Residencia de datos configurable
Cómo un visitante se convierte en una decisión.
Un recorrido guiado por el motor detrás de la puntuación: cómo se lee el navegador, se convierte en una lectura de riesgo calibrada y se devuelve a tu código. Síguelo de principio a fin: las señales que medimos, las amenazas que detectamos y los resultados detrás de cada decisión.
Cada dispositivo cuenta una historia. Nosotros detectamos las ficciones.
Detén el fraude y los bots sin poner a prueba a los clientes que tanto te costó ganar. Obtén una lectura de riesgo clara de cada visitante y decide qué hacer con ella.
Seguridad agéntica e inteligencia del navegador, ahora diseñadas para la web agéntica: opera tu consola con un asistente de IA integrado, deja que tus agentes lean Noxtica mediante un servidor MCP de solo lectura y gobierna en qué agentes confías.
De la señal a la decisión.
Cuatro etapas. Se lee el navegador, el resultado se entrega de forma segura a tu backend, tu servidor obtiene una lectura de riesgo clara y tu código decide.
Un script ligero lee el navegador del visitante en el momento en que llega — discretamente, sin ralentizar tu página.
Lo que ve se entrega de forma segura a tu backend — no se puede falsificar, copiar ni repetir por el camino.
Tu servidor lo comprueba y recibe una lectura de riesgo clara, con los motivos que la respaldan: en aproximadamente medio segundo.
Tu código decide: bloquear, desafiar, observar o dejar pasar. Tu política, tu contexto, tu decisión.
Una lectura. Un veredicto. Los motivos adjuntos.
87
Bajo riesgo: permitir
Muestra ilustrativa: no es tráfico en vivo.
Por qué no te decimos 'esto es un bot.'
La mayoría de las herramientas te dicen lo que quieres oír: bot o humano. Limpio, simple y a menudo equivocado — sin forma de ver cómo llegaron ahí. O confías en la respuesta o no.
Los clientes reales y los atacantes reales pueden parecerse sorprendentemente. La pregunta útil no es 'esto es un bot', sino 'cuán inusual es este visitante, y cuán difícil sería falsificar las partes sospechosas'. Eso es lo que respondemos.
// No nos limitamos a decir 'esto es un bot.'
// Te damos una lectura de riesgo clara — y las razones.
// Tú decides.
Cuando un flag cae sobre un cliente real, tu equipo puede explicarlo — ante legal, ante producto, ante el cliente. Cada decisión viene con sus razones, así que no hay nada que aceptar a ciegas ni nada que no puedas ajustar.
No recibes un sí/no de caja negra. Recibes una lectura de riesgo clara, un nivel de confianza y las razones detrás de ambos — el recibo. La decisión final es tuya, porque solo tu equipo sabe qué está en juego.
La mayoría de las herramientas te entregan un sí/no y ocultan cómo llegaron a él. Nosotros te damos una lectura de riesgo clara, con las razones — y dejamos que tu equipo decida.
Cinco niveles claros, no un tajante sí/no — y nunca un bloqueo silencioso.
Qué medimos.
Leemos cuatro cosas de cada visitante — el navegador, la red, el dispositivo y cómo se comporta la persona. Juntas distinguen a un cliente real de una falsificación astuta.
¿Es real el navegador?
Inteligencia del navegador
Capta tráfico automatizado, navegadores enmascarados y visitantes sintéticos en el momento en que llegan — antes de que alcancen tu signup, login o checkout. Los clientes reales pasan. Los falsos no.
¿Es segura la red?
Señales de red
Detecta orígenes sospechosos e infraestructura de alto riesgo sin castigar el tráfico legítimo. Trabajadores remotos, usuarios de VPN y redes corporativas siguen siendo bienvenidos. Las fuentes de fraude mayorista se marcan.
¿Es real el dispositivo?
Verificación de hardware
Verifica el dispositivo real detrás de la sesión — no solo el software que corre sobre él. Los usuarios genuinos en dispositivos genuinos pasan sin esfuerzo. Los bots en infraestructura compartida y desechable salen a la superficie de inmediato.
¿Es real el usuario?
Fingerprints de comportamiento
Distingue una persona real de un script por el ritmo de cómo interactúa con la página. Los humanos dudan, se corrigen y exploran. La automatización se mueve con una precisión reveladora que no puede esconder.
Y una que gobernamos: Know Your Agent
Estas cuatro capas miden a los visitantes. Los agentes de IA y los bots son diferentes: no solo los mides, decides si confiar en ellos. Know Your Agent te permite permitir o rechazar agentes por inquilino mediante huella JWK o host Signature-Agent, integrado con la verificación Web Bot Auth.
Qué detectamos.
Las amenazas que te cuestan — automatización, fraude y abuso — detectadas sin desafiar por error a tus clientes reales.
Detectar el fraude no es una sola comprobación. El abuso real mezcla tráfico automatizado, orígenes sospechosos y comportamientos que no cuadran. Convertimos todo eso en el tipo de decisión que tu equipo toma de verdad — bloquear, desafiar, permitir, observar.
Bots y tráfico automatizado
Navegadores headless, frameworks de automatización de navegador y abuso por scripting — incluidas las variantes 'sigilosas' diseñadas para evadir la detección. Tanto el carril rápido como el lento se capturan.
Reconoce el tráfico automatizado antes de que llegue al login, signup o checkout.
Sesiones que ocultan lo que son
Sesiones donde el navegador miente sobre su propio fingerprint. Salida de canvas falsificada, APIs de runtime manipuladas, extensiones anti-fingerprint con contramedidas agresivas.
Saca a la luz intentos deliberados de evasión sin bloquear opciones honestas de privacidad.
Orígenes sospechosos
Tráfico que sale de datacenters, proxies anonimizadores, protocolos obsoletos y rangos conocidos como maliciosos. Marcamos los patrones sin bloquear a usuarios reales que por casualidad están en una VPN corporativa.
Identifica la señal de fraude mayorista — sin equivocarse con los trabajadores remotos.
Usuarios que valoran su privacidad, tratados con justicia
Tor, Brave Strict, Firefox-RFP, LibreWolf — reconocidos y tratados con tolerancia calibrada. Los usuarios conscientes de su privacidad siguen siendo bienvenidos; los bots que se esconden tras navegadores de privacidad no.
Da la bienvenida a usuarios legítimos de privacidad mientras detectas a los actores que se ocultan entre ellos.
Dispositivos falsos y desechables
Miramos más allá del navegador, al propio dispositivo, para que emuladores y máquinas virtuales desechables no puedan hacerse pasar por hardware real. Los bots que vencen las comprobaciones solo de navegador se capturan aquí.
Verifica que el dispositivo es lo que dice ser — no solo el navegador que corre sobre él.
Actividad que no se comporta como humana
Cómo una persona se mueve, teclea y hace scroll no se parece en nada a un script. Las personas reales dudan y exploran; la automatización se delata con una precisión reveladora.
Captura las sesiones que parecen humanas sobre el papel pero no se comportan como una persona.
La solicitud de un visitante se lee a través de las amenazas que detectamos, que se combinan en una única lectura de riesgo clara.
- Petición del navegador
- Lectura de riesgo clara
- Tu decisión
Cada una te da una lectura de riesgo clara y un nivel de confianza — no un tajante sí/no. Tu equipo es dueño de la decisión final. Nosotros solo nos aseguramos de que aquello sobre lo que actúas sea honesto.
Mira lo que detectamos.
Seis patrones de ataque, cada uno derivado de una categoría de amenaza anterior, reproducidos para mostrar la lectura de riesgo calibrada y la decisión que impulsa.
- Inundación de automatización headless
94/ 100 de riesgo
BLOQUEADOleído en 410msUna oleada de sesiones headless y guionizadas golpeando el login al unísono.
- Sesión con fingerprint falsificado
78/ 100 de riesgo
VERIFICARleído en 470msUn navegador que miente sobre su propia salida de canvas y sus APIs de runtime.
- Origen de proxy de datacenter
86/ 100 de riesgo
BLOQUEADOleído en 350msUna petición enrutada a través de un rango de datacenter anonimizador.
- Visitante con navegador de privacidad
24/ 100 de riesgo
PERMITIRleído en 340msUna persona real en un navegador de privacidad reforzado, dejada pasar.
- Máquina virtual desechable
90/ 100 de riesgo
BLOQUEADOleído en 520msUn dispositivo emulado que se hace pasar por hardware de consumidor real.
- Patrón de interacción no humano
71/ 100 de riesgo
VERIFICARleído en 430msUn formulario rellenado con una precisión reveladora con la que ninguna persona escribe.
Patrones ilustrativos derivados de las categorías anteriores, no datos de clientes. Las puntuaciones se sitúan en la misma escala de 0–100 sobre la que actúa tu política.
Frenamos el fraude. Mantuvimos a los clientes en marcha.
Cifras del despliegue de un socio de diseño inicial, compartidas de forma anónima
- 47%de contracargos que un socio de diseño redujo en sus primeros 90 días
- 99.6%de clientes reales que pasaron sin tocarlos en ese despliegue
- ~500msañadidos a un checkout: una lectura de riesgo completa en un abrir y cerrar de ojos
$ noxtica use-case --marketplaceMarketplace
Los marketplaces usan Noxtica para detectar redes coordinadas de cuentas falsas antes de que sepulten a los vendedores honestos bajo reseñas falsas. Distintos inicios de sesión, distintas direcciones — pero la misma configuración automatizada los delata.
Redes de cuentas falsas detectadas antes de que sepulten a tus vendedores honestos.
$ noxtica use-case --financialServicios financieros
Los comerciantes card-not-present usan Noxtica para añadir una comprobación extra rápida solo cuando un pago parece venir de un sitio nuevo. Los clientes reales no notan nada; las redes de fraude se topan con un muro en cada intento.
Una comprobación extra solo cuando está justificada. Los clientes reales no notan nada.
$ noxtica use-case --identityPlataformas sensibles a la identidad
Las plataformas sin contraseña y de magic-link usan Noxtica para asegurarse de que el enlace lo abre la misma persona que lo solicitó. Los kits de phishing que reenvían el enlace a otra persona se detienen en la puerta.
Los magic-links se abren solo para quien los pidió. El phishing se detiene aquí.
Cuatro audiencias. Una sola señal.
La seguridad agéntica y la inteligencia del navegador rara vez son asunto de un solo equipo. La misma señal influye en los resultados de empresas, plataformas y las personas que las usan.
Para empresas
Equipos antifraude, ingenieros de seguridad, PMs de plataforma. Los equipos que pagan cuando el fraude pasa y los equipos que pagan cuando los clientes reales se van.
- Reduce los contracargos detectando registros falsos antes de que te cuesten dinero
- Detecta tomas de cuenta antes de que el atacante entre
- Pistas listas para auditoría para SOC 2, ISO 27001 y GDPR
Para plataformas
Marketplaces, redes sociales, plataformas multilaterales. La confianza entre usuarios es todo el negocio, y frenar las cuentas falsas a escala es tu foso.
- Detecta el abuso de cuentas duplicadas sin bloquear a usuarios reales
- Reduce la carga de moderación sacando a la superficie solo las cuentas que parecen sospechosas
- Frena granjas de reseñas pagadas y redes de review-bombing en el registro
Para las personas
Usuarios finales. El grupo del que poco se habla. Las personas a las que un falso positivo desafía, bloquea o obliga a resolver CAPTCHAs por usar Brave.
- Sin CAPTCHAs salvo que algo parezca genuinamente sospechoso
- Las personas reales en navegadores de privacidad siguen siendo bienvenidas, no castigadas
- Ningún dato personal recopilado. Sin cookies de rastreo. Sin identidad entre sitios.
Para IA y agentes
La web agéntica. Decide en qué agentes confías con Know Your Agent, opera la consola con un asistente de IA integrado y deja que tus propios agentes lean Noxtica mediante una integración MCP de solo lectura.
Tres formas honestas en que somos agénticos.
«Agéntico» se usa a la ligera. Esto es exactamente lo que significa en Noxtica: tres capacidades disponibles hoy, sin cambios autónomos en tus sistemas.
Operamos la consola
Un asistente de IA integrado —impulsado por Claude, con opciones de OpenAI, Gemini y xAI— se ejecuta del lado del servidor bajo la sesión del operador para leer políticas, reglas, dominios y distribución de riesgo por ti, con límites de presupuesto por inquilino y registro de auditoría completo.
Cómo funciona el asistente →Tus agentes leen Noxtica
Un servidor Model Context Protocol (MCP) opcional y de solo lectura permite que tus propios agentes de IA lean políticas, reglas, alertas y distribución de riesgo mediante JSON-RPC, usando tokens bearer con alcance limitado, con límite de tasa y auditados que tú emites: solo acceso de lectura, nunca de escritura.
Lee la documentación de MCP →Vigilamos la web agéntica
Know Your Agent (KYA) es un registro defensivo: decide qué agentes de IA y bots permites o rechazas por inquilino —por huella JWK o host Signature-Agent— integrado con la verificación Web Bot Auth.
Explora Know Your Agent →
Estamos avanzando hacia la autocalibración y los bucles de retroalimentación; hoy los operadores ajustan políticas y umbrales con control total.
Diseñado para superar la revisión de seguridad.
La postura de seguridad por la que preguntan los revisores: seis controles que puedes verificar por tu cuenta, sin aceptarlos por fe.
Listo para GDPR
Código fuente del SDK abierto
Sin datos personales recopilados
Una lectura de riesgo completa en ~500ms
Una lectura clara, no magia
Un socio, no una página de precios.
Todo lo que necesitas para lanzar con confianza — y nada que no necesites.
Qué incluye
- Precios transparentes: sin muro de demo
- onboarding práctico con ingenieros reales
- Conforme con GDPR, residencia de datos configurable, preparado para SOC 2
- soporte humano directo — sin embudo de ventas
Preguntas que los equipos hacen primero.
Lo que compradores e ingenieros quieren saber de entrada. El FAQ técnico completo — tamaño del bundle, la API, iframes, umbrales — vive en la documentación.
¿Bloqueará por error a mis clientes reales?
Es exactamente contra lo que construimos. Un cliente bloqueado rara vez vuelve, así que los valores por defecto se inclinan hacia la cautela: preferimos dejar pasar un bot a frenar por error a una persona real. Obtienes una lectura de riesgo clara y decides cuán estricto ser, y puedes ajustarlo más o menos a medida que conoces tu propio tráfico.
¿Funciona para usuarios preocupados por la privacidad: Brave, Tor, LibreWolf?
Sí, y siguen siendo bienvenidos. Los navegadores de privacidad no rompen nada; simplemente los reconocemos y los tratamos de forma justa en lugar de castigar en silencio a la persona detrás. Si tu producto está pensado para audiencias sensibles, puedes optar por dar a esos usuarios un margen extra.
¿Qué pasa si Noxtica tiene una caída?
Tu sitio sigue funcionando. Si una comprobación no puede alcanzarnos a tiempo, recibes un valor por defecto seguro para que tu código pueda degradar con elegancia, desafiar en vez de bloquear, por ejemplo, en lugar de dejar a alguien fuera. Garantizamos un 99.95% de disponibilidad y publicamos una página de estado pública.
¿Necesitamos ingenieros para usar esto?
Un poco. Un pequeño script va en tu sitio y una única comprobación ocurre en tu servidor cuando quieres una decisión. No hay nada que alojar, nada que mantener funcionando, y el trabajo pesado corre de nuestra cuenta. La mayoría de los equipos están en marcha en una tarde: la guía paso a paso está en la documentación.
¿Cumple: GDPR, CCPA, datos en la UE?
Sí. No recopilamos datos personales que no necesitemos, no almacenamos IP cruda por defecto y mantenemos los datos en la UE. Firmaremos un acuerdo de tratamiento de datos, admitimos el borrado físico bajo petición y publicamos nuestra lista de subencargados. Tus equipos de privacidad y legal reciben respuestas claras, no evasivas.
Más en la documentación — tamaño del bundle, la API, iframes, ajuste de umbrales y todas las preguntas y respuestas técnicas.→ Lee la documentación: FAQ técnico completo