¿Qué es la suplantación del agente de usuario?
Suplantación del User-Agent Es la práctica de modificar deliberadamente la cadena «User-Agent» (UA) en el encabezado de una solicitud HTTP para simular que se trata de un navegador, sistema operativo o dispositivo distinto al que realmente realiza la solicitud. Los servidores leen la cadena UA para identificar a los clientes, por lo que al modificarla se altera la percepción que tiene el servidor de con quién está interactuando. Es una práctica habitual en el scraping web, las pruebas automatizadas y las herramientas de privacidad.
Cómo funciona la suplantación del User-Agent
Una cadena «User-Agent» es un encabezado de texto sin formato que se envía con cada solicitud HTTP. Cualquier cliente HTTP puede asignarle el valor que desee. El envío de User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)... Desde un script de Python, por ejemplo, se indica al servidor que se está comunicando con un navegador Chrome en Windows.
Los navegadores han hecho que la detección de la cadena UA sea poco fiable por diseño. MDN Web Docs (2025) señala que los navegadores suelen ocultar su cadena de agente de usuario, razón por la cual MDN desaconseja totalmente su uso para la detección de navegadores. Su sustituto moderno, las «User-Agent Client Hints», requiere que los servidores se adhieran explícitamente a través de un Accept-CH encabezado de respuesta.
Falsificar la cadena UA no suele ser suficiente por sí sola para eludir la detección de bots. Los sistemas de detección correlacionan la reputación de la IP, la huella digital TLS, los patrones temporales y muchas otras señales junto con el encabezado UA. Una cadena UA falsificada enviada desde una IP de un centro de datos puede seguir siendo señalada porque el tipo de IP contradice la identidad del navegador declarada. Combinar una cadena UA realista con una IP residencial —es decir, una que proceda de un dispositivo de un consumidor real— resuelve esa contradicción de forma más fiable.
Preguntas frecuentes
Rara vez por sí sola. La mayoría de los sistemas de detección de bots consideran la cadena UA como una señal débil más entre muchas otras. Una cadena UA falsificada enviada desde una IP de un centro de datos puede seguir siendo identificada mediante el comportamiento de TLS, la reputación de la IP y la sincronización de las solicitudes. Abordar la señal de la IP suele ser más eficaz que la falsificación de la cadena UA por sí sola.
La respuesta depende del contexto y de la jurisdicción. La suplantación de un identificador de usuario (UA) con fines de pruebas de compatibilidad del navegador o de investigación sobre accesibilidad no suele ser objeto de controversia. Sin embargo, utilizarla para eludir controles de acceso o infringir las condiciones de uso de un sitio web puede acarrear riesgos legales o contractuales. Revise siempre las condiciones de uso del sitio web de destino antes de enviar solicitudes automatizadas.
MDN Web Docs (2025) identifica las «User-Agent Client Hints» como la alternativa que garantiza la privacidad. Los servidores deben enviar un Accept-CH encabezado de respuesta para solicitar indicaciones específicas, lo que permite a los clientes tener un mayor control sobre la información que revelan.