bots de IA en Q4 2025 no respetaron los permisos explícitos del robots.txt (Tollbit, 2025). El 42 % de los scrapes de ChatGPT-User accedieron a contenido de sitios que los bloquearon explícitamente (Tollbit, 2025). robots.txt es un cartel en la puerta. Una página de desafío es una cerradura.

Qué significa esto para la protección de contenido

El TLS fingerprinting es falsificable, el robots.txt se ignora, y la detección pasiva falla en el 95 % de los bots avanzados. La única señal que un bot no puede falsificar es una que genera bajo demanda, en un entorno que tú controlas. Centinel integra verificación basada en desafíos con 1.600+ fingerprints de crawlers y detección de comportamiento en múltiples capas.