PACT: la web sin CAPTCHAs que propone Cloudflare
Cloudflare presentó PACT (Private Access to Content Tokens), un protocolo que apunta a reemplazar a los CAPTCHAs con tokens criptográficos. La idea es probar que sos humano sin resolver puzzles y sin que nadie te rastree. Lo está desarrollando junto a Chrome, Firefox y Edge, según el anuncio de fines de junio de 2026.
PACT, sigla de Private Access to Content Tokens, es el nuevo protocolo de privacidad de Cloudflare que usa tokens criptográficos emitidos por un sitio de confianza para que un segundo sitio confirme que del otro lado hay una persona real. Lo hace sin fingerprinting, sin leer tu historial y sin identificarte. El objetivo declarado es separar el tráfico legítimo del de bots.
En 30 segundos
- Qué es: PACT es un protocolo que valida usuarios humanos con tokens criptográficos en vez de CAPTCHAs.
- Quién lo impulsa: Cloudflare junto a los navegadores Chrome, Firefox y Edge, según el comunicado oficial de junio de 2026.
- Cómo cambia tu experiencia: nada de marcar imágenes ni tildar casillas; la verificación pasa de fondo.
- El gancho de privacidad: sin rastreo, sin fingerprinting y sin saber qué sitios visitaste antes.
- El estado real: está en etapa de especificación. No hay fecha oficial de lanzamiento.
Cloudflare es una empresa que proporciona servicios de red distribuida, caché y protección contra ataques DDoS para acelerar y proteger sitios web. Desarrolla además productos de DNS, seguridad web y computación serverless.
¿Qué es PACT y por qué Cloudflare lo creó?
Cualquiera que navegue diez minutos por internet se topó con un CAPTCHA. Esas grillas de semáforos, las bicicletas escondidas, el clásico “no soy un robot”. Molestan, frenan, y a veces ni siquiera funcionan. PACT nace para mandar ese ritual a la historia.
El problema de fondo es viejo y grande: una parte enorme del tráfico que circula por la web es automatizada. Parte de ese tráfico es legítimo (buscadores, indexadores, monitores), pero otra parte está dedicada a abusar de sitios, robar credenciales o tirar servidores. Los CAPTCHAs intentaron tapar ese agujero, y lo hicieron a costa de tu paciencia. Relacionado: gestionar tokens y secretos en Cloudflare.
Acá viene lo bueno: según la presentación de PACT, Cloudflare cambia el enfoque. En vez de pedirte que demuestres tu humanidad resolviendo un acertijo, el navegador presenta un token criptográfico que dice “esta persona ya fue validada por un sitio de confianza”. El sitio receptor confía en ese token sin necesidad de saber quién sos.
¿Cómo funciona el protocolo PACT en la práctica?
Ponele que iniciás sesión en tu correo. Ese servicio ya sabe que sos una persona real, porque te autenticaste con tu contraseña y tu factor de seguridad. Bajo el modelo de PACT, ese sitio de confianza puede emitir un token anónimo que tu navegador guarda.
Después entrás a un blog, una tienda o una API cualquiera. En lugar de tirarte un CAPTCHA, ese sitio le pide a tu navegador uno de esos tokens. El navegador lo entrega, el sitio verifica la firma criptográfica y listo: pasás como humano. El detalle clave es que el token no lleva tu identidad pegada. El sitio que recibe la validación no se entera de dónde salió el token ni qué hiciste antes.
- Sin fingerprinting: no se arma una huella digital de tu dispositivo para reconocerte.
- Sin historial: el sitio receptor no ve qué páginas visitaste antes de llegar.
- Sin puzzles: la verificación ocurre en segundo plano, sin fricción para vos.
- Criptografía de por medio: la confianza se basa en firmas, no en cookies de rastreo.
El nombre no es casualidad. La idea se apoya en trabajos previos de tokens de acceso privados, una familia de técnicas que Cloudflare y otros vienen explorando hace tiempo para validar clientes sin exponer datos personales.
¿En qué se diferencia PACT de un CAPTCHA tradicional?
La diferencia más obvia la vas a sentir en el día a día: dejás de trabajar gratis para entrenar modelos de visión. Pero hay más capas. Esta tabla resume lo central. En nuestro artículo sobre almacenamiento privado en infraestructura Cloudflare profundizamos sobre esto.
| Aspecto | CAPTCHA tradicional | PACT |
|---|---|---|
| Experiencia de usuario | Resolvés puzzles, marcás imágenes, tildás casillas | Verificación invisible, sin acción de tu parte |
| Privacidad | Suele cargar scripts y análisis de comportamiento | Tokens criptográficos, sin rastreo ni fingerprinting |
| Fricción | Alta; frena el flujo y echa usuarios | Mínima; pasa de fondo |
| Accesibilidad | Problemática para personas con baja visión | No depende de resolver una prueba visual |
| Estado | En uso masivo hoy | En especificación, sin fecha de despliegue |
Ojo con leer la tabla como una victoria cerrada. La última fila es la que importa: PACT todavía es una promesa técnica, no algo que ya tengas en tu navegador.
¿Quiénes desarrollan PACT?
Esto no es un experimento de laboratorio de un solo actor. Según el comunicado oficial de Cloudflare, la empresa está colaborando con los principales navegadores para desarrollar el protocolo: Google Chrome, Mozilla Firefox y Microsoft Edge.
¿Por qué importa que estén los navegadores adentro desde el arranque? Porque si PACT termina como una función nativa del navegador, no vas a necesitar instalar extensiones ni configurar nada. La validación viaja en el propio motor que ya usás. Que tres motores que cubren la enorme mayoría del mercado se sienten en la misma mesa es la única forma de que un estándar así no quede en la nada.
¿Cuándo va a estar disponible PACT?
Acá toca ser honesto, porque hay mucho entusiasmo dando vueltas. PACT no está disponible. Es un anuncio y una especificación en progreso, no un producto que puedas activar.
- Confirmado: Cloudflare anunció el protocolo a fines de junio de 2026 y está trabajando con Chrome, Firefox y Edge.
- Confirmado: el objetivo es validar humanos con tokens criptográficos, sin rastreo y sin CAPTCHAs.
- Sin confirmar: no hay fecha oficial de implementación en navegadores ni de adopción por parte de los sitios.
- Sin confirmar: los detalles finos de la especificación todavía están en discusión.
El camino real es largo: anuncio, especificación, implementación en cada navegador y, recién después, adopción por parte de los sitios. Cada etapa puede demorar meses. Tomalo con pinzas si leés que “los CAPTCHAs ya murieron”. Ya lo cubrimos antes en seguridad de tokens en pipelines CI/CD.
¿Qué gana un desarrollador o admin web con PACT?
Si alguna vez administraste un sitio con formularios, sabés el dilema. Ponés un CAPTCHA y bajás el spam, pero también perdés usuarios legítimos que se cansan y se van. Lo sacás y te llenan de bots. PACT promete romper esa disyuntiva.
- Menos falsos positivos: menos personas reales bloqueadas por error en un checkout o un login.
- Mejor conversión: sin fricción en el formulario, menos abandono en ecommerce y registros.
- Filtrado de bots: seguís frenando el tráfico automatizado abusivo sin castigar al humano.
- Menos carga cognitiva: tu usuario no tiene que demostrar nada, simplemente usa el sitio.
Si tu proyecto vive en un servidor propio o en un hosting que controlás, vale la pena ir mirando cómo evoluciona el estándar para no quedar atrás cuando empiece a llegar a producción. Para alojar y probar este tipo de cosas con infraestructura en Argentina, donweb.com es una opción para tener a mano.
Retos y críticas: por qué PACT no es perfecto todavía
Frená el aplauso un segundo. Un protocolo así arrastra preguntas incómodas que conviene poner sobre la mesa.
La primera es la dependencia de los “sitios de confianza” que emiten los tokens. Si la emisión queda en manos de un puñado de gigantes, el modelo de privacidad se cumple, pero el de descentralización se complica: estarías delegando en pocos actores la potestad de decir quién es humano en la web. ¿Es eso un avance neto? Habría que ver cómo se distribuye ese poder.
Después está lo de siempre con los estándares: la fragmentación. Mientras no todos los navegadores lo soporten, los sitios van a tener que mantener PACT y CAPTCHAs en paralelo, y eso es más trabajo, no menos. La adopción real puede tardar años. Para más detalles técnicos, mirá manejo de credenciales en automatización.
Y queda la seguridad del propio token. Si alguien logra robar o reusar tokens a escala, el sistema se rompe. Cómo se manejan los límites de reutilización y la revocación es de las cosas que todavía no están del todo resueltas en lo público. PACT no es una bala de plata contra los bots, es una herramienta más.
Errores comunes al interpretar PACT
- Creer que ya podés usarlo: no. Está en especificación, sin fecha de salida. Activarlo hoy no es una opción.
- Pensar que elimina todos los bots: PACT distingue tráfico legítimo de automatizado abusivo, pero no reemplaza tu firewall ni tus reglas de seguridad.
- Asumir que es 100% anónimo y punto: el sitio receptor no te identifica, pero el emisor del token sí sabe que sos vos al momento de emitirlo. La privacidad está en el segundo tramo, no en todo el circuito.
- Confundir PACT con una extensión: la apuesta es que sea nativo del navegador, no un plugin que instalás aparte.
Preguntas Frecuentes
¿Qué es el protocolo PACT de Cloudflare?
PACT (Private Access to Content Tokens) es un protocolo de privacidad de Cloudflare que valida usuarios humanos mediante tokens criptográficos en vez de CAPTCHAs. Permite que un sitio confirme que del otro lado hay una persona real sin rastrearla ni identificarla. Se anunció a fines de junio de 2026.
¿Cómo reemplaza PACT a los CAPTCHAs?
En lugar de pedirte que resuelvas un puzzle, PACT hace que tu navegador presente un token emitido por un sitio de confianza donde ya te validaste. El sitio receptor verifica la firma criptográfica del token y te deja pasar sin que tengas que marcar imágenes ni tildar casillas.
¿Cuándo se implementará PACT en los navegadores?
No hay fecha oficial. Al momento del anuncio, en junio de 2026, PACT está en etapa de especificación y estandarización. Falta que cada navegador lo implemente y que los sitios lo adopten, un proceso que puede llevar meses o años.
¿Qué navegadores soportan PACT?
Por ahora ninguno lo soporta en producción. Cloudflare está desarrollando el protocolo junto a Google Chrome, Mozilla Firefox y Microsoft Edge, según su comunicado oficial. La idea es que sea una función nativa del navegador, sin extensiones.
¿Cómo protege PACT la privacidad de los usuarios?
PACT usa tokens criptográficos anónimos, sin fingerprinting ni historial de navegación. El sitio que recibe el token confirma que sos humano, pero no aprende tu identidad ni de dónde venís. La validación se separa de cualquier dato personal.
Conclusión
PACT es de esos anuncios que cambian la pregunta de fondo. Durante años convivimos con la falsa elección entre seguridad y comodidad, y los CAPTCHAs fueron el peaje. Que Cloudflare se siente con Chrome, Firefox y Edge para empujar un estándar de tokens criptográficos sin rastreo es una señal seria de hacia dónde va la verificación de humanos en la web.
Dicho esto, no te apures. No hay fecha, hay preguntas abiertas sobre centralización y robo de tokens, y la adopción real recién empieza. Si administrás sitios, lo razonable es seguir el avance de la especificación y no desarmar todavía tus defensas actuales. La promesa de una web sin puzzles es buena. Falta ver si llega entera.
Fuentes
- Cloudflare – Comunicado oficial sobre el protocolo de privacidad junto a navegadores
- DEV.to – Cloudflare introduces PACT (Private Access to Content Tokens)
- The Next Web – Cloudflare PACT, privacidad y tráfico de bots
- gHacks – Tokens de acceso para separar tráfico legítimo de bots
- MuyComputerPro – Cloudflare desarrollará un protocolo centrado en la privacidad con Chrome, Firefox y Edge
![[REQUEST] New Bug Reporting Plugin - ilustracion](https://donweb.news/wp-content/uploads/2026/04/plugin-reportar-bugs-wordpress-2026-hero-768x429.jpg)
