Volver al blog

JA4 y TLS-fingerprinting: por qué en 2026 el scraping se convirtió en un juego de identidades y no de proxies

IP residencial ya es poco: en 2026, los principales sistemas anti-bot reconocerán al bot por el apretón de manos TLS incluso antes del primer byte de HTML. Analizamos la transición de JA3→JA4+, la trampa del TLS post-cuántico, el fingerprinting de HTTP/2 — y lo que ahora realmente funciona para el scraping.

📅3 de julio de 2026
JA4 y TLS-fingerprinting: por qué en 2026 el scraping se convirtió en un juego de identidades y no de proxies
```html

La IP residencial ya no salva. En 2026, los mayores sistemas anti-bot — Cloudflare, Akamai, AWS WAF — aprendieron a reconocer el tráfico automatizado incluso antes de que el servidor entregue el primer byte de HTML. La decisión de si eres un bot o una persona se toma en la etapa de apretón de manos TLS, según la "huella digital" de tu cliente. Y si esta huella no coincide con la forma de un navegador real, ninguna IP residencial limpia te salvará. El scraping se ha transformado de un "juego de proxies" en un "juego de identidades".

Qué sucedió: JA4+ se convirtió en el estándar de la industria

Hace un par de años, el estándar de fingerprinting TLS era JA3 — un hash que comprimía la versión de TLS, la lista de conjuntos de cifrado, las extensiones y las curvas elípticas del mensaje ClientHello en una cadena MD5. El método funcionó hasta Chrome 110 (enero de 2023), cuando Google decidió incluir la aleatorización del orden de las extensiones TLS como medida contra el fingerprinting. Después de eso, el hash JA3 comenzó a cambiar en cada conexión, incluso en el mismo navegador — identificar al cliente de manera confiable se volvió imposible.

La respuesta fue JA4+ de FoxIO: antes de la hash, los conjuntos de cifrado y las extensiones se ordenan, por lo que la aleatorización de Chrome ya no confunde la huella. Para 2026, JA4 se convirtió en el estándar de facto y funciona como la señal principal en la gestión de bots de Cloudflare, AWS WAF, VirusTotal y Akamai. El formato de tres partes (a_b_c) es estable entre versiones de navegador: por ejemplo, Chrome 120–131 devuelve t13d1516h2_8daaf6152771_02713d6af862, mientras que Chrome 133–136 devuelve t13d1516h2_8daaf6152771_d8a2da3f94cd.

La magnitud de esta detección es difícil de sobrestimar. Cloudflare analiza más de 15 millones de huellas JA4 únicas, recopiladas de más de 500 millones de user-agents, y su modelo de ML de octava generación procesa alrededor de 46 millones de solicitudes HTTP por segundo. DataDome, según sus propios datos, procesa más de 5 billones de señales al día con una latencia de menos de 2 ms, manteniendo más de 85,000 modelos de ML de clientes. Akamai informa una precisión de clasificación de bots en el rango del 92–98% gracias al análisis cruzado.

Post-cuántico TLS: una nueva trampa para los scrapers

El principal cambio de 2026, del que pocos son conscientes, es la transición de los navegadores a la criptografía post-cuántica. Y es precisamente esto lo que está dejando obsoletos a las herramientas de scraping.

La cronología es simple. En abril de 2024, Chrome 124 habilitó por defecto el intercambio de claves híbrido X25519MLKEM768 (X25519 clásico más ML-KEM-768, anteriormente Kyber). En noviembre de 2024, Firefox 132 agregó soporte, y en octubre de 2025, Apple en iOS y macOS. Y el 31 de enero de 2026, Akamai hizo que las conexiones post-cuánticas fueran el defecto para todos los clientes. Según F5 Labs, ya el 57,4% de todas las conexiones de navegador llevan partes clave post-cuánticas; entre el tráfico de Chrome, el 93% es compatible con PQ.

El problema para los scrapers es que la parte clave post-cuántica agrega 1088 bytes en ClientHello — el mensaje se infla de los habituales ~300–500 bytes a más de 1400 bytes y ahora no cabe en un solo paquete TCP. Esto le da al detector tres pistas de inmediato:

  • Señal binaria. Una solicitud que se presenta como Chrome 131, pero sin la parte clave post-cuántica — "una bandera roja que se activa incluso antes del primer byte del tráfico HTTP".
  • Fragmentación de ClientHello. El mensaje inflado se divide en varios paquetes TCP, y el patrón de segmentación difiere del de un navegador real.
  • JA4 extendido. Un trabajo de investigación (arXiv, marzo de 2026) mostró 98% de precisión en la distinción entre TLS clásico y post-cuántico solo con los datos del apretón de manos.

Una historia aparte son las vulnerabilidades de la biblioteca uTLS, en la que se basan muchos scrapers de Go. Dos CVE (CVE-2026-26995 y CVE-2026-27017) pasaron desapercibidas durante más de dos años y daban entre un 25–50% de probabilidad de detección en la conexión debido a la falta de la extensión de padding y la descoordinación GREASE/ECH. Se soluciona actualizando uTLS a 1.8.2+. La moraleja: la estricta dependencia de huellas antiguas como HelloChrome_120 se ha convertido en una carga literalmente tras una sola actualización del navegador.

No solo TLS: HTTP/2 y detección en capas

El apretón de manos TLS es solo la primera línea de defensa. Justo después viene el fingerprinting HTTP/2: cada navegador envía un conjunto característico de parámetros SETTINGS y su propio orden de pseudo-encabezados. En Chrome es masp, en Firefox — mpas, en Safari — mspa. Y el orden de los pseudo-encabezados en un curl normal (mpsa) no coincide con ningún navegador real — es decir, curl se delata instantáneamente.

En 2026, la detección se organiza en una cadena clara, donde las señales se verifican entre sí:

  1. Fingerprinting TCP/IP — identificación del SO incluso antes de la encriptación;
  2. TLS ClientHello (JA4) — durante el apretón de manos;
  3. HTTP/2 SETTINGS — el primer cuadro después de TLS;
  4. el orden de los encabezados HTTP en la solicitud;
  5. verificación cruzada: todas las señales deben "sumarse" en una identidad coherente.

Es por eso que coincidir solo por JA3 hoy es peor que nada: el sistema ve "Chrome de forma incorrecta" y lo clasifica como un bot. Como dicen los ingenieros prácticos: hacer coincidir la huella TLS ya no se trata de un hash estático, sino de una identidad integral del cliente en todos los niveles a la vez.

Qué significa esto en la práctica

La conclusión que repiten todas las fuentes serias de 2026: “el TLS spoofing perfecto se devalúa si las solicitudes de repente provienen de cinco ubicaciones diferentes en dos minutos”. Los proxies y la huella ahora solo funcionan en conjunto. Veamos qué cambia esto.

1. La huella debe ser real, no "dibujada"

Para las solicitudes HTTP sin ejecución de JavaScript, las señales clave son: un JA4 correcto, los SETTINGS de HTTP/2 adecuados y el orden de los pseudo-encabezados, la secuencia correcta de encabezados y la coherencia de todos los niveles. El nativo Python-requests, el curl estándar y Go net/http no pueden reproducir esto. Las herramientas de trabajo de 2026 son curl_cffi, curl-impersonate, uTLS, tls-client, que mantienen la huella TLS al nivel de BoringSSL. Para la automatización del navegador, la solución de código abierto más potente es Camoufox: reemplaza la huella a nivel de C++, y no a través de parches JS notorios. Pero recuerda sobre las CVE — las bibliotecas deben actualizarse.

2. El proxy resuelve lo que la huella no resolverá

Incluso un spoofing de TLS impecable no ayudará si la dirección IP tiene mala reputación y el ASN es conocido como un centro de datos. La red es una capa de confianza separada: consistencia de geolocalización, reputación del ASN, velocidad y dispersión de solicitudes. Aquí es donde los proxies residenciales son la solución — el tráfico pasa a través de direcciones ISP reales de usuarios domésticos, por lo que en las señales de red no eres distinguible de un visitante normal. Para los sitios más agresivos (aplicaciones móviles de redes sociales, bancos, antifraude), los proxies móviles son aún más resistentes: las IP de los operadores de telefonía móvil con NAT-sharing ofrecen el más alto nivel de confianza y casi no son bloqueadas en masa.

3. Gana la combinación, no un truco aislado

El enfoque más efectivo (y, honestamente, el más caro) de 2026 se compone de cuatro componentes a la vez: automatización real del navegador (Chromium/Firefox), enrutamiento a través de direcciones ISP residenciales o móviles, plugins stealth que eliminan la telemetría de automatización, y aleatorización del comportamiento humano. La regla es simple: “arregla el apretón de manos, conserva la IP residencial — y la tasa de éxito aumenta drásticamente”. Ninguno de estos elementos por separado en 2026 ya no es suficiente.

Si solo estás eligiendo en qué construir la infraestructura, vale la pena comenzar desde la base — entendiendo los protocolos de transporte y cómo los proxies HTTP/HTTPS difieren de SOCKS5 para diferentes tareas de scraping. Hemos discutido esto en una guía separada: HTTP, HTTPS y SOCKS5 — qué proxy elegir.

Conclusión

El año 2026 cerró definitivamente la era en la que para el scraping era suficiente "comprar proxies residenciales y rotar IP". Ahora te identifican por la forma del apretón de manos TLS, por las claves post-cuánticas, por el orden de los encabezados HTTP/2 — y todas estas señales se verifican entre sí y con la red de la que provienes. Gana quien tenga una identidad coherente en todos los niveles: una huella plausible, bibliotecas actualizadas, comportamiento humano y una red residencial o móvil de calidad debajo. Los proxies no han dejado de ser necesarios — se han convertido en la base sobre la cual se construye todo lo demás.

```