Blog Attacks

Cómo Bloquear OpenAI Operator en Tu Sitio Web

OpenAI Operator navega tu sitio como un usuario real. Aprende a detectarlo y bloquearlo con señales de capa de navegador y cuándo no bloquearlo.

Jun 10, 2026 • 9 min read

Mike Kutlu Author

escudo de seguridad de cside monitorizando la ruta del cursor del navegador — detección de agentes de IA en la capa del navegador

OpenAI Operator es un agente de IA autónomo que navega por la web, rellena formularios y completa tareas en nombre de los usuarios. A diferencia de GPTBot, que rastrea páginas para entrenar modelos, Operator es un agente de transacción en vivo: carga tu sitio en un navegador real, interactúa con tu interfaz y puede iniciar compras. Esto significa que los métodos de detección tradicionales diseñados para bots y scrapers a menudo lo pasan por alto por completo.

Si quieres bloquearlo, monitorizarlo o enrutarlo a través de un flujo controlado depende de tu negocio. Lo que importa es tener la visibilidad para tomar esa decisión en primer lugar.

¿Qué Es OpenAI Operator?

Respuesta rápida: OpenAI Operator es un agente de IA lanzado por OpenAI en enero de 2025 que utiliza un navegador real para completar tareas de forma autónoma: reservar viajes, comprar, rellenar formularios y gestionar cuentas. Funciona dentro de un navegador basado en Chromium y aparece en tu sitio como una sesión de aspecto autenticado.

Operator es diferente de los rastreadores de OpenAI (GPTBot, OAI-SearchBot). Esas herramientas indexan contenido. Operator realiza transacciones. Puede añadir artículos a un carrito, introducir datos de pago y completar un proceso de pago en nombre de un usuario que emitió una instrucción en lenguaje natural. Utiliza un motor de navegador real en lugar de solicitudes HTTP sin cabeza, lo que significa que ejecuta tu JavaScript, activa tus eventos de análisis y deja una huella de comportamiento similar a la de un visitante humano.

El agente se identifica a sí mismo mediante una cadena de user-agent OAI-SearchBot en algunos contextos, pero en modo de navegación activa puede presentar un user-agent estándar de Chrome. OpenAI publica sus rangos de IP y Operator está diseñado para respetar robots.txt. Si lo hace de forma consistente es una cuestión aparte.

Por Qué Podrías Querer Bloquearlo (y Por Qué No)

Respuesta rápida: Bloquear OpenAI Operator sin contexto es un riesgo comercial. Puede llevar la intención de compra real de un usuario. El enfoque más inteligente es clasificar la sesión, comprender su intención y aplicar una respuesta gradual en lugar de un bloqueo binario.

Hay razones legítimas para restringir Operator. Si tu sitio contiene precios propietarios, datos de catálogo sensibles para la competencia o contenido que no quieres que se raspe en los sistemas de OpenAI, limitar el acceso de Operator tiene sentido. Si estás viendo envíos automatizados de formularios, casos extremos de abandono del carrito o patrones de pago inusuales que no puedes atribuir a humanos, vale la pena investigar la actividad de Operator.

Pero bloquearlo indiscriminadamente conlleva riesgos. Para 2030, Gartner predice que el 80% de las búsquedas de productos se realizarán a través de IA agéntica, con el 20% de las compras en línea completadas por agentes. McKinsey estima el mercado de comercio agéntico en 3–5 billones de dólares. Los Operators que actúan en nombre de compradores reales con genuina intención de compra son un nuevo canal de adquisición, no solo un vector de amenaza.

La pregunta no es "bloquear o permitir", sino: clasificar y enrutar.

Qué Puede y No Puede Hacer robots.txt

Respuesta rápida: robots.txt es una declaración, no un control. OpenAI Operator está diseñado para respetarlo en el rastreo. En modo de transacción activa, su cumplimiento es inconsistente. Incluso el cumplimiento total de robots.txt no te dice nada sobre lo que el agente está haciendo mientras está en tus páginas permitidas.

Añadir lo siguiente a tu robots.txt indica a las versiones compatibles de Operator que se mantengan alejadas de rutas específicas:

User-agent: OAI-SearchBot
Disallow: /checkout
Disallow: /account
Disallow: /admin

Las limitaciones son estructurales. robots.txt solo controla las cadenas de user-agent declaradas. Una sesión de Operator en modo de navegación activa puede presentar un user-agent estándar de Chrome, lo que hace irrelevante la regla de robots.txt. No existe ningún mecanismo en robots.txt para decir "solo permitir humanos": el archivo no puede inspeccionar el comportamiento, solo enrutar basándose en declaraciones de identidad que el agente controla.

Tampoco tienes visibilidad sobre lo que hizo Operator antes de llegar a tus rutas prohibidas por robots.txt. Si rastreó los datos de tu catálogo en las páginas de productos permitidas primero, nunca lo verás.

Detección en la Capa de Red: Dónde Falla

Respuesta rápida: Las herramientas de capa de red inspeccionan direcciones IP y cabeceras HTTP antes de que se cargue la página. OpenAI publica rangos de IP conocidos que las herramientas de red pueden bloquear. Pero Operator que funciona a través de infraestructura de navegador real, enrutamiento proxy o IPs residenciales elude completamente el bloqueo basado en IP.

El bloqueo de listas de IPs basado en los rangos publicados de OpenAI captura el uso ingenuo o mal configurado de Operator. No captura:

Operator enrutando a través de redes de proxy residencial
Versiones futuras de Operator que usen infraestructura CDN o de borde
Envoltorios o bifurcaciones de terceros que usen el mismo motor de navegador sin el rango de IP de OpenAI

Incluso cuando el bloqueo basado en IP captura la sesión, captura la sesión del agente del usuario sin distinguir si esa sesión estaba completando una compra que el usuario genuinamente quería. Un bloqueo de IP contundente cancela la tarea del usuario real sin darle ninguna indicación de lo que ocurrió.

La detección solo por cabeceras (coincidencia de user-agent) falla por la misma razón. El user-agent de Operator en modo de navegación activa es una cadena estándar de Chrome. No hay nada en las cabeceras HTTP que distinga una sesión de Operator de una sesión humana de Chrome.

Detección en la Capa del Navegador: Lo Que Revela

Respuesta rápida: cside opera dentro de la propia sesión del navegador. Observa el tiempo de interacción, la consistencia de la huella digital, los patrones de eventos de interfaz y señales de comportamiento que ninguna herramienta de capa de red puede ver, incluyendo los patrones que distinguen una sesión de Operator de un humano real en la misma IP con el mismo user-agent.

cside detecta las siguientes señales para sesiones como Operator:

Tiempo de interacción: Los usuarios humanos tienen un tiempo variable e impreciso al hacer clic, desplazarse y rellenar formularios. Operator ejecuta con precisión de máquina: intervalos consistentes entre clics, sin hesitación en los campos de formulario, sin deriva del cursor.
Consistencia de la huella digital: Un navegador real usado por un humano acumula ruido en la huella de comportamiento con el tiempo. Las sesiones de Operator a menudo presentan huellas limpias y consistentes que coinciden con los valores predeterminados de la máquina en lugar de entornos de usuario establecidos.
Patrones de ejecución de JavaScript: Operator ejecuta JavaScript pero no carga el stack ambiental completo que acumula una sesión humana de Chrome (extensiones del navegador, artefactos de almacenamiento local, recursos en caché de sesiones anteriores).
Secuenciación de solicitudes de red: La navegación humana genera patrones de solicitudes de red irregulares y no lineales. Las solicitudes de Operator siguen la lógica de ejecución de tareas, lo que produce una secuenciación reconocible incluso cuando las solicitudes individuales parecen normales.

Estas señales son invisibles en la capa de red. Solo son accesibles dentro de la sesión del navegador, que es donde opera cside. Los ingenieros de cside eludieron la detección tradicional de bots en 81 de 100 escenarios de prueba. La visibilidad en la capa del navegador cierra esa brecha.

Escenario de Detección Concreto: Operator en el Checkout de un Minorista de Moda

Un usuario instruye a OpenAI Operator para "pedir el jersey de cuello redondo gris de merino en talla M de [minorista] y enviarlo a mi domicilio." Operator abre una sesión de Chromium, navega directamente a la URL del producto y añade el artículo al carrito. La sesión presenta un user-agent estándar de Chrome 124 y una IP residencial en Manchester. Todos los controles de capa de red pasan sin incidencias.

La instrumentación de capa de navegador de cside se activa al cargar la página. Durante los primeros ocho segundos, registra cero micro-movimientos del cursor entre clics, completado de campos en 190 milisegundos por campo sin retrocesos, y un stack de huella digital sin extensiones del navegador, sin activos en caché y sin cookies de sesión anteriores. La navegación se movió en línea directa desde la página del producto hasta el checkout en 11 segundos sin navegación hacia atrás y sin profundidad de desplazamiento más allá del botón de añadir al carrito.

Una sesión humana que completa la misma compra tarda una media de 4 minutos, incluye exploración por desplazamiento y produce una huella ruidosa desde un entorno de navegador establecido. cside clasifica la sesión de Operator con alta confianza, presentándola para acción de política antes de que llegue al envío del pago. La capa de red no vio nada inusual.

Cómo Responder: Un Enfoque Gradual

Respuesta rápida: Una vez que puedes clasificar una sesión de Operator, tienes opciones más allá del bloqueo o permiso binario. Las respuestas graduales (flujos de desafío, limitación de velocidad en rutas específicas, CAPTCHA en el checkout o redirigir a un flujo optimizado para humanos) te permiten gestionar el tráfico de agentes sin cancelar la intención de compra legítima.

Un marco de respuesta práctico para sesiones de Operator:

Clasificación de sesión	Respuesta recomendada
Operator declarado, IP conocida, comportamiento benigno	Permitir con monitoreo
Operator declarado, patrones de comportamiento inusuales	Desafiar con CAPTCHA o verificación de cuenta
Agente no declarado, señales similares a Operator	Marcar para revisión, limitar velocidad en rutas sensibles
Sesión similar a Operator, señales de fraude	Bloquear y registrar

El objetivo no es eliminar el tráfico de agentes. Es operar cada sesión al nivel de confianza adecuado basándose en el comportamiento observado, no solo en la identidad declarada.

Author Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

OpenAI Operator es un agente de IA autónomo lanzado por OpenAI en enero de 2025. Utiliza un navegador real basado en Chromium para completar tareas en nombre de los usuarios, incluyendo compras, envío de formularios y gestión de cuentas. A diferencia de los rastreadores de OpenAI, Operator realiza transacciones en lugar de indexar: puede iniciar y completar compras en tu sitio.

OpenAI diseñó Operator para respetar robots.txt en actividades de tipo rastreo. En modo de transacción activa, el cumplimiento es inconsistente. Incluso cuando Operator sigue las directivas de robots.txt, el archivo solo controla qué rutas visita, no lo que hace mientras está en tus páginas permitidas ni cómo se identifica.

Puedes bloquear los rangos de IP publicados de OpenAI en la capa de red, lo que captura algunas sesiones de Operator. No detectará sesiones enrutadas a través de proxies residenciales ni sesiones donde Operator presenta un user-agent estándar de Chrome. El bloqueo en la capa de red tampoco puede distinguir entre una sesión maliciosa de Operator y la intención de compra real de un usuario llevada por Operator.

cside opera dentro de la sesión del navegador y observa el tiempo de interacción, la consistencia de la huella digital, los patrones de ejecución de JavaScript y la secuenciación de solicitudes de red. Estas señales distinguen el comportamiento de precisión máquina de Operator de los patrones de navegación humana, incluso cuando el user-agent y la dirección IP parecen idénticos a una sesión humana legítima.

No de forma automática. Gartner predice que para 2030, el 20% de las compras en línea serán completadas por agentes de IA. Las sesiones de Operator pueden llevar una intención de compra real de usuarios reales. El enfoque correcto clasifica las sesiones por identidad y comportamiento observado, luego aplica respuestas graduales: permitir agentes verificados, desafiar los ambiguos y bloquear sesiones con claras señales de fraude.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Cómo Bloquear OpenAI Operator en Tu Sitio Web

OpenAI Operator navega tu sitio como un usuario real. Aprende a detectarlo y bloquearlo con señales de capa de navegador y cuándo no bloquearlo.

DBSC frente a huella digital del dispositivo: lo que la seguridad de sesión de Chrome no cubre

DBSC de Chrome frena el reenvío de cookies robadas, pero es solo Chrome, posterior al login y sin identidad de dispositivo. Mira el fraude que deja.

Detectar y bloquear Perplexity Shopper en tu sitio web — blog de cside

Cómo bloquear Perplexity Shopper en tu sitio web

Perplexity Shopper navega y compra en tiendas online en nombre de usuarios Pro. Aprende a detectar sus señales en el navegador y gobernar el tráfico.

Ilustración de una petición a la API de Claude y una respuesta devuelta que pertenece a otro usuario, marcada como «la respuesta no coincide con la petición», entre los logotipos de Anthropic y cside

Cuando una API de IA devuelve la respuesta de otro usuario: cachés compartidas y filtraciones entre clientes

Una incidencia de la API de Claude parece haber devuelto respuestas de otros usuarios. Por qué las cachés compartidas provocan fugas entre clientes.

Un token de acceso OAuth 2.0 en el centro de un diagrama que conecta un dispositivo legítimo con el dispositivo de un atacante

MFA no falló, falló el modelo de confianza: phishing por código de dispositivo y robo de tokens OAuth (Kali365)

Kali365 abusa de la concesión de autorización de dispositivo de OAuth 2.0 para robar tokens de Microsoft 365 tras MFA. Análisis técnico del flujo, FOCI y detección.

Una ventana de navegador que se disuelve en un flujo de partículas de luz azul sobre un fondo oscuro

La IA está comprimiendo el ciclo de los exploits: el zero-day desarrollado con IA de Google y qué significa para los navegadores

Google detectó un zero-day que cree desarrollado con IA. El cambio real no es el phishing, sino lo rápido que los exploits llegan al navegador.

Tokens de sesión atravesando una barrera de seguridad del navegador hacia señales de huella digital del dispositivo

La sesión del navegador ya es un plano de control de seguridad. Los atacantes lo sabían desde hace años.

La propuesta DBSC de Google valida un cambio claro: las sesiones del navegador necesitan validación del dispositivo después del login.

Las mejores soluciones de prevención de apropiación de cuentas comparadas (2026)

Suites antifraude, herramientas de fingerprinting y MFA comparadas según lo que cubren en la cadena de ataque ATO. Encuentra el stack adecuado para tu perfil de riesgo.

Cómo detener a los agentes de IA que crean cuentas falsas (Guía)

Los agentes de IA crean cuentas falsas con navegadores reales, IPs residenciales e identidades generadas. Así es la pila de señales para detenerlos.

Cómo bloquear bots de scraping de contenido basados en agentes de IA (Guía)

Los bots de scraping con IA usan navegadores reales, IPs residenciales y LLMs para extraer tus precios y contenido. Aprende a detenerlos.