Private Access Tokens, leídos como señal de confianza.
El sector está construyendo tokens de atestación criptográfica que demuestran que una solicitud proviene de un dispositivo real sin identificar al usuario. CaptchaLa procesa estos tokens para que los visitantes verificados pasen sin un reto, y recurre a la verificación basada en riesgo para los demás. Somos complementarios a la atestación, no reemplazados por ella.
Qué son los tokens de atestación
Un token de atestación es una declaración firmada de que una solicitud proviene de un navegador o dispositivo genuino. El dispositivo se demuestra ante su plataforma, la plataforma emite un token y tu sitio recibe el token en lugar de pedir a la persona que resuelva un CAPTCHA. El token no contiene identidad, así que no rastrea al usuario entre sitios.
En la web esto se basa en Private Access Tokens y Privacy Pass (RFC 9576). Una extensión más reciente, PACT — Private Access Control Tokens — fue propuesta en junio de 2026 por Cloudflare, Chrome, Firefox, Edge y Shopify para ampliar cómo se emiten y usan estos tokens.
El objetivo es permitir que los usuarios reales se salten retos con más frecuencia, manteniendo la verificación privada por diseño.
PACT es una propuesta temprana y está a años de un despliegue amplio. CaptchaLa admite hoy el mecanismo existente de Private Access Tokens / Privacy Pass y sigue la propuesta a medida que evoluciona. Nada de esto requiere que esperes.
Cómo los usa CaptchaLa
Tratamos un token de atestación como una señal de confianza entre varias, no como la decisión completa. El flujo es sencillo:
Token verificado, sáltate el reto
Si hay un token de atestación válido, lo verificamos contra la clave pública del emisor. Un visitante de bajo riesgo con un token verificado pasa sin un reto interactivo.
Recurre a la verificación basada en riesgo
Si no hay token, o no se puede verificar, CaptchaLa usa su propio motor de riesgo — señales de dispositivo, red y comportamiento — y muestra un reto solo cuando la solicitud parece sospechosa.
Dónde funciona: web frente a nativo
La atestación no es igual en todas partes. Esta es la imagen precisa de qué funciona de forma automática y qué requiere tu configuración.
Web — Private Access Tokens / Privacy Pass
AutomáticoEn la web, CaptchaLa verifica los Private Access Tokens contra la clave pública del emisor. No hay nada que configurar — los navegadores y dispositivos compatibles producen el token, y nosotros lo leemos.
App Attest de iOS / Play Integrity de Android
Opcional, tú lo configurasEstas atestaciones nativas están vinculadas a la propia identidad de desarrollador de tu app, no a un emisor público. Solo pueden funcionar como una señal opcional que configuras para tu propia app, por lo que no son automáticas para todos.
Apps nativas en otros casos
Nuestras propias señales de riesgoCuando la atestación de plataforma no está configurada, las apps nativas se apoyan en las propias señales de riesgo de dispositivo y comportamiento de CaptchaLa — el mismo motor que protege el respaldo web.
La atestación dice "dispositivo real". Nosotros añadimos "real y sin abusar".
La atestación puede confirmar que una solicitud proviene de un dispositivo genuino. No puede decirte si ese dispositivo se está usando para abusar de tu servicio. En esa brecha vive el valor duradero de CaptchaLa — y no desaparece cuando llega la atestación.
Relleno de credenciales
Los dispositivos reales que ejecutan listas robadas de usuarios y contraseñas siguen pareciendo dispositivos reales para un token de atestación. Nuestro motor de riesgo detecta el patrón.
Granjas de proxies y bots
El abuso distribuido desde muchos dispositivos genuinos pasa la atestación pero falla en la puntuación de comportamiento y red.
Abuso de OTP y registros
La creación masiva de cuentas y el farming de contraseñas de un solo uso provienen de teléfonos reales. Puntuamos la intención, no solo la autenticidad del dispositivo.
Fraude y abuso de contenido
El fraude de pagos, el spam y las subidas dañinas son cuestión de comportamiento, que la atestación no mide — y que sí miden nuestro motor de riesgo y la moderación de contenido.
Listo cuando lo esté la atestación — y protegiéndote ahora.
Incluye nivel gratuito. Sin tarjeta de crédito.