Cloudflare lanza Precursor para detectar bots siguiendo toda la sesión

Cloudflare ha presentado Precursor, un sistema que analiza de forma continuada cómo se comporta un visitante dentro de una aplicación web para distinguir a una persona de un bot o un agente automatizado. En lugar de juzgar cada petición por separado o comprobar al usuario únicamente durante el inicio de sesión, la tecnología construye una visión de toda la sesión.

El producto utiliza JavaScript inyectado por Cloudflare para observar señales como el movimiento del puntero, el ritmo de uso del teclado, los cambios de foco y el tiempo durante el que la página permanece visible. Estos datos se procesan en los servidores perimetrales de la compañía y se incorporan a su puntuación de bots, sus reglas de seguridad y las decisiones sobre cuándo mostrar un desafío.

Precursor de Cloudflare: las claves en 20 segundos

  • Analiza el comportamiento durante toda la sesión, no una única petición.
  • Utiliza un pequeño script que Cloudflare añade a las respuestas HTML.
  • Recoge movimientos del puntero, actividad del teclado, foco y visibilidad.
  • Cloudflare asegura que registra el ritmo de escritura, pero no las teclas pulsadas.
  • Los datos se envían periódicamente a su infraestructura para ser evaluados.
  • La información acumulada puede modificar la puntuación de bot de la sesión.
  • Actualiza el estado almacenado en la cookie cf_clearance.
  • Puede volver a comprobar a un usuario que ya superó un desafío.
  • Complementa a Turnstile y sustituye a JavaScript Detections cuando se activa.
  • Está disponible para clientes de Enterprise Bot Management y será gratuito hasta su lanzamiento general previsto para más adelante en 2026.

Precursor intenta cerrar una debilidad de los sistemas actuales. Un bot avanzado puede ejecutar JavaScript, controlar un navegador real y comportarse correctamente durante el breve instante en el que aparece un CAPTCHA. Mantener una conducta creíble durante varios minutos, recorriendo páginas, rellenando formularios y reaccionando a distintos elementos resulta bastante más difícil.

Cloudflare afirma que analiza más de un billón de peticiones al día a través de su red y que Turnstile se ejecuta cerca de 3.000 millones de veces cada jornada. Son cifras comunicadas por la propia empresa y explican la escala de datos con la que puede entrenar y ajustar sus mecanismos de detección.

De una comprobación puntual a la firma de comportamiento de una sesión

Los sistemas tradicionales suelen tomar una decisión a partir de una acción concreta. El visitante abre una página, inicia sesión, crea una cuenta o completa una compra. En ese momento se evalúan la dirección IP, las cabeceras, la reputación del dispositivo, el navegador y otras señales.

Ese enfoque funciona contra automatizaciones sencillas, pero ofrece una fotografía muy corta. Un atacante puede preparar el navegador para superar la prueba y comenzar el abuso después: extraer contenido, probar credenciales, reservar productos, crear cuentas falsas o automatizar una compra.

Precursor transforma esa fotografía en una secuencia. El sistema comprueba si las acciones mantienen una coherencia humana durante toda la visita y cruza unas señales con otras. Puede verificar, por ejemplo, si el movimiento del ratón coincide con el tiempo durante el cual la pestaña estaba visible o si la actividad de teclado se produjo mientras un campo de texto tenía el foco.

Cloudflare utiliza el movimiento del puntero para explicar la diferencia. Las bibliotecas de automatización pueden añadir ruido aleatorio, pausas o curvas para evitar trayectorias perfectamente rectas. Sin embargo, los movimientos humanos están condicionados por el giro de la muñeca, las pequeñas correcciones, el temblor fisiológico y el tiempo que necesita una persona para interpretar lo que aparece en pantalla.

Un bot puede generar una curva de Bézier aparentemente natural en una acción aislada. Lo que cuesta más imitar es la variación de velocidad, dirección, precisión y tiempos de respuesta durante una sesión completa. La repetición excesiva, los clics demasiado exactos o el regreso constante a un mismo punto pueden terminar formando un patrón reconocible.

Cómo funciona Precursor

EtapaQué hace el sistema
InyecciónCloudflare añade un paquete JavaScript a las respuestas HTML
RecogidaEl navegador registra señales de interacción mediante eventos ligeros
Almacenamiento temporalLos eventos se comprimen y guardan en memoria
EnvíoLos bloques de información se remiten periódicamente al edge
EvaluaciónVarios analizadores cruzan las señales recibidas
IntegraciónLos resultados actualizan el estado de la sesión
RespuestaEl bot score, el WAF y los desafíos pueden actuar con ese contexto

El paquete se genera dinámicamente, está ofuscado y no requiere que el propietario de la web inserte manualmente una biblioteca de terceros. Al circular la respuesta HTML a través de Cloudflare, la plataforma incorpora el código antes de entregarlo al navegador.

Esta facilidad tiene una consecuencia operativa: el producto puede activarse desde el panel sin modificar la aplicación. También significa que el funcionamiento depende de que la página pase por la red de Cloudflare y permita la ejecución del script.

Precursor no cubre por sí solo toda clase de tráfico automatizado. Un cliente que llama directamente a una API sin cargar HTML ni ejecutar JavaScript no generará las mismas señales. La protección seguirá necesitando análisis de red, límites de velocidad, autenticación, reputación, reglas del WAF y controles específicos de abuso.

Qué cambia para los administradores de Cloudflare

La documentación ofrece dos modos de funcionamiento. Minimize Friction, seleccionado por defecto, intenta establecer el estado de la sesión en segundo plano sin mostrar una página intermedia. Reduce las interrupciones, aunque Cloudflare reconoce que no puede asegurar que todas las sesiones queden completamente verificadas.

Maximize Security exige un desafío ligero cuando todavía no existe una sesión válida. Proporciona una comprobación más estricta, pero puede añadir una pausa perceptible para el usuario. Cloudflare lo recomienda cuando la prioridad es asegurar que todas las sesiones han sido verificadas.

Las reglas permiten aplicar políticas diferentes según la zona de la web. Un comercio podría usar el modo menos intrusivo en el catálogo y exigir mayor comprobación en /checkout. Otra organización podría proteger con más rigor el inicio de sesión, el registro y las páginas donde se modifican datos personales.

El estado se integra con la cookie cf_clearance, utilizada por Cloudflare para indicar que un navegador ha superado determinadas comprobaciones. Precursor puede reducir o invalidar esa autorización, provocar un nuevo desafío y volver a evaluar al mismo visitante durante la sesión. Refrescar la página no basta, por tanto, para borrar inmediatamente la conducta acumulada.

El producto tampoco reemplaza a Turnstile. Turnstile protege momentos concretos, como un formulario o una compra, mientras Precursor mantiene la evaluación entre esos puntos. La combinación permite que una sesión aparentemente legítima sea revisada si su comportamiento cambia.

Sí sustituye a JavaScript Detections, la función anterior que ejecutaba una comprobación puntual en el navegador. Cloudflare recomienda desactivarla cuando se habilita Precursor para evitar que ambos mecanismos se solapen.

Los resultados aparecen en Security Analytics, donde la compañía introduce vistas centradas en sesiones completas. Los equipos podrán observar qué recorrido es habitual, dónde empiezan a desviarse determinadas visitas y cuáles presentan señales de automatización.

La información también modifica el bot score, una puntuación de 1 a 99: los valores bajos indican una mayor probabilidad de automatización y los altos apuntan a tráfico humano. Los clientes pueden utilizarla en reglas del WAF para permitir, desafiar o bloquear peticiones. La puntuación detallada está reservada a organizaciones con Enterprise Bot Management.

La privacidad y los falsos positivos serán la prueba más delicada

Precursor introduce una recogida continuada de telemetría en el navegador, por lo que la privacidad será uno de los puntos que deberán revisar las empresas antes de activarlo.

Cloudflare afirma que no registra el contenido de las teclas pulsadas, sino sus tiempos y ritmo. También sostiene que las señales se estudian como patrones agregados, no se vinculan con cuentas, identidades de inicio de sesión o perfiles permanentes y no se entregan directamente al cliente en sus paneles.

Eso reduce la sensibilidad de la información, pero no convierte la recogida en irrelevante desde el punto de vista jurídico o de privacidad. El administrador deberá conocer qué datos se envían, durante cuánto tiempo se conservan, en qué lugares se procesan y qué documentación debe ofrecer a los usuarios según su jurisdicción.

La propia documentación de Cloudflare señala que Bot Analysis incorpora detecciones conductuales y biométricas procedentes de Precursor. La compañía no detalla en la presentación si utiliza “biométricas” como una categoría técnica interna o con el alcance jurídico que el término puede tener en normativas como el RGPD. Esa distinción merece una explicación más precisa antes de desplegar el producto en sectores especialmente regulados.

También habrá que medir los falsos positivos. No todas las personas interactúan de la misma manera. Los movimientos pueden cambiar al utilizar una pantalla táctil, un trackpad, tecnologías de asistencia, un escritorio remoto o dispositivos adaptados. Una persona puede navegar con el teclado, mantener la pestaña en segundo plano o completar un formulario mediante un gestor de contraseñas.

Una automatización legítima puede parecer maliciosa, mientras un sistema bien diseñado puede aprender a simular pausas, errores y recorridos realistas. El resultado no debería utilizarse como una prueba absoluta, sino como una señal más dentro de una política de seguridad.

Cloudflare sostiene que disponer de contexto durante toda la sesión permitirá mejorar la precisión y reducir el número de desafíos mostrados a usuarios legítimos. Por ahora no ha publicado tasas de detección, cifras de falsos positivos ni comparaciones independientes que permitan cuantificar esa mejora.

Qué debería probar una empresa antes de activarlo

ComprobaciónMotivo
Navegación con ratón, teclado y pantalla táctilDetectar diferencias entre dispositivos
Lectores de pantalla y tecnologías de asistenciaEvitar barreras de accesibilidad
Gestores de contraseñas y autocompletadoComprobar formularios rápidos
Escritorios remotos y redes con latenciaIdentificar patrones que puedan parecer artificiales
Clientes corporativos con scriptsSeparar automatización autorizada
Checkout e inicio de sesiónMedir conversión y abandono
Diferentes países y navegadoresRevisar comportamiento y requisitos legales
Modo de observación antes del bloqueoAnalizar los resultados sin cortar tráfico

La detección de bots seguirá siendo una carrera entre atacantes y defensores. Cuanto más valor se atribuya a los movimientos, las pausas y la navegación, más incentivos tendrán los desarrolladores de automatización para reproducir esas características.

Precursor eleva el coste porque ya no basta con superar un control puntual. El bot tiene que mantener un personaje convincente durante todo el recorrido, reaccionar a cambios y evitar patrones repetitivos a gran escala. No lo hace imposible, pero obliga a emplear navegadores más completos, más recursos y modelos de comportamiento mejor ajustados.

Cloudflare está trasladando así la seguridad desde la petición HTTP hasta la experiencia completa del usuario. Esa ampliación puede ayudar frente al fraude, el scraping, la apropiación de cuentas y los agentes que operan un navegador, aunque también exige más atención a la privacidad, la accesibilidad y la explicación de las decisiones automatizadas.

Preguntas frecuentes

¿Qué es Cloudflare Precursor?
Es un sistema de detección que analiza señales del navegador durante toda una sesión para diferenciar tráfico humano de bots y agentes automatizados.

¿Registra lo que escribe el usuario?
Cloudflare asegura que captura el tiempo y el ritmo de la actividad del teclado, pero no las teclas concretas ni el contenido escrito.

¿Precursor sustituye a Turnstile?
No. Turnstile realiza comprobaciones en puntos concretos y Precursor extiende la evaluación al resto de la sesión. Sí reemplaza a la anterior función JavaScript Detections cuando se activa.

¿Está disponible para cualquier cliente de Cloudflare?
Precursor forma parte de Enterprise Bot Management. Se está desplegando durante julio de 2026 y será gratuito hasta su lanzamiento general previsto para más adelante ese año.

vía: blog.cloudflare

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Las últimas novedades de tecnología y cloud

Suscríbete gratis al boletín de Revista Cloud. Cada semana la actualidad en tu buzón.

Suscripción boletín
×