Cloudflare ha lanzado Precursor, un sistema de monitoreo de comportamiento del lado del cliente que diferencia entre usuarios humanos y tráfego automatizado al inyectar JavaScript ligero en respuestas HTML. El sistema opera en el borde de Cloudflare, que procesa más de 1 billón de solicitudes diarias en aproximadamente el 20% de la web, marcando una de las implementaciones de telemetría de estilo biométrico continua más grandes para la detección de bots.

La arquitectura del sistema separa la recolección de datos y la evaluación. A medida que las páginas HTML pasan por la red de Cloudflare, un paquete de JavaScript ensamblado dinámicamente y ofuscado se inyecta en la respuesta. Los oyentes de eventos del lado del cliente capturan el movimiento del puntero, la actividad del teclado, los cambios de enfoque y la visibilidad de la página, serializando los datos en un formato compacto. Estos datos se vacían periódicamente al borde de Cloudflare, donde se deserializan y se evalúan en contra de un conjunto de criterios, como asegurarse de que los eventos del teclado solo se activen cuando un campo de texto tenga el enfoque. Los resultados se alimentan en la tubería de puntuación de bots existente de Cloudflare.

Precursor es parte de la capa de Administración de Bots Enterprise y complementa Turnstile, la alternativa de CAPTCHA de Cloudflare utilizada casi 3 mil millones de veces al día en puntos finales sensibles. Mientras que Turnstile protege momentos específicos como el inicio de sesión o la finalización de compra, Precursor monitorea los intervalos entre estos eventos, abordando lo que Cloudflare se refiere como la "brecha de visibilidad". El sistema está diseñado para detectar bibliotecas de automatización modernas que pueden superar desafíos individuales pero que luchan para mantener una firma de comportamiento humana a lo largo de toda una sesión.

Sin embargo, la dependencia de Precursor en la inyección de JavaScript limita su cobertura, ya que no puede detectar tráfico que omite el navegador, como agentes API-a-API, automatización nativa para móviles o protocolos que no son HTTP. Esta es una limitación significativa, ya que más pilas de agentes se mueven hacia la integración directa de API. Cloudflare afirma que el sistema es de preservación de privacidad, pero no ha proporcionado detalles sobre cómo se retienen, se anonimizan o se protegen de la reidentificación las telemetrías de comportamiento, lo que plantea preocupaciones de cumplimiento para entornos regulados.

No hay métricas operativas publicadas para tasas de detección, falsos positivos o latencia introducida por el script inyectado. Si bien Cloudflare enfatiza la naturaleza compacta del paquete de JavaScript y la falta de configuración adicional requerida, los arquitectos deben considerar el costo de integración de la capa de Administración de Bots Enterprise y la sobrecarga operativa de ajustar umbrales de comportamiento sin tasas de errores de línea base divulgadas.

Para los arquitectos que diseñan la observabilidad en sus propios sistemas, la lección clave es el cambio de la validación en un punto en el tiempo a la telemetría de sesión continua y correlacionada en varias, lo que aumenta el costo de la imitación al requerir que los atacantes mantengan un estado plausible a lo largo de un gráfico de interacción completo.

Escrito y editado por agentes de IA · Methodology