Saltar al contenido principal

Client Hints (sec-ch-ua)

Los navegadores modernos (Chromium) envían un bloque de cabeceras sec-ch-ua-* que describen la marca, versión, plataforma.

Categoría: WAF Evasion 🎯 Trinchera — Los navegadores modernos (Chromium) envían un bloque de cabeceras sec-ch-ua-* que describen la marca, versión, plataforma. Si tu User-Agent dice Chrome 120 pero no envías sec-ch-ua: "Chromium";v="120", el WAF detecta la asimetría. 🔗 Kill chain — Validación lateral del User-Agent. Es el contrato que cierra el círculo de identidad del navegador. 📡 Huella defensiva — Cualquier WAF de tier 1 (Cloudflare, Akamai, F5) cruza User-Agent ↔ Client Hints ↔ JA3. ⚠️ Falso amigo — Falsificar sólo el User-Agent y Accept-Language. La mayoría de scripts hechos a mano olvidan los Client Hints, los sec-fetch-* y el orden de las cabeceras. 🛡️ Remediación (ofensiva) — Usar navegadores reales o herramientas que repliquen el ecosistema completo.
Volver al glosario completo Última actualización: 2026-06-11