Cloudflare, Chrome, Firefox y Edge acabarán con los CAPTCHAs usando un nuevo sistema privado para verificar usuarios

Internet está cambiando a una velocidad enorme. Hasta hace poco, cuando una web recibía una visita, lo normal era asumir que detrás había una persona haciendo clic, leyendo, comprando o rellenando un formulario. Pero la llegada de los agentes de IA está complicando mucho esa idea: cada vez habrá más tráfico generado por bots que actúan en nombre de usuarios reales.
El problema es que, para los propietarios de páginas web, distinguir entre un usuario legítimo, un agente autorizado y un bot malicioso se está volviendo cada vez más difícil. Y las soluciones tradicionales —CAPTCHAs, bloqueos, verificaciones constantes o sistemas de rastreo— no siempre son cómodas ni respetuosas con la privacidad.
Cloudflare quiere atacar este problema de raíz con una nueva iniciativa junto a algunos de los navegadores más importantes del mercado, como Mozilla Firefox, Google Chrome y Microsoft Edge. El objetivo es desarrollar y estandarizar un nuevo protocolo capaz de demostrar que una visita no es maliciosa sin obligar al usuario a sacrificar su privacidad.
Cloudflare quiere preparar la web para la era de los agentes de IA
La navegación web ya no será siempre una experiencia protagonizada por personas que abren páginas y hacen clic manualmente. Cada vez más tareas podrán delegarse en agentes autónomos capaces de buscar información, comparar opciones, rellenar formularios o completar procesos en nombre del usuario.
Pensemos, por ejemplo, en algo tan cotidiano como pedir comida, comprar un billete o reservar una habitación de hotel. Hoy solemos hacerlo entrando en varias webs, aceptando cookies, iniciando sesión, pasando por pasarelas de pago y completando cada paso a mano. En una web más automatizada, parte de ese trabajo podría hacerlo un agente de IA.
Eso suena cómodo, pero plantea un reto enorme para las páginas web. ¿Cómo saber si una solicitud procede de una persona real, de un asistente autorizado por esa persona o de un bot diseñado para abusar del sistema?
Cloudflare sostiene que las herramientas actuales no están preparadas para ese escenario. Son demasiado generales, demasiado molestas o demasiado invasivas. Por eso la compañía ha anunciado una colaboración con los principales navegadores para crear un nuevo estándar abierto que ayude a resolver este dilema.
El gran problema: frenar bots sin espiar a los usuarios
Durante años, muchas webs han usado una mezcla de técnicas para protegerse del tráfico automatizado. Algunas obligan a iniciar sesión. Otras muestran CAPTCHAs, analizan patrones de comportamiento, limitan peticiones o bloquean accesos sospechosos.
El problema es que estas medidas generan fricción. A veces obligan al usuario legítimo a demostrar una y otra vez que no es un robot. Otras veces terminan recopilando más datos de los necesarios para identificar comportamientos sospechosos.
Con el auge de la IA generativa, el escenario se ha vuelto todavía más complicado. Los bots son más sofisticados, más baratos de desplegar y más difíciles de distinguir de un comportamiento normal. Además, el tráfico automatizado ya no siempre es malicioso: un agente de IA puede estar actuando legítimamente por encargo de una persona.
La frontera entre humano y bot empieza a difuminarse, y eso obliga a repensar cómo se protegen las páginas web sin convertir Internet en una sucesión interminable de controles, bloqueos y verificaciones.
PACT: tokens privados para demostrar que una visita es legítima
La propuesta se llama PACT, siglas de Private Access Control Tokens, o Tokens de Control de Acceso Privado. La idea es permitir que determinados servicios con una relación fiable con usuarios reales puedan emitir tokens anónimos que después el navegador utilizaría en otras webs.
Dicho de una forma sencilla: una web o servicio que tiene motivos sólidos para saber que detrás hay una persona podría generar una especie de “prueba” anónima. Luego, cuando ese usuario navegue por otros sitios, su navegador podría presentar esa prueba para indicar que la visita parece legítima.
La clave está en que esa prueba no debería revelar quién es el usuario, qué páginas ha visitado ni permitir que diferentes webs creen un perfil de su actividad. Cloudflare insiste en que PACT está diseñado para funcionar sin rastreo y sin que los sitios puedan identificar al visitante o reconstruir su historial de navegación.
En la práctica, este enfoque podría reducir la necesidad de CAPTCHAs molestos, verificaciones constantes o técnicas de seguimiento más agresivas. Para el usuario, la web sería más fluida. Para las empresas, habría una forma más fiable de diferenciar entre tráfico útil y tráfico abusivo.
Una solución pensada también para el comercio electrónico
Uno de los sectores donde esta tecnología puede tener más impacto es el comercio online. En una tienda digital, cada paso adicional puede costar dinero. Un CAPTCHA en mal momento, una verificación innecesaria o un falso positivo pueden convertir una compra casi completada en un carrito abandonado.
Shopify se ha sumado a la iniciativa porque ve en PACT una forma de ayudar a los comercios a protegerse del abuso automatizado sin castigar a los compradores legítimos. La compañía destaca que las tiendas necesitan defenderse de bots, fraude y tráfico dañino, pero no deberían hacerlo a costa de introducir fricción innecesaria o rastrear más de la cuenta a sus clientes.
La llegada de agentes de IA complica aún más este punto. En el futuro, un comprador podría autorizar a un asistente para buscar productos, comparar precios o incluso completar una compra. Para una tienda, bloquear todo comportamiento automatizado podría significar bloquear también nuevas formas legítimas de consumo.
Por eso un estándar como PACT busca establecer una base común: permitir que humanos y agentes autorizados puedan demostrar que no son tráfico malicioso, pero sin exponer información personal innecesaria.
Microsoft, Mozilla y Google se suman al esfuerzo
La participación de navegadores como Chrome, Firefox y Edge es una parte importante del anuncio. Para que un sistema de este tipo tenga sentido, no basta con que lo impulse una sola empresa. Debe integrarse en la web abierta y funcionar de forma interoperable entre navegadores, servicios y sitios web.
Microsoft ha defendido la necesidad de herramientas eficaces y respetuosas con la privacidad que permitan combatir el abuso sin añadir obstáculos constantes a los usuarios. Desde Edge, la compañía se muestra dispuesta a colaborar en nuevos estándares que puedan implementarse de manera amplia en la web.
Mozilla también ha subrayado el riesgo de que el crecimiento del tráfico automatizado empuje a las webs hacia soluciones más agresivas, como más muros de acceso, más verificaciones de identidad, más CAPTCHAs o más rastreo. Firefox apuesta por una alternativa que mantenga una privacidad fuerte y, al mismo tiempo, reduzca molestias para las personas reales que navegan por Internet.
Google Chrome también forma parte de esta colaboración, lo que resulta especialmente relevante por el enorme peso del navegador en el mercado. Sin el apoyo de los principales navegadores, cualquier intento de crear una nueva capa de confianza para la web tendría muchas más dificultades para despegar.
Menos CAPTCHAs y menos rastreo, al menos sobre el papel
Uno de los grandes atractivos de PACT es la promesa de una web con menos interrupciones. Cualquiera que navegue con frecuencia conoce la frustración de tener que seleccionar semáforos, bicicletas o pasos de peatones para demostrar que es humano.
Los CAPTCHAs nacieron como una defensa contra la automatización, pero se han convertido en una molestia habitual. Además, no siempre son eficaces frente a bots avanzados y pueden ser especialmente problemáticos para personas con dificultades visuales, cognitivas o de accesibilidad.
PACT busca ofrecer una alternativa más silenciosa. En lugar de pedir al usuario que complete una prueba, el navegador podría presentar un token privado que ayude a la web a confiar en esa visita. La experiencia ideal sería que el usuario no tuviera que hacer nada.
Eso sí, como ocurre con cualquier estándar de seguridad y privacidad, el éxito dependerá de su implementación real. El equilibrio es delicado: si el sistema es demasiado permisivo, los atacantes intentarán aprovecharlo; si es demasiado restrictivo, puede terminar generando nuevas barreras.
Por qué la IA agéntica obliga a rediseñar la confianza en Internet
La IA agéntica no se limita a generar texto o responder preguntas. Su objetivo es realizar tareas. Eso significa navegar, consultar servicios, enviar solicitudes, interactuar con APIs, tomar decisiones y ejecutar acciones en nombre de una persona o una empresa.
Para la web tradicional, esto supone un cambio de paradigma. Hasta ahora, muchas defensas se han basado en diferenciar entre un humano y una máquina. Pero en un mundo de agentes, esa distinción deja de ser suficiente.
La pregunta ya no será únicamente “¿eres humano?”. También habrá que responder a otras cuestiones: ¿este agente está autorizado?, ¿actúa en nombre de una persona real?, ¿está intentando abusar del servicio?, ¿puede acceder a este contenido o completar esta operación?
Cloudflare plantea PACT como una pieza de esa nueva infraestructura de confianza. No pretende resolver todos los problemas de seguridad de Internet, pero sí proporcionar un mecanismo más privado y estandarizado para separar tráfico legítimo de actividad dañina.
La privacidad, en el centro del nuevo protocolo
La gran promesa de PACT es que la verificación no debería convertirse en vigilancia. En otras palabras, una web podría obtener una señal de confianza sin conocer la identidad exacta del usuario ni rastrear su recorrido por Internet.
Este punto es clave porque muchas defensas actuales contra bots dependen de señales acumuladas: huellas del navegador, comportamiento del ratón, dirección IP, historial de actividad, cookies o patrones de navegación. Aunque estas técnicas pueden ser útiles para detectar abusos, también abren la puerta a un seguimiento más invasivo.
Con PACT, la información sensible quedaría en el contexto donde existe una relación auténtica con la persona, mientras que el resto de sitios recibiría únicamente una prueba anónima. Así, una web podría tener más garantías sobre la legitimidad del tráfico sin acceder a datos personales de más.
Para los usuarios, esto podría traducirse en una navegación más privada. Para los operadores de sitios web, en una herramienta adicional para proteger recursos, evitar fraude y priorizar visitas reales.
Cloudflare quiere elevar el listón de la confianza online
Cloudflare ya tiene un papel importante en la infraestructura de Internet, especialmente en seguridad, rendimiento y protección frente a ataques automatizados. Por eso no resulta extraño que quiera posicionarse también en esta nueva etapa marcada por agentes de IA y tráfico automatizado más sofisticado.
La compañía afirma que PACT puede ayudar a las empresas a identificar visitantes genuinos y concentrar sus recursos en el tráfico que realmente importa. Esto puede ser especialmente relevante para medios digitales, comercios online, plataformas de servicios, redes sociales o cualquier web expuesta a scraping masivo, fraude, abuso de formularios o ataques automatizados.
El desafío será conseguir que el estándar sea abierto, interoperable y adoptado de forma amplia. Si solo funciona en algunos navegadores o en un número limitado de sitios, su impacto será reducido. Pero si termina convirtiéndose en una capa común de confianza para la web, podría cambiar la forma en la que se gestionan millones de interacciones diarias.
Un paso necesario para una web menos molesta
La iniciativa de Cloudflare llega en un momento en el que Internet necesita nuevas respuestas. Los bots maliciosos son cada vez más difíciles de frenar, los agentes de IA legítimos empiezan a ganar protagonismo y los usuarios están cansados de controles constantes que interrumpen la navegación.
PACT intenta resolver una tensión muy actual: las webs necesitan protegerse, pero los usuarios no quieren ser tratados como sospechosos cada vez que entran en una página. Tampoco quieren que la seguridad se utilice como excusa para recopilar más datos personales de los necesarios.
Si esta colaboración entre Cloudflare, Mozilla, Google, Microsoft y otros actores del ecosistema prospera, podríamos ver una web donde demostrar que una visita es legítima sea más sencillo, más privado y mucho menos molesto.
Por ahora, PACT es una iniciativa en desarrollo y su impacto dependerá de cómo se estandarice, de quién lo adopte y de cómo se implemente en la práctica. Pero el enfoque apunta en una dirección interesante: preparar Internet para una era en la que humanos y agentes de IA convivirán en la misma web.







