Saltar al contenido
Suscribirse

Suscríbete a nuestro boletín

¡Listo! Revisa tu correo

Para completar la suscripción, haz clic en el enlace de confirmación que enviamos a tu correo. Si no llega en 3 minutos, revisa tu carpeta de spam.

Ok, gracias
Tecnología y Ciencia Privacidad

Cloudflare suma a Chrome, Edge y Firefox para crear PACT, el protocolo que quiere jubilar al CAPTCHA

Cloudflare, Google, Microsoft y Mozilla crean PACT para separar humanos y bots legítimos sin CAPTCHAs ni rastreo.

por Ricardo Perez
El 6 minutos de lectura
Cloudflare suma a Chrome, Edge y Firefox para crear PACT, el protocolo que quiere jubilar al CAPTCHA
Photo by Markus Winkler / Unsplash

TL;DR:

  • Cloudflare anunció el lunes 22 de junio de 2026 una alianza con Mozilla Firefox, Google Chrome, Microsoft Edge y Shopify para desarrollar y estandarizar PACT, un protocolo abierto de internet.
  • PACT entrega tokens anónimos que prueban que hay un humano —o un agente de IA autorizado— detrás de una solicitud, sin CAPTCHAs, inicios de sesión forzados ni rastreo invasivo. Sigue siendo una propuesta sin fecha de salida.
  • La letra chica: el plan podría reordenar quién decide qué tráfico es "humano" en la web de los agentes, y todavía no está claro quién emitirá esos tokens de confianza.

Cloudflare presentó el lunes 22 de junio de 2026 una iniciativa con Mozilla Firefox, Google Chrome y Microsoft Edge —más la plataforma de comercio Shopify— para desarrollar PACT, un protocolo que busca que personas y bots prueben que su tráfico no es malicioso sin recurrir a rastreo invasivo. La meta es desmontar la maraña de CAPTCHAs, inicios de sesión obligatorios y huellas digitales que hoy entorpecen la navegación, justo cuando los agentes de IA empiezan a encargarse de tareas cotidianas —comprar, reservar, pedir comida— en nombre de los usuarios. Por ahora es una propuesta en etapa de diseño: sin producto, sin fecha de lanzamiento y a la espera de pasar por los organismos que fijan los estándares de la web.

La movida reúne a actores que rara vez reman juntos. Cloudflare sostiene buena parte de la infraestructura de internet; Chrome, Edge y Firefox son la puerta de entrada de miles de millones de personas a la red. Que se sienten en la misma mesa habla del tamaño del problema que dicen querer resolver.

PACT (Private Access Control Tokens) es un protocolo abierto que permite a ciertos sitios emitir tokens anónimos para acreditar que hay un humano real —o un agente autorizado— detrás de una solicitud, sin revelar quién es ni qué hace en la red. La idea es que el navegador guarde ese token y lo muestre en otros sitios como prueba de que hay una persona en el circuito, recortando la necesidad de CAPTCHAs torpes y de seguimiento invasivo. Cloudflare insiste en un punto: el sistema está pensado para que los sitios no puedan usarlo para rastrear ni identificar a nadie.

Por qué se quiere jubilar al CAPTCHA justo ahora

El contexto pesa. Según TechRadar, el tráfico de bots ya superó a las solicitudes HTTP humanas en internet, y la IA generativa volvió obsoleto al CAPTCHA: hoy los sistemas automáticos resuelven esos acertijos más rápido —y con mejor puntería— que una persona. A la vez, los agentes de IA difuminan la frontera entre humano y bot, porque muchas veces hay alguien de carne y hueso pidiéndole a una máquina que haga la compra.

Dane Knecht, director de tecnología de Cloudflare, lo resumió así:

"A medida que el tráfico impulsado por IA se vuelve más común, las herramientas actuales resultan demasiado generales para responder a esta nueva realidad. Esta colaboración nos permitirá reducir la fricción que generan los mecanismos de seguridad para todos los usuarios, ya sean personas o agentes, sin comprometer la privacidad."

La alternativa, si nadie mueve ficha, no es agradable. La propia Cloudflare ya había advertido que, sin un mecanismo como este, los sitios podrían terminar exigiendo cuenta para ver cualquier contenido, despidiéndose del clásico "tres artículos gratis al mes" o encerrando su material en jardines amurallados de las grandes plataformas.

black android smartphone displaying green and black logo
Photo by Franck / Unsplash

Anclas, avales y moderadores: la mecánica que propone Mozilla

Aquí es donde el anuncio de Cloudflare se quedó corto y Mozilla puso los detalles. En lugar de exigirte que demuestres que usas un software "aprobado", PACT apuesta por probar que controlas un recurso escaso y difícil de falsificar a gran escala. Según Mozilla, entidades de confianza llamadas Anclas emiten avales criptográficos a usuarios que tienen alguna señal de escasez, como:

  • Suscripciones de pago
  • Cuentas verificadas
  • Números de teléfono
  • Direcciones de correo electrónico
  • Suscripciones a una VPN

Ese aval se canjea, ya en el sitio que visitas, por una credencial que preserva la privacidad y que administra un Moderador —casi siempre la propia web, aunque también puede ser un proveedor antiabuso externo—. Por debajo trabajan varias tecnologías criptográficas conocidas en el mundo de la privacidad: Privacy Pass para tokens no rastreables, issuer blinding para que el sitio no sepa qué Ancla te avaló, los Anonymous Credit Tokens para ajustar límites de uso sin seguir a nadie, y Prio, la tecnología de agregación de Mozilla.

Hay un detalle que toca de cerca a la audiencia hispanohablante: una VPN podría actuar como Ancla y avalar a sus suscriptores. En la práctica, los sitios podrían tratar a quienes usan VPN como visitantes individuales en lugar de bloquear de un plumazo rangos enteros de direcciones IP, un dolor de cabeza habitual para quien navega protegido en México, España o el resto de la región.

¿Y los agentes de IA? Bajo este esquema, un agente podría llevar las mismas credenciales que su dueño —haciendo al usuario responsable de lo que el agente haga— o bien el proveedor de IA podría avalar a sus propios agentes y dejar que cada sitio decida si confía.

El choque silencioso con Google y Apple

Buena parte de la propuesta de Mozilla es, en realidad, una crítica a otra forma de resolver el mismo problema: la "integridad del dispositivo". Mozilla apunta directo a Web Environment Integrity (WEI), la idea que Google llegó a plantear y luego abandonó, y a los Private Access Tokens de Apple. El reparo es claro: esos sistemas verifican que usas un equipo y un software "aprobados", lo que —según Mozilla— concentra el poder en manos de los fabricantes de sistemas operativos y de hardware, y le complica la vida a navegadores alternativos, a otros sistemas y a los propios agentes de IA emergentes.

Y un detalle que no pasa desapercibido: en esta foto no aparece Apple. Safari, el segundo navegador más usado del mundo, quedó fuera de la alianza, y la propuesta de Mozilla critica de frente justamente el enfoque de la empresa de Cupertino. Google Chrome, en cambio, sí firma PACT pese a su propio historial con WEI.

Bobby Holley, CTO de Firefox en Mozilla, defendió el rumbo:

"Una avalancha de tráfico automatizado está orillando a los sitios a recurrir a defensas a lo bruto —muros de pago, verificaciones de identidad, CAPTCHAs y rastreo invasivo— solo para saber si una solicitud viene de un humano. Podemos construir una mejor solución que mantenga una privacidad sólida y ofrezca una experiencia mucho menos molesta para las personas reales que usan la web."

Microsoft también está dentro. Erik Anderson, director de ingeniería de Web Platform en Microsoft Edge, sostuvo que la salud de la web depende de herramientas eficaces, interoperables y respetuosas de la privacidad, y adelantó que la compañía colaborará en el desarrollo de los nuevos estándares y en su despliegue por la web abierta.

La pregunta de fondo: ¿quién decide quién es humano?

Acá está el verdadero nudo. PACT no es un producto ni un servicio: es un protocolo para repartir confianza en toda la web. El análisis de Search Engine Journal subraya que Cloudflare fue deliberadamente vago sobre quién emitirá esos tokens y qué significa exactamente tener "conocimiento sólido de la condición de persona". La empresa no aclaró si esos emisores serán las tiendas, los bancos o ella misma. El dato, sencillamente, no está.

Quien emite el token termina siendo, en los hechos, el portero. Y si ese rol se corre desde cada sitio hacia las plataformas, los navegadores y los proveedores de infraestructura, el control sobre quién es reconocido como "confiable" en internet cambia de manos. No ayuda a despejar dudas que Cloudflare repita, en su propio anuncio, que PACT "en la red de Cloudflare" eleva el estándar de confianza: la compañía vuelve a colocarse en el centro del tablero.

Para el comercio, en cambio, el atractivo es directo. Ilya Grigorik, Distinguished Engineer en Shopify, lo planteó desde el mostrador:

"En Shopify nos enorgullece contribuir al desarrollo de PACT como un estándar abierto que preserva la privacidad y que puede ayudar a los millones de empresas en nuestra plataforma a distinguir a los compradores legítimos y a los agentes autorizados del tráfico abusivo, al tiempo que se preserva la privacidad del comprador."

Lo que falta para que PACT sea real

Antes de entusiasmarse, conviene leer la letra chica. PACT es todavía un marco conceptual, no un estándar terminado. Mozilla reconoce que falta camino: revisiones de seguridad, análisis de privacidad y el paso por dos foros clave —la IETF, que vería los protocolos criptográficos, y el W3C, a cargo de las interfaces para navegadores—. Y al menos al arranque, según TechRadar, PACT no bloqueará por completo al tráfico automatizado: servirá para separar el que vale del que no.

El pleito ya no es bots contra humanos. Es quién se queda con el sello para certificar humanidad en una web donde cada vez más cosas las hacen agentes. Cloudflare y los navegadores acaban de poner el tema sobre la mesa; la respuesta de quién sostiene ese sello todavía tiene más nombres propios que certezas.

Fuentes: 1, 2, 3

Ricardo Perez imagen de perfil
por Ricardo Perez

Leer más de Tecnología y Ciencia