Para empresas
Equipos antifraude, ingenieros de seguridad, PMs de plataforma. Los equipos que pagan cuando el fraude pasa — y los equipos que pagan cuando los clientes reales se van.
Cada navegador cuenta una historia. Nosotros detectamos las ficciones.
Fingerprinting de navegador que detecta fraude sin desafiar a clientes reales con falsos positivos. Puntuaciones de riesgo calibradas, resultados calibrados.
Tres audiencias. Una señal.
El fingerprinting rara vez es solo cosa de un equipo. La misma señal moldea resultados para empresas, plataformas y las personas que las usan.
-
-
Para plataformas
Marketplaces, redes sociales, plataformas multilaterales. La confianza entre usuarios importa más que nunca; la resistencia a Sybil es un foso real.
-
Para las personas
Usuarios finales. El grupo del que poco se habla. Personas que reciben challenges falsos, bloqueos o CAPTCHAs por usar Brave.
Qué hace.
Seis capacidades. Cada una anclada en un resultado de negocio real.
-
Puntuación de riesgo
-
Detección de bots
-
Consola del operador
-
Latencia Edge-First
-
Privacidad por construcción
-
Integración abierta
Del señal a la decisión.
Cuatro etapas. El navegador recopila, el token transporta la señal, la puntuación se calibra en el servidor y tu código decide.
Navegador
El SDK recopila 30+ señales del navegador en el cliente — canvas, WebGL, audio, fuentes, marcadores de hardware. Se carga en async; nunca bloquea DOMContentLoaded.
Token
Las señales se envuelven en un token firmado (ES256) y se envían a tu backend. El token no se puede reproducir; transporta la huella completa.
Puntuación
Tu servidor llama a verify(). Devolvemos un riesgo de 5 niveles + confianza + traza de flags. Sin lookup DNS; p99 por debajo de 12 ms en el edge.
Decisión
Tu código lee el nivel de riesgo y decide. Bloquear, retar, observar o permitir — tu política, nuestro recibo.
Qué medimos.
Cuatro capas de señal, compuestas en un único fingerprint calibrado. Cada capa responde a una pregunta distinta — juntas son la diferencia entre un veredicto y una medición.
-
Inteligencia del navegador
¿Es real el navegador?
Capta tráfico automatizado, navegadores enmascarados y visitantes sintéticos en el momento en que llegan — antes de que alcancen tu signup, login o checkout. Los clientes reales pasan. Los falsos no.
→ Categorías de detección -
Señales de red
¿Es segura la red?
Detecta orígenes sospechosos e infraestructura de alto riesgo sin castigar el tráfico legítimo. Trabajadores remotos, usuarios de VPN y redes corporativas siguen siendo bienvenidos. Las fuentes de fraude mayorista se marcan.
→ Categorías de detección -
Verificación de hardware
¿Es real el dispositivo?
Verifica el dispositivo real detrás de la sesión — no solo el software que corre sobre él. Los usuarios genuinos en dispositivos genuinos pasan sin esfuerzo. Los bots en infraestructura compartida y desechable salen a la superficie de inmediato.
→ Categorías de detección -
Fingerprints de comportamiento
¿Es real el usuario?
Distingue una persona real de un script por el ritmo de cómo interactúa con la página. Los humanos dudan, se corrigen y exploran. La automatización se mueve con una precisión reveladora que no puede esconder.
→ Categorías de detección
Cuatro capas de señal, cada una responde una pregunta distinta. Juntas marcan la diferencia entre un veredicto y una medición.
Qué detectamos.
Seis categorías de amenaza. Cada una afinada para capturar automatización, fraude y abuso — sin desafiar falsamente a clientes reales.
Una petición de navegador se ramifica en seis categorías de detección cuyas señales ponderadas se combinan en una puntuación de riesgo calibrada.
- Automatización y bots Reconoce el tráfico automatizado antes de que llegue al login, signup o checkout.
- Manipulación de fingerprint Saca a la luz intentos deliberados de evasión sin bloquear opciones honestas de privacidad.
- Abuso de infraestructura Identifica la señal de fraude mayorista — sin equivocarse con los trabajadores remotos.
- Manejo de navegadores de privacidad Da la bienvenida a usuarios legítimos de privacidad mientras detectas a los actores que se ocultan entre ellos.
- Atestación de hardware Verifica que el dispositivo es lo que dice ser — no solo el navegador que corre sobre él.
- Anomalías de comportamiento Captura sesiones que parecen humanas sobre el papel pero no se comportan como una persona.
Por qué no te decimos 'esto es un bot.'
La mayoría de servicios de huella te dicen lo que quieres oír: bot o humano. Binario. Limpio. Equivocado. Nosotros decimos lo que la señal realmente dice, con confianza — y dejamos que tu código decida.
// No te decimos 'esto es un bot.'
// Te decimos risk: medium, confidence: 0,87.
// Tú decides.
Cinco niveles. Calibrados contra datos poblacionales — no binarios, nunca silenciosos.
Míralo en producción.
Donde las señales se convierten en decisiones. La consola del operador — busca, compara, audita, decide.
Cómo se ve el éxito.
Números reales de integraciones reales. Sesgo hacia falso-negativo; sesgo hacia retención de clientes.
- 47%
- reducción mediana de contracargos (90 días)
- 0,4%
- tasa de falsos positivos, configuración por defecto
- ~5 ms
- latencia mediana de verify en el edge
-
Marketplace
Anillos Sybil detectados antes del bombardeo de reseñas — por señal, no por IP.
-
Servicios financieros
Desafíos para dispositivos nuevos en lugar de bloqueos. Los clientes reales no sienten nada.
-
Plataformas sensibles a la identidad
Clics en magic-links verificados por coincidencia de huella. Los kits de phishing se detienen aquí.
Señales honestas. Afirmaciones comprobables.
Seis propiedades que resisten una inspección. Sin magia de proveedor — cada una es auditable contra la superficie del producto.
-
Residencia de datos en la EU
-
Listo para GDPR
-
Código fuente del SDK abierto
-
Sin PII recopilada
-
p99 verify <12ms
-
Calibrado, no mágico
En qué creemos.
Restricciones operativas que aparecen en todas partes — en el SDK, en la API, en la consola del operador.
-
Calibración antes que veredictos
La política es tuya. Nosotros entregamos la evidencia.
-
El código fuente es la documentación
Cada umbral está documentado y es ajustable. Sin caja negra.
-
Los falsos positivos no son pérdidas aceptables
Un cliente bloqueado nunca regresa. Nos inclinamos en contra.
-
Privacidad por construcción
Sin PII. Sin llamadas a terceros. No podemos vender lo que nunca recopilamos.
Preguntas que hacen los ingenieros.
Preguntas reales de integraciones reales. Si la tuya no está aquí, probablemente la docu la cubre.
¿Funciona con Tor?
Las salidas Tor obtienen un riesgo por defecto de `medium` por la señal de IP (datacenter_asn + listas de exits conocidos), pero el fingerprint en sí se sigue calculando. Si tu aplicación permite Tor explícitamente — periodismo, búsqueda sensible, flujos para sobrevivientes de abuso — pon `tor_policy: 'allow'` en la llamada verify para suprimir la puntuación basada en IP manteniendo todas las demás señales activas. El flag permanece en la respuesta de cualquier forma; solo tú decides si cuenta para la puntuación.
¿Y los navegadores enfocados en privacidad — Brave, LibreWolf, Tor?
Todos funcionan. Cada uno tiene fingerprints distintivos — el farbling de Brave, los perfiles de LibreWolf y de Tor Browser son conocidos en nuestros datos poblacionales. Las funciones de prevención de tracking no rompen la verificación; solo producen fingerprints distintos (aún consistentes). Marcamos el nivel de protección como una señal honesta en lugar de penalizar al usuario en silencio.
¿Cuál es vuestra tasa de falsos positivos?
Depende del umbral en el que dispares. Con los valores por defecto (risk ≥ high → challenge), nuestro benchmark interno contra un conjunto ground-truth de 4,2M sesiones reales mide ~0,4% de falsos positivos. Con risk = critical solo, la tasa de FP baja a ~0,07%. Ambos números se actualizan continuamente y son visibles en el dashboard del operador, desglosados por familia de navegador y país para que veas de dónde vienen los fallos.
¿Necesitamos correr un backend?
Sí — el SDK recopila en el navegador y emite un token firmado; la verificación ocurre en el servidor vía nuestra REST API. El token lleva el fingerprint completo embebido y se verifica criptográficamente (ES256, `kid: nox-2026-01`), así que `verify()` no hace lookups de DNS durante una petición. La latencia de verificación p99 está por debajo de 5 ms porque es una comprobación de firma más una consulta de caché, no una re-recopilación.
¿Cumplimiento GDPR / CCPA?
Somos un sub-encargado bajo tu DPA, con nuestro propio DPA disponible bajo petición. Procesamos fingerprints como 'datos personales' porque podrían re-identificar a un visitante recurrente — se aplican plenamente los controles del Artículo 28. Sin transferencias a terceros países; infraestructura en residencia UE (Cloudflare con routing solo UE). Borrado físico bajo petición desde el backoffice. Podemos firmar DPAs en 24 h. La lista de sub-encargados está en `/subprocessors`.
Cinco preguntas más en la doc — on-prem, iframes, comportamiento de red, ajuste de umbrales y Noxtica vs. CAPTCHA. → Ver todas las preguntas en la doc
Comienza a proteger a tus usuarios hoy.
Detén el fraude antes de que ocurra. Mantén a los clientes reales en movimiento. Obtén la calibración que se adapte a tu tráfico, y un equipo que realmente contesta el teléfono.
Qué obtienes
Un socio, no una página de precios.
Todo lo que necesitas para lanzar con confianza — y nada que no necesites.