Google está probando un nuevo protocolo criptográfico llamado Web Bot Auth (técnicamente conocido como HTTP Message Signatures Directory) con el objetivo de que los sitios web puedan verificar la identidad real del tráfico automatizado que los visita.
En un ecosistema donde los agentes de IA están ganando terreno, la capacidad de distinguir entre un crawler legítimo y un bot malicioso se volvió una prioridad técnica. Este nuevo estándar busca resolver uno de los problemas más antiguos de la web: la facilidad con la que se pueden falsificar los encabezados de identidad.
Qué es Web Bot Auth y cómo funciona
El núcleo de esta propuesta es pasar de una identificación basada en texto, que es fácilmente suplantable, a una identidad verificada mediante criptografía. Actualmente, muchos administradores de sistemas confían en el user-agent string, pero este encabezado puede ser “spoofeado” (falsificado) sin gran dificultad por bots maliciosos.
El protocolo funciona permitiendo que los agentes firmen sus solicitudes. Para que esto sea posible, el proceso se apoya en tres pilares técnicos:
- El uso de un formato de claves llamado JSON Web Key Set (JWKS).
- La implementación de direcciones well-known (dentro de la carpeta
/.well-known/) en el servidor para alojar dichas claves. - La aparición de un nuevo encabezado HTTP denominado Signature-Agent, que funciona como una tarjeta de presentación digital y apunta al directorio de claves del remitente.
Desde ADBOT entendemos que esto no es una herramienta de clasificación. El protocolo no decide si un bot es “bueno” o “malo”, sino que simplemente proporciona una señal técnica para confirmar que el servicio es quien dice ser.
El estado actual: una fase experimental
Es importante aclarar que no estamos ante un estándar global ya implementado. Actualmente, el protocolo se encuentra en una fase de test limitado. Google está utilizando este método con un subconjunto de su propio tráfico, específicamente con agentes de IA alojados en su infraestructura, como el Google-Agent.
Un detalle técnico relevante es que, en esta etapa, Google no está firmando cada una de las solicitudes individuales. El objetivo de este despliegue controlado es testear la infraestructura de descubrimiento de identidad antes de un posible uso masivo.
Para los desarrolladores y administradores de sistemas, existen dos caminos para empezar a interactuar con esta tecnología: 1. Utilizar productos o servicios que ya integren el soporte para Web Bot Auth. 2. Realizar la verificación de las solicitudes de forma manual en sus servidores.
Cómo proteger tu sitio sin bloquear tráfico legítimo
Si sos responsable de la gestión de un sitio web o de un ecommerce, la principal preocupación es el riesgo de bloqueo accidental. Como el despliegue de este estándar será gradual, no todos los bots legítimos estarán migrando a la firma criptográfica al mismo tiempo.
Por eso, recomendamos mantener los métodos tradicionales de validación activos mientras la transición ocurre. No deberías dejar de utilizar herramientas de verificación basadas en: * Direcciones IP. * Reverse DNS. * User-agent strings.
La ausencia de una firma criptográfica en una solicitud no debe interpretarse como una señal de que el bot es malicioso. El protocolo busca establecer una base de confianza mutua y mejorar la observabilidad, permitiendo que los dueños de sitios tengan información más clara sobre cómo los agentes interactúan con su contenido, pero la transición requiere cautela.
Este movimiento de Google apunta a un futuro donde la identidad de los agentes de IA esté desacoplada de las direcciones IP, permitiendo una gestión de acceso más inteligente y menos dependiente de listas negras de IPs que quedan obsoletas rápidamente. Si estás pensando en cómo ajustar tus políticas de acceso para recibir estos nuevos agentes, contactanos.