Blog

Cómo detectar agentes IA y stealth browsers: las señales que los delatan

Guía señal por señal para detectar navegadores stealth y anti-detect: señales CDP y webdriver, rarezas headless, deriva de fuentes/WebGL y comportamiento.

Jul 15, 2026 • 7 min read

Simon Wijckmans Founder & CEO

Cómo detectar agentes IA y stealth browsers: las señales que los delatan

Ninguna cabecera mágica detecta un stealth browser. Capturas las pequeñas incoherencias que dejan la automatización y las herramientas de falsificación de fingerprints, y luego las confirmas con comportamiento a lo largo de la sesión. Un setup stealth moderno parchea las señales obvias (navigator.webdriver, el objeto window.chrome ausente, rarezas de renderizado headless), así que la detección tiene que leer las capas que esos parches no cubren del todo: la superficie de control de automatización, la coherencia interna del fingerprint y cómo se comporta la sesión cuando ya está en la página.

Esta es la guía operativa. Abajo están las clases de señal concretas que merece la pena instrumentar, qué captura cada una y qué derrota un stealth browser bien configurado. cside las recoge desde dentro del runtime del navegador, así que el objetivo aquí es hacer legibles las señales. Si quieres el contexto conceptual sobre qué son los navegadores stealth y anti-detect, lee primero la explicación de stealth browsers; este artículo asume que ya quieres encontrarlos.

¿Qué señales revelan realmente un stealth browser?

Ninguna clase aislada basta. Las pilas fuertes agrupan las cuatro y las ponderan según lo difícil que sea falsificarlas.

Clase de señal	Qué captura	Qué derrota un buen tooling stealth
Señales de automatización / CDP	Sesiones headless y controladas por DevTools sin parchear	Override de `navigator.webdriver`, `window.chrome` inyectado
Rarezas de renderizado headless	Chrome headless básico	Chrome con interfaz controlado por CDP, servidores de display virtual
Inconsistencia de fingerprint	Dispositivos falsificados con desajustes internos	Perfiles anti-detect bien construidos y autoconsistentes
Señales de comportamiento	Timing de máquina, entropía de input, ritmo de navegación	Sesiones ralentizadas, con jitter o human-in-the-loop

Señales de automatización y CDP

Las señales más baratas vienen de la propia superficie de control. Chrome controlado por Playwright o Selenium sin capas stealth pone navigator.webdriver en true, trae un objeto window.chrome ausente o hueco y expone un comportamiento de permissions.query que no coincide con un Chrome real (por ejemplo, permiso de notificaciones leyendo denied mientras Notification.permission dice default). Cada una es una lectura de una línea.

Las librerías stealth existen precisamente para borrar esto. playwright-stealth y sus pares sobrescriben navigator.webdriver, inyectan un window.chrome realista, normalizan navigator.plugins y arreglan el desajuste de permisos, y por eso bloquear la automatización con Playwright requiere más que leer una sola bandera. La investigación de seguridad web 2026 de cside informa que las instalaciones de playwright-stealth crecieron aproximadamente 10x durante 2025, un proxy útil de lo rápido que esta evasión pasó a tooling generalizado (investigación 2026 de cside).

Las banderas parcheadas se vuelven evidencia de confirmación en vez de evidencia primaria. La señal más difícil es la vinculación de Chrome DevTools Protocol que hay debajo de la automatización. Las sesiones controladas por CDP pueden filtrarse por efectos secundarios: comportamiento del runtime ante interacciones Runtime/Console específicas, rarezas de serialización en stacks de error o diferencias de timing cuando el protocolo está conectado. Eso es mucho más caro de suprimir por completo que un booleano, porque emerge de cómo se controla el navegador, no de una propiedad que puedan reescribir.

Renderizado headless y rarezas de entorno

Chrome headless básico todavía se delata por el entorno de renderizado y dispositivo. Los clásicos: un user-agent que contiene HeadlessChrome, cero plugins instalados cuando un Chrome de escritorio real reporta un conjunto pequeño, una ventana exterior ausente o de tamaño fijo, APIs de batería o dispositivos multimedia sin poblar, y diferencias sutiles en cómo se rasterizan fuentes e imágenes sin una pantalla real.

En 2026, los operadores serios ya superaron el modo headless. Un agente IA puede controlar un Chrome completo con interfaz mediante CDP en un display virtual, lo que elimina cada señal específica de headless mientras mantiene la automatización por debajo. La detección headless captura el nivel perezoso y empuja al resto a otra capa, donde toman el relevo el fingerprint y el comportamiento. Aquí también es donde las herramientas heredadas de detección de bots se pierden a los agentes IA: se construyeron para señalar firmas headless, no la superficie de control que hay debajo de un navegador con interfaz.

Inconsistencias de fingerprint: las grietas de un dispositivo falsificado

Los navegadores anti-detect sustituyen APIs que generan fingerprint por valores sintéticos para que cada sesión parezca un dispositivo nuevo. El modo de fallo detectable es la incoherencia interna: los valores falsificados no concuerdan entre sí. Los perfiles de menor calidad son donde aparecen las grietas.

Lista de fuentes frente a SO declarado. Un perfil que dice ser macOS pero enumera fuentes solo de Windows (u omite fuentes que todo Mac trae) está falsificado. El conjunto de fuentes debe coincidir con la plataforma que pretende ser.
Renderer WebGL frente a hardware plausible. Una cadena WEBGL_debug_renderer_info que nombra una GPU que ningún dispositivo real combina con el SO y la pantalla declarados es una señal. Los falsificadores extraen cadenas de una librería de valores reales, pero emparejarlas coherentemente con todo lo demás es difícil.
Salida de Canvas y AudioContext. Los navegadores anti-detect devuelven píxeles canvas y salida de audio sintéticos y deterministas para derrotar hashes. Salida estadísticamente improbable, demasiado uniforme o idéntica entre sesiones "distintas", marca la síntesis.
Concurrencia de hardware, memoria y geometría de pantalla. navigator.hardwareConcurrency, deviceMemory y dimensiones de pantalla/viewport que contradicen la clase de dispositivo declarada (un UA de teléfono reportando 32 cores de escritorio) rompen la coherencia.

Un perfil anti-detect bien construido mantiene todo esto consistente, justo por eso el fingerprinting solo no puede ser toda la respuesta. Eleva el coste y captura el nivel descuidado; el comportamiento cierra el resto.

Señales de comportamiento: lo que el spoofing no puede suprimir

La capa de fingerprint describe el dispositivo. La capa de comportamiento describe al operador, y eso es mucho más difícil de falsificar porque hay que producirlo en vivo, en cada sesión. Los humanos interactúan con imperfección: las rutas del ratón curvan y se pasan, la velocidad de scroll varía, los formularios incluyen pausas, errores y correcciones, y existe un lapso medible entre página lista y primera interacción.

Las sesiones automatizadas tienden a lo contrario: rellenos instantáneos sin corrección, navegación sin duda, scroll a intervalos fijos y eventos con jitter casi cero. Nada de eso se suprime con un override de navigator.webdriver ni con un hash canvas limpio, porque viene de cómo actúa el agente, no de lo que declara ser. La correlación entre sesiones termina el trabajo. Muchas sesiones en una ventana corta que comparten rasgos estructurales de fingerprint, timing de comportamiento y acciones posteriores revelan coordinación que una sesión aislada no mostraría. Para ver cómo el tooling agentic intenta imitar ritmo humano, lee cómo los agentes OpenClaw esquivan la detección de bots.

Cómo convertir señales en una decisión

La detección solo sirve si impulsa una respuesta graduada. No bloquees por una sola señal; pondera varias y actúa cuando convergen.

Instrumenta las cuatro clases de señal en runtime, dentro de la sesión de navegador.
Compara el entorno declarado (user-agent, plataforma, clase de dispositivo) con el observado y registra cada desajuste.
Añade contexto de red (IP datacenter frente a residencial, ASN, proxy y cambios geográficos) como peso, nunca como único veredicto.
Puntúa la sesión por señales independientes que convergen, y conserva el conjunto de señales crudas, motivo de riesgo y resultado de desafío como evidencia.
Bloquea sesiones de alta confianza en los puntos que más importan, como el registro, donde la detección a nivel de navegador captura la creación de cuentas falsas, y el checkout. Desafía las de confianza media con fricción step-up y permite con monitorización el tráfico legítimo de agentes.

AI Agent Detection de cside ejecuta esto desde dentro de la página: lee señales de automatización y CDP, captura dispositivo e IP real, aflora inconsistencias de fingerprint y observa comportamiento durante la sesión, y luego permite a los equipos autorizar automatización buena conocida, desafiar sesiones sospechosas y bloquear agentes de alto riesgo con un rastro de auditoría completo.

Lecturas adicionales en cside

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Por sí solo, no. Las librerías stealth sobrescriben `navigator.webdriver` para devolver `false` antes de que tu script lo lea, así que un valor limpio no prueba nada. Sigue siendo útil como señal de confirmación: una sesión que afirma ser una build normal de Chrome pero deja `webdriver` en true casi seguro es automatización sin parchear. Trata la bandera como una entrada entre muchas, no como un veredicto.

A veces, si el operador es descuidado: una vinculación `Runtime` de CDP filtrada, un objeto `window.chrome` ausente o un renderer WebGL que ningún dispositivo real usa pueden aparecer en la primera solicitud. Los stealth browsers bien configurados no dejan esas señales en una vista aislada. A esos los detectas acumulando evidencia de fingerprint y comportamiento durante la sesión, y correlacionándola con otras sesiones del mismo operador.

La detección headless responde una pregunta estrecha: ¿este navegador corre sin interfaz visible? La detección de agentes IA es más amplia. Un agente puede controlar un Chrome completo con interfaz mediante DevTools Protocol, así que las señales headless no aparecen. Detectas al agente por su superficie de control de automatización y su comportamiento: rellenos instantáneos de formulario, ausencia de entropía de input humana y timing casi perfecto de máquina.

Cualquier señal individual produce falsos positivos. Navegadores de privacidad falsifican fingerprints, proxies corporativos comparten IPs y herramientas de accesibilidad automatizan input. Un modelo graduado (bloquear cuando convergen varias señales independientes, desafiar cuando aparecen una o dos, permitir con monitorización el tráfico legítimo de agentes) mantiene a clientes reales en movimiento y frena abuso coordinado.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Cómo detectar y prevenir el account sharing sin perjudicar a los usuarios legítimos

La mayor objeción a la detección de account sharing son los falsos positivos: ¿qué pasa si marcamos a un suscriptor que simplemente usa varios…

Cómo Bloquear GPTBot (y Por Qué Quizá No Quieras Hacerlo)

GPTBot rastrea tu sitio para entrenar los modelos de OpenAI. Aquí te explicamos cómo bloquearlo con robots.txt y rangos de IP, y qué sigue sin cubrir ese bloqueo.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre herramientas de grabación de sesiones y riesgo de exfiltración de PII

Herramientas de session recording en sitios de juego: el riesgo de exfiltración de PII que los operadores no están viendo

Las herramientas de session recording en sitios de juego pueden exfiltrar PII de jugadores si están mal configuradas o comprometidas. Tres formas.

Detección de account sharing: cómo cerrar la brecha de aplicación que los límites de sesiones concurrentes no cubren

Los límites de sesiones concurrentes marcan el caso obvio.

Una trayectoria de cursor azul brillante y fluida junto a una trayectoria de bot roja y angular sobre un plano oscuro.

Atrapar bots por cómo se mueven: detección de cursor por comportamiento

Cómo el modelo cursor_v2 de cside puntúa el movimiento del ratón para atrapar a los bots sigilosos que ya superan los controles de fingerprint e IP.

Cómo Bloquear Applebot-Extended en Tu Sitio Web

Applebot-Extended es el rastreador de entrenamiento de IA de Apple que alimenta Apple Intelligence. Aprende en qué se diferencia de Applebot y cómo excluirte vía robots.txt.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre monitoreo de scripts de terceros en dominios de casino

Cómo monitorear scripts de terceros en 100 o más dominios de casino

Guía práctica para monitorear scripts de terceros en 100+ dominios de casino: expansión de scripts, alertas entre dominios y escalamiento cside.

Riesgos de seguridad de la IA agéntica para sitios web: privacidad, cumplimiento y detección

Los navegadores de IA agéntica omiten el consentimiento de cookies, ejecutan JavaScript real y crean brechas de cumplimiento del RGPD que la detección de bots a nivel CDN no puede ver.

Ilustración de un sistema neuronal de detección de bots en dos etapas que separa sesiones de navegador humanas y de bots

Cazar bots que no quieren ser cazados: por dentro de un stack neuronal de detección en dos etapas

Cómo un stack neuronal de dos etapas caza stealth browsers, scrapers con proxy residencial y agentes LLM que pasan toda huella, y sus límites reales.

Cómo Bloquear DeepSeekBot en Tu Sitio Web

DeepSeekBot rastrea tu sitio para una empresa china de IA. Aprende a bloquearlo con robots.txt, reglas de IP y los riesgos reales de soberanía de datos que plantea.