Saltar al contenido principal
Piloterr
Volver al blog
23 de junio de 2026

Cloudflare se une a Chrome, Firefox y Edge en PACT, un protocolo anti-bots centrado en la privacidad

TL;DR: Cloudflare, Mozilla, Google, Microsoft y Shopify están desarrollando conjuntamente PACT (Private Access Control Tokens), un protocolo diseñado para demostrar que un visitante es humano o un agente autorizado, sin CAPTCHAs, inicios de sesión forzados o la reconstrucción de su historial de navegación.

La web acaba de cruzar una línea simbólica. Los datos de Cloudflare Radar muestran que las solicitudes HTTP automatizadas representan ahora aproximadamente el 58% del tráfico global, en comparación con el 42% proveniente de personas. Matthew Prince, CEO de Cloudflare, había predicho este cruce; se dice que el auge de los agentes de IA (asistentes como ChatGPT y Gemini que navegan en nombre de los usuarios) lo adelantó unos 18 meses.

En este contexto, Cloudflare anunció una iniciativa conjunta con Firefox, Chrome y Edge para construir un nuevo estándar de internet. El objetivo: verificar si el acceso es legítimo sin depender de los métodos actuales (desafíos visuales, muros de inicio de sesión, huellas digitales encubiertas del navegador) que frustran a los usuarios y plantean serias preocupaciones sobre la privacidad.

Para los equipos que recopilan datos web a gran escala, este cambio es importante. Redibuja la línea entre la automatización legítima y el abuso, un tema central en los productos de Piloterr anti-bot bypass y WebUnlocker.

Tokens anónimos en lugar de CAPTCHAs

PACT parte de una premisa simple: un sitio que ya tiene un conocimiento sólido de un visitante (por ejemplo, después de una autenticación robusta) puede emitir un token anónimo. El navegador lo almacena y puede presentarlo a otros sitios como prueba de que una persona real, o un agente que han autorizado explícitamente, está detrás de la sesión.

El diseño está pensado para ser no rastreable: el token no puede seguir a los usuarios a través de los sitios ni reconstruir su historial de navegación. Esto es lo opuesto a las técnicas de huella digital y el escaneo de extensiones que se convirtieron en el estándar cuando las plataformas intentaron separar a los humanos de los scripts.

En la práctica, PACT podría reducir la fricción en procesos sensibles (flujos de pago, contenido restringido, servicios públicos) mientras permite a los editores filtrar tráfico claramente abusivo.

Quiénes están involucrados y por qué ahora

El anuncio abarca toda la pila:

  • Cloudflare, que ve una gran parte del tráfico HTTP y ya ejecuta productos de gestión de bots;
  • Mozilla (Firefox), Google (Chrome) y Microsoft (Edge), que juntos representan alrededor del 77% de los navegadores según StatCounter;
  • Shopify, donde cada falso positivo o retraso adicional puede significar un carrito abandonado.

Dane Knecht, CTO de Cloudflare, plantea el problema sin rodeos: internet está cambiando a medida que crece el tráfico impulsado por IA, y las herramientas de seguridad actuales son demasiado burdas para tratar de manera diferente a los humanos, los agentes autorizados y los scrapers maliciosos.

Los proveedores de navegadores abogan por la web abierta. Bobby Holley, de Mozilla, señala una "avalancha de tráfico automatizado" que empuja a los sitios hacia defensas contundentes: muros de pago, verificaciones de identidad, seguimiento invasivo. Erik Anderson, de Microsoft, enfatiza la necesidad de herramientas que combatan el abuso sin castigar a cada visitante.

En el lado del comercio, Ilya Grigorik, ingeniero distinguido de Shopify, señala que en el comercio electrónico, cada obstáculo adicional puede convertir una compra en un carrito abandonado. Un estándar abierto y que preserve la privacidad, que separe a los compradores reales y los agentes autorizados de los bots abusivos, aborda una necesidad concreta para millones de comerciantes.

No es una guerra contra todos los bots

Vale la pena aclararlo: PACT no está diseñado para detener la automatización. Cloudflare mismo está apostando por los agentes de IA. El objetivo es separar las solicitudes legítimas (un asistente que busca un precio para ti, un rastreador de indexación permitido, un pipeline de enriquecimiento B2B contratado) de las campañas de scraping agresivas, el relleno de credenciales y el abuso en la capa de aplicación.

Los desarrolladores y los equipos de datos conocen bien esta distinción. No todos los proyectos necesitan un WebUnlocker para extraer HTML público; pero cuando un sitio fortalece sus defensas, saber si tu tráfico podría algún día calificar para un token PACT o seguirá siendo tratado como sospechoso cambia el cálculo en torno a el cumplimiento, las tasas de éxito y el costo de la infraestructura.

Basado en Privacy Pass

PACT no parte de cero. Apple ya ejecuta un sistema relacionado llamado Privacy Pass, que utiliza el enclave seguro de un dispositivo para certificar la identidad sin exponerla. Cloudflare utiliza Privacy Pass como una señal en su pila de gestión de bots.

En 2024, el IETF publicó la Arquitectura de Privacy Pass como RFC 9576. PACT extiende esa base con un soporte más amplio de navegadores y un enfoque explícito en el tráfico agentivo que ha remodelado la web en el último año.

Cronograma y preguntas abiertas

No se ha anunciado una fecha de implementación. Los socios se comprometieron a madurar el protocolo y presentarlo para su estandarización, pero convertir una especificación en miles de millones de sesiones de navegador lleva tiempo: negociación técnica, implementación, adopción por parte de los editores.

El desafío no es solo técnico. PACT ofrece a los editores menos datos sobre los visitantes, no más. En un ecosistema moldeado durante mucho tiempo por la medición y el targeting publicitario, la adopción dependerá tanto del apetito de los editores como de la velocidad de los organismos de estandarización.

Qué significa esto para el scraping y la recopilación de datos

A corto plazo, nada cambia de la noche a la mañana. Los CAPTCHAs, Turnstile y los WAF siguen siendo la norma en miles de dominios, incluyendo una gran parte protegida por Cloudflare mismo.

A mediano plazo, PACT podría:

  1. Reducir los desafíos para sesiones ya certificadas, especialmente en flujos de comercio electrónico y SaaS;
  2. Crear un carril formal para agentes de IA autorizados, con reglas más claras que el bloqueo ciego;
  3. Acelerar el retroceso de las técnicas más invasivas de huella digital, bajo presión regulatoria y técnica.

Para proyectos serios de web scraping, la lección sigue siendo la misma: favorecer fuentes autorizadas, respetar los términos de uso y diseñar pipelines que separen la recopilación legítima de la elusión abusiva. PACT no reemplazará una API bien diseñada o un acuerdo contractual con una fuente, pero algún día podría ofrecer prueba criptográfica de que tu agente opera dentro de un marco reconocido.

La web está buscando un equilibrio entre autenticidad y privacidad. PACT es el último intento de codificarlo. Si el estándar se implementa lo suficientemente rápido para surfear la ola de los agentes de IA, o si los sitios siguen endureciendo sus defensas mientras tanto, sigue siendo una apuesta abierta.

Más para leer

Guías y noticias sobre web scraping, proxies y extracción de datos.

Noticias

Comprendiendo las métricas de latencia p50, p75, p90, p95 y p99

Los percentiles de latencia explican qué tan rápido funcionan realmente tu API o pipeline de scraping para la mayoría de las solicitudes y para la cola lenta. Aprende qué significan p50 a p99, por qué los promedios engañan y cómo establecer SLA realistas.

Josselin Liebe
Josselin Liebe
Leer
Noticias

Presentamos el nuevo sitio web de Piloterr

{{brandName}}.com ha sido reconstruido desde cero: páginas de producto más claras, 500 endpoints de API documentados, herramientas gratuitas para desarrolladores, localización al francés y una hoja de ruta hacia un segundo centro de datos propio.

Josselin Liebe
Josselin Liebe
Leer
Noticias

Scraping de Sitios Web: Crawler vs Rendering vs WebUnlocker

{{brandName}} Website Crawler vs Rendering vs WebUnlocker: aprende cuándo usar scraping con solicitudes HTTP y fingerprinting, renderizado completo con navegador JS o el anti-bot WebUnlocker (Cloudflare, DataDome, PerimeterX, Akamai) para lograr un 100% de éxito en dominios aprobados.

Josselin Liebe
Josselin Liebe
Leer

¿Listo para empezar?

Tu API de web scraping está a un clic. Comienza con +500 créditos, sin infraestructura que configurar, sin proxies que gestionar y sin necesidad de tarjeta de crédito.

  • +500 créditos
  • Sin tarjeta de crédito
  • Todos los endpoints incluidos