ThumbmarkJS vs cside: Fingerprinting Compared (2026)

ThumbmarkJS es una librería de fingerprinting de código abierto gratuita con una API en la nube de bajo coste. cside ofrece fingerprinting más monitorización de scripts a nivel de navegador desde un solo proveedor. Esta comparación desglosa señales, precios, cumplimiento y los casos en los que cada opción es la adecuada.

Jun 08, 2026 • Updated Jun 08, 2026

Simon Wijckmans Founder & CEO

ThumbmarkJS vs cside: Fingerprinting Compared (2026)

Resumen de la comparación

Ambos producen un ID de visitante a partir de señales del dispositivo y del navegador. La capacidad principal de fingerprinting se solapa. Las diferencias están en la licencia, el precio y lo que cada proveedor construye alrededor del fingerprint.
ThumbmarkJS destaca en coste y apertura. La librería es gratuita y con licencia MIT (autoalojable, ~80% de unicidad), y la API comercial empieza en 15€/mes por 15.000 llamadas con un nivel gratuito. Si solo necesitas un ID de visitante barato o autoalojado, es difícil superar a ThumbmarkJS en precio.
cside es la opción de plataforma. El fingerprinting es un producto; la monitorización de scripts a nivel de navegador es otro, y ambos se combinan bajo un solo proveedor. Eso aporta cobertura de cumplimiento PCI DSS 4.0.1, evidencia de chargeback (CE 3.0), detección de agentes de IA y protección frente a ataques como el web skimming.
La división honesta: elige ThumbmarkJS cuando el fingerprinting es todo el trabajo y el presupuesto importa. Elige cside cuando el fingerprinting es parte de un problema más amplio de fraude o seguridad del lado del cliente y quieres resolverlo desde un solo lugar.

Introducción

Si estás evaluando ThumbmarkJS, probablemente quieres identificar visitantes recurrentes, detectar bots o frenar el fraude, y has encontrado una alternativa a FingerprintJS de rápido crecimiento y amigable para desarrolladores. ThumbmarkJS viene en dos formas: una librería de código abierto gratuita y una API comercial en la nube en thumbmarkjs.com que añade señales del lado del servidor y mayor precisión.

cside es un competidor en esta categoría. Somos una plataforma de seguridad web galardonada con un producto dedicado de fingerprinting. Ambas herramientas recopilan señales similares (IP, canvas, fuentes, WebGL, audio, patrones de comportamiento) para producir un ID de visitante. Las diferencias están en la licencia, el precio y lo que cada proveedor hace más allá de esa capacidad central.

Nota del autor: Como aclaración, construimos cside y reconocemos ese sesgo. Esta comparación busca ser objetivamente precisa sobre ambos productos y ayudarte a entender cuándo cada proveedor es la opción adecuada. Se basa en información disponible públicamente, además de informes de usuarios, y tratamos de actualizarla periódicamente para mantenerla vigente.

Tabla comparativa: cside vs ThumbmarkJS

	cside	ThumbmarkJS
Precio de entrada	$99/mes · 50.000 llamadas API	Librería gratis · API desde 15€/mes · 15.000 llamadas
Exceso por llamada	$2 por cada 1.000 llamadas	~1€ por cada 1.000 llamadas
Librería de código abierto	No support	Full support licencia MIT, autoalojable
Fingerprinting de dispositivo + navegador	Full support 102+ señales	Full support
Unicidad / precisión	Full support	Full support ~80% librería, 99%+ API
Detección de manipulación del navegador	Full support capa de ejecución del navegador	Partial support solo pipeline de fingerprint
Detección de VPN / proxy	Full support	Full support VPN + centro de datos (API)
Detección de agentes de IA	Full support detección por comportamiento	Partial support detección de bots (API)
Datos crudos vía webhook / API	Full support	Full support webhooks en Pro+
Reglas predefinidas para alertas instantáneas	Full support	Partial support puntuación de nivel de amenaza
Bloquear o aplicar acciones a visitantes	Full support Cloudflare o del lado del servidor	No support constrúyelo tú
Monitorización de scripts del lado del cliente	Full support producto separado, combinable	No support
Controles PCI DSS 4.0.1	Full support requisitos 6.4.3 y 11.6.1	No support
Evidencia de chargeback (CE 3.0)	Full support asociación con Chargebacks911	No support
Protección frente a web skimming	Full support	No support
SDKs móviles	No support	No support
Implementación	Etiqueta de script (solo web)	NPM / script CDN (solo web)

Sí / Soporte completo Parcial / Limitado No

ThumbmarkJS vs cside: comparación directa

Plan gratuito y código abierto

ThumbmarkJS:

La librería ThumbmarkJS es gratuita y de código abierto bajo licencia MIT, utilizable en proyectos comerciales. Se ejecuta enteramente en el navegador, así que puedes autoalojar sin coste por llamada.
La API comercial tiene un nivel gratuito: 1.000 llamadas al mes con el fingerprint avanzado, ID de visitante, detección de bots, detección de VPN y centro de datos, nivel de amenaza y detección de país.

cside:

Gratis para siempre. Señales básicas de fingerprinting. 1.000 llamadas API al mes.
Prueba gratuita del plan Business completo si quieres probar señales avanzadas antes de comprometerte.

La librería de código abierto es el punto más claro a favor de ThumbmarkJS. Si quieres código que puedas leer, bifurcar y ejecutar tú mismo sin dependencia de proveedor, cside no ofrece un equivalente.

Precios

ThumbmarkJS:

Librería: gratis (MIT).
API nivel gratuito: 1.000 llamadas/mes, exceso de alrededor de 1€ por cada 1.000 llamadas.
API Pro: 15€/mes, incluye 15.000 llamadas, más webhooks y dominio personalizado.
Enterprise: presupuesto a medida con descuentos por volumen, SLAs personalizados y un DPA.

cside:

$99/mes. Incluye 50.000 llamadas API.
$2 por cada 1.000 llamadas adicionales.
Enterprise: presupuesto a medida. Añade fingerprinting de chargeback, retención de datos de 90 días, SSO.

En coste puro de fingerprinting, ThumbmarkJS es la opción más barata, especialmente a bajo volumen. El precio de entrada de cside refleja una plataforma más amplia: la monitorización de scripts, los controles de cumplimiento y la evidencia de chargeback son parte de lo que pagas, no solo un ID de visitante.

Señales recopiladas

Ambos recopilan un amplio conjunto de señales del lado del cliente: canvas, audio, datos de WebGL y GPU, fuentes, detalles de hardware, idiomas, zona horaria, pantalla y media queries, plugins y permisos, y WebRTC. La API comercial de ThumbmarkJS añade señales del lado del servidor (handshake TLS, cabeceras HTTP, datos de conexión) para superar el 99% de unicidad. cside recopila 102+ señales, incluyendo IP, geolocalización, indicadores de VPN/proxy y patrones de comportamiento como el ritmo de clic y la velocidad de desplazamiento.

La diferencia es qué pasa con esas señales. cside incluye reglas preconfiguradas que convierten las señales crudas en veredictos accionables (viaje imposible, superación de límites de dispositivos, anomalías de velocidad) y acciones de aplicación. ThumbmarkJS devuelve un ID de visitante y un nivel de amenaza; la lógica de decisión la construyes tú.

Reseñas

cside: 4,8/5 en G2. 4,9/5 en Sourceforge (35 reseñas y valoraciones mostradas: 24 reseñas nativas de SourceForge más 11 valoraciones de terceros verificadas que aparecen allí).
ThumbmarkJS: sin presencia significativa en G2 al momento de escribir esto. Su credibilidad proviene de la adopción de código abierto (estrellas y forks en GitHub) y de la escala autoinformada ("más de 60.000 sitios web, ~1.000 millones de llamadas API mensuales") en lugar de plataformas de reseñas de terceros.

Implementación

Ambos productos son solo web y se instalan mediante una etiqueta de script o un paquete NPM. ThumbmarkJS puede ejecutarse completamente en el lado del cliente desde la librería de código abierto o llamar a la API en la nube. cside se instala mediante una etiqueta de script. El tiempo típico hasta estar en producción es de menos de un día para cualquiera. Ninguno ofrece SDKs móviles nativos; si necesitas cobertura para Android, iOS, React Native o Flutter, mira Fingerprint.

Cumplimiento (GDPR, PCI DSS, SOC 2)

Si tu equipo legal o de seguridad necesita aprobar nuevos proveedores antes de que algo salga en producción, el cumplimiento surge pronto. Esto es lo que importa para ambos.

La preocupación más común es el GDPR. Como el fingerprinting recopila información del dispositivo y del navegador para crear un ID, los equipos quieren saber si requiere banners de consentimiento. Para la prevención del fraude, generalmente no: el Considerando 47 del GDPR nombra la prevención del fraude como un interés legítimo válido. Tanto cside como ThumbmarkJS operan dentro de este marco, y Thumbmark ofrece un DPA para clientes enterprise.

Donde divergen es en el cumplimiento de seguridad del lado del cliente. La monitorización de scripts de cside satisface los requisitos 6.4.3 y 11.6.1 de PCI DSS 4.0.1 (inventario de scripts y verificación de integridad en páginas de pago). ThumbmarkJS es un producto de fingerprinting y no está posicionado frente a PCI DSS ni a otros marcos de seguridad del lado del cliente. Si el cumplimiento en páginas de pago está en tu hoja de ruta, esa diferencia importa.

Cuándo ThumbmarkJS es la mejor opción

ThumbmarkJS está hecho para desarrolladores que quieren un fingerprint sin la sobrecarga de una plataforma. Si valoras la apertura y el precio, es una opción sólida.

ThumbmarkJS está especialmente indicado para:

Código abierto y autoalojamiento: La librería con licencia MIT se ejecuta en el navegador sin dependencia de proveedor ni coste por llamada. Puedes leer el código, bifurcarlo y llevarlo dentro de tu propio stack.
Identificación de visitantes de bajo coste: Un plan Pro de 15€/mes y un nivel gratuito lo hacen accesible para proyectos personales, startups y casos de uso de alto volumen donde el precio por llamada domina.
Señales sencillas de bots y abuso: Cuando solo necesitas un ID de visitante estable más indicadores de bots, VPN y centro de datos para alimentar tu propia lógica, la API comercial lo cubre sin productos extra que no usarás.

Cuándo cside es la mejor opción

cside está hecho para equipos cuya superficie de fraude se centra en el abuso de identidad en el navegador, y que quieren fingerprinting combinado con seguridad del lado del cliente de un solo proveedor.

cside se centra en:

Account takeover: Detecta cuándo aparece un nuevo dispositivo, ubicación o entorno de navegador en una cuenta existente. Marca intentos de credential stuffing correlacionando fingerprints de dispositivo con patrones de sesión conocidos.
Uso compartido de cuentas: Identifica cuándo se accede a una sola cuenta desde más dispositivos de los que permite tu política. Activa acciones de aplicación como desafíos MFA, pantallas de gestión de dispositivos o avisos de actualización cuando se superan los límites.
Evidencia de chargeback: Produce evidencia a nivel de dispositivo para disputas de Visa Compelling Evidence 3.0 mediante una asociación con Chargebacks911.
Detección de agentes de IA: Usa señales de comportamiento para separar agentes automatizados de usuarios reales en flujos sensibles.

Dónde encajan cside y ThumbmarkJS en el panorama de herramientas antifraude

Tanto cside como ThumbmarkJS sirven principalmente como una capa de captura de datos. Recopilan señales (IP, geolocalización, renderizado de canvas, patrones de comportamiento como el ritmo de clic y la velocidad de tecleo) y producen un ID de visitante con enriquecimientos. Esa salida alimenta los flujos antifraude. No los reemplaza.

Esas señales podrían ir a una suite antifraude como Sift o SEON que agrega datos de múltiples fuentes en una puntuación de riesgo.
Podrían alimentar una herramienta dedicada de gestión de chargebacks como Chargebacks911 que se conecta a los programas de disputas de Visa y Mastercard y necesita evidencia a nivel de dispositivo para ganar casos.
O podrían alimentar tu propio motor interno de reglas: mostrar una pantalla de "mejora tu plan" cuando un usuario comparte su cuenta entre demasiados dispositivos, o forzar un desafío MFA cuando un inicio de sesión proviene de un dispositivo nuevo en una geografía de alto riesgo.

Ni cside ni ThumbmarkJS reemplazan una pila antifraude completa. Proporcionan la inteligencia a nivel de navegador que el resto de tu stack necesita para tomar decisiones.

¿Qué es cside?

cside es una plataforma de seguridad web que previene el fraude en tu sitio web monitorizando el runtime del navegador. El producto de fingerprinting recopila 102+ señales y se centra en cuatro casos de uso: account takeover, uso compartido de cuentas, evidencia de chargeback (CE 3.0 mediante Chargebacks911) y detección de agentes de IA. El producto de monitorización de scripts observa cada script que se ejecuta en una página, capturando inyecciones, manipulaciones y ataques de skimming que el fingerprinting por sí solo no ve.

¿Qué es ThumbmarkJS?

ThumbmarkJS es un proyecto de fingerprinting de navegador con dos partes. La primera es una librería JavaScript de código abierto, gratuita y con licencia MIT, que se ejecuta en el lado del cliente y produce un ID de visitante con alrededor del 80% de unicidad. La segunda es una API comercial en la nube en thumbmarkjs.com que combina el fingerprint del lado del cliente con señales del lado del servidor (TLS, cabeceras HTTP, datos de conexión) para alcanzar más del 99% de unicidad, añadiendo detección de bots, detección de VPN y centro de datos, puntuación de amenazas y detección de país. Es solo web, sin SDKs móviles.

Lo que cside cubre y ThumbmarkJS no

Monitorización de scripts de terceros: cside monitoriza cada script que se ejecuta en tus páginas. Inyecciones de credential stuffing, cargas de secuestro de sesión desde proveedores comprometidos, exfiltración de datos no autorizada mediante etiquetas de analítica maliciosas. ThumbmarkJS no ofrece monitorización de scripts. cside la ofrece como producto separado, combinable con el fingerprinting bajo un solo proveedor.
Controles del lado del cliente para PCI DSS y otros marcos: La monitorización de scripts de cside satisface los requisitos 6.4.3 y 11.6.1 de PCI DSS 4.0.1 (inventario de scripts y verificación de integridad en páginas de pago), y da a los equipos de cumplimiento visibilidad sobre scripts de terceros que filtran datos personales sin consentimiento. ThumbmarkJS no está posicionado frente a ninguno de estos marcos.
Evidencia de chargeback y aplicación: cside produce evidencia a nivel de dispositivo para disputas CE 3.0 y ofrece reglas predefinidas con acciones de bloqueo y aplicación mediante Cloudflare o del lado del servidor. ThumbmarkJS devuelve un ID de visitante y un nivel de amenaza; la lógica de decisión y aplicación la construyes tú.
Alcance de la detección de manipulación del navegador: Ambos detectan manipulación del navegador. ThumbmarkJS comprueba inconsistencias dentro de las señales que recopila su propio código. cside ve una capa más allá: la monitorización de scripts observa un plugin anti-detección o un wrapper sigiloso mientras está manipulando activamente, no solo la evidencia posterior. La diferencia se nota sobre todo con herramientas novedosas que los modelos estadísticos aún no han aprendido.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Índice

Volver arriba

Don't just take our word for it, ask AI

FAQ

Preguntas Frecuentes

La librería ThumbmarkJS es gratuita y de código abierto bajo licencia MIT, y puedes usarla comercialmente. Se ejecuta completamente en el lado del cliente y alcanza alrededor del 80% de unicidad por sí sola. Thumbmark también vende una API en la nube comercial que añade señales del lado del servidor y mayor precisión, con un nivel gratuito (1.000 llamadas al mes) y un plan Pro de 15€/mes para 15.000 llamadas.

cside es una alternativa directa que ofrece fingerprinting de dispositivos más monitorización de scripts a nivel de navegador desde un solo proveedor. Fingerprint (FingerprintJS) es otra opción establecida con SDKs móviles y un Suspect Score impulsado por IA. La alternativa correcta depende de si solo necesitas un ID de visitante o una plataforma más amplia de fraude y seguridad del lado del cliente a su alrededor.

La API comercial de Thumbmark es más barata en el punto de entrada: 15€/mes por 15.000 llamadas, con un exceso de alrededor de 1€ por cada 1.000 llamadas, además de una librería MIT gratuita que puedes autoalojar. cside cuesta $99/mes por 50.000 llamadas con $2 por cada 1.000 de exceso. Si solo necesitas un fingerprint, Thumbmark es la vía de menor coste. El precio de cside refleja la plataforma más amplia: monitorización de scripts, controles PCI DSS y evidencia de chargeback combinados con el fingerprinting.

Ambos producen un ID de visitante a partir de señales del dispositivo y del navegador. ThumbmarkJS destaca en flexibilidad de código abierto y bajo coste, y su API añade detección de bots, VPN y centros de datos. cside es una plataforma de seguridad web: ofrece fingerprinting más monitorización de scripts a nivel de navegador, con cobertura de cumplimiento PCI DSS 4.0.1, evidencia de chargeback (CE 3.0) y detección de agentes de IA que ThumbmarkJS no ofrece.

cside encaja bien cuando el fingerprinting es una parte de un problema mayor: account takeover, uso compartido de cuentas, disputas de chargeback o cumplimiento PCI DSS en páginas de pago. Cuando quieres fingerprinting y monitorización de scripts del lado del cliente con un solo proveedor, con soporte y reglas predefinidas. Si solo quieres un ID de visitante barato o gratuito y te sientes cómodo construyendo tu propia lógica, ThumbmarkJS encaja mejor.

No. Ambos son capas de captura de datos. Recopilan señales del dispositivo y del navegador y producen un ID de visitante con enriquecimientos. Esas señales alimentan sistemas posteriores: suites antifraude como Sift o SEON, herramientas de chargeback como Chargebacks911, o tu propio motor interno de reglas. Proporcionan inteligencia. Tu stack toma las decisiones.