Ir al contenido
GProxy
Registro
Глоссарий 6 min de lectura 34 vistas

Huella digital JA3

Explora las huellas digitales JA3: cómo funcionan para identificar configuraciones de clientes TLS y detectar conexiones de proxy. Un aspecto clave de la seguridad moderna.

Безопасность
Huella digital JA3

Nuestros proxies

Ilimitados
HTTP/SOCKS5, desde $3/día
Residenciales
IPs reales, desde $0.49/GB
Rotación IPv6
Pool de 1000 IP, desde $2.50/día
Todas las tarifas →

Una huella digital JA3 es un hash MD5 derivado de campos específicos dentro de un mensaje TLS Client Hello, utilizado para identificar de forma única la aplicación o biblioteca cliente que inicia una conexión TLS, sirviendo así como un método robusto para la huella digital de clientes TLS y la detección de proxies.

Entendiendo la Huella Digital de Clientes TLS

Cuando un cliente inicia un handshake TLS, envía un mensaje Client Hello que contiene varios parámetros necesarios para establecer una conexión segura. Estos parámetros incluyen la versión de TLS, una lista de suites de cifrado compatibles, extensiones, curvas elípticas y formatos de curvas elípticas. La combinación y el orden específicos de estos parámetros suelen ser únicos para una aplicación cliente, un sistema operativo y una biblioteca TLS en particular. Esta firma distintiva permite la identificación del cliente, incluso si otra información de identificación (como las cadenas de agente de usuario) se modifica o está ausente.

¿Qué es una Huella Digital JA3?

Desarrollado por Salesforce, JA3 es un método para crear una huella digital estandarizada del mensaje Client Hello. Se centra en cinco campos clave del Client Hello:

  1. Versión TLS: La versión TLS más alta que el cliente soporta.
  2. Suites de Cifrado: Una lista separada por comas de las suites de cifrado que el cliente soporta, ordenadas por preferencia.
  3. Extensiones TLS: Una lista separada por comas de las extensiones TLS que el cliente incluye, ordenadas por tipo.
  4. Curvas Elípticas: Una lista separada por comas de las curvas elípticas soportadas.
  5. Formatos de Curvas Elípticas: Una lista separada por comas de los formatos de curvas elípticas soportados.

Estos cinco valores se concatenan en una sola cadena, utilizando "," como separador para las listas y "-" como separador entre los cinco campos principales. Esta cadena concatenada se somete a un hash MD5 para producir la huella digital JA3 final de 32 caracteres. El uso de MD5 es por brevedad y consistencia, no por seguridad criptográfica.

Ejemplo de Cálculo JA3

Considere un Client Hello hipotético con los siguientes parámetros:

  • Versión TLS: 0x0303 (TLS 1.2)
  • Cifrados: 0xc02c,0xc02b,0xc030,0xc02f,0x009c,0x0095
  • Extensiones: 0x0000,0x000b,0x000a,0x0012,0x0023,0x0017,0x0010,0x0035,0xff01,0x000d,0x0005
  • Curvas Elípticas: 0x001d,0x0023,0x0024
  • Formatos de Curvas Elípticas: 0x0000,0x0001,0x0002

La cadena concatenada sería:
769,49164-49163-49168-49167-156-149,0-11-10-18-35-23-16-53-65281-13-5,29-35-36,0-1-2

El hash MD5 de esta cadena sería la huella digital JA3, p. ej., e66a3d11b302c086d0b604e769494441.

JA3 en la Detección de Proxies

Los proxies, particularmente los proxies de reenvío y aquellos que realizan intercepción TLS, a menudo modifican o terminan y reinician las conexiones TLS. Este proceso altera inherentemente el mensaje Client Hello, lo que lleva a una huella digital JA3 que difiere de la del cliente original.

Cómo los Proxies Influyen en las Huellas Digitales JA3

  • Proxies de Reenvío (HTTPS): Cuando un cliente se conecta a un proxy HTTPS, el proxy establece una nueva conexión TLS con el servidor de destino. El mensaje Client Hello observado por el servidor de destino se origina en el software del proxy, no en el cliente final. En consecuencia, la huella digital JA3 refleja la pila TLS del proxy (p. ej., Squid, Nginx, HAProxy o software de proxy personalizado) en lugar del navegador o la aplicación real utilizada por el usuario final. Esta discrepancia es un fuerte indicador del uso de proxy.

  • Proxies de Intercepción TLS (MITM): Estos proxies terminan explícitamente la conexión TLS del cliente y establecen una nueva conexión TLS separada con el destino. Esto es común en entornos corporativos para inspección o por parte de actores maliciosos. El Client Hello enviado al servidor de destino es generado por el proxy de intercepción, lo que resulta en una huella digital JA3 característica del software de intercepción.

  • Proxies SOCKS: Los proxies SOCKS pueden operar a un nivel inferior, tunelizando conexiones TCP sin procesar. Si un proxy SOCKS simplemente reenvía el flujo TCP sin modificar el handshake TLS, el Client Hello original del cliente podría pasar sin ser tocado, y la huella digital JA3 permanecería igual. Sin embargo, muchas implementaciones SOCKS o configuraciones específicas aún podrían terminar y reiniciar TLS o alterar la información del encabezado, lo que llevaría a un JA3 modificado.

Identificación de Proxies con JA3

Al analizar los mensajes Client Hello entrantes, un servidor puede:

  1. Detectar Discrepancias: Comparar la huella digital JA3 con otros indicadores del cliente, como el encabezado User-Agent. Un User-Agent que afirma ser Chrome en Windows, pero que presenta una huella digital JA3 conocida por pertenecer a un servidor proxy o a una biblioteca de scraping específica, indica el uso de proxy o suplantación.
  2. Categorizar el Tráfico: Identificar el tráfico originado en servicios de proxy conocidos, centros de datos o botnets que utilizan pilas TLS consistentes.
  3. Bloquear/Limitar: Implementar políticas para bloquear o limitar las conexiones de huellas digitales JA3 específicas asociadas con tráfico no deseado (p. ej., scrapers, bots o sistemas comprometidos).

JA3 vs. JA3S

Mientras que JA3 toma la huella digital del Client Hello del cliente, JA3S (JA3 Server) toma la huella digital del mensaje Server Hello del servidor. JA3S se centra en la versión TLS, la suite de cifrado y las extensiones del Server Hello. Aunque es útil para identificar implementaciones TLS del lado del servidor, es menos directamente aplicable a la detección de proxies de cliente.

Limitaciones y Técnicas de Evasión

Aunque potente, la huella digital JA3 no es infalible:

  • Suplantación (Spoofing): Clientes sofisticados, bots o servicios de proxy pueden configurarse para imitar intencionalmente huellas digitales JA3 específicas, suplantando eficazmente un navegador legítimo. Esto requiere control sobre los parámetros Client Hello de la biblioteca TLS.
  • Actualizaciones de Bibliotecas TLS: Las actualizaciones de las bibliotecas TLS (p. ej., OpenSSL, NSS, BoringSSL) o de los sistemas operativos pueden alterar los parámetros Client Hello, cambiando la huella digital JA3 para un cliente que de otro modo sería idéntico. Esto requiere un monitoreo continuo y la actualización de las bases de datos de firmas JA3.
  • Diversidad de Bibliotecas: Diferentes bibliotecas cliente HTTP (p. ej., requests de Python, net/http de Go, https de Node.js) y sus implementaciones TLS subyacentes (p. ej., OpenSSL, GnuTLS, BoringSSL, crypto/tls de Go) producirán naturalmente huellas digitales JA3 distintas.

Variaciones Comunes de Huellas Digitales JA3

Tipo de Cliente Características Típicas de JA3
Chrome (Windows) Versiones TLS modernas (TLS 1.3 preferida), amplio rango de suites de cifrado, orden específico de extensiones.
Firefox (Linux) A menudo utiliza la biblioteca NSS, orden distintivo de suites de cifrado, conjunto de extensiones diferente en comparación con Chrome.
Safari (macOS) Utiliza Secure Transport de Apple, conjunto único de suites de cifrado y extensiones soportadas.
requests de Python (OpenSSL) Refleja la versión de OpenSSL utilizada, a menudo un conjunto más limitado de cifrados/extensiones que los navegadores.
net/http de Go Utiliza la biblioteca crypto/tls incorporada de Go, que tiene su propia estructura característica de Client Hello.
cURL (libcurl) Depende de la biblioteca TLS subyacente (OpenSSL, GnuTLS, NSS), pero libcurl en sí mismo puede añadir patrones específicos.
Proxy Squid La huella digital JA3 reflejará la pila TLS de Squid, que a menudo es distinta de la de los navegadores del usuario final.
Proxy Nginx Similar a Squid, la configuración TLS del servidor Nginx dicta la huella digital JA3.
Aplicación Móvil (Android/iOS) Varía mucho dependiendo del framework de la aplicación y la biblioteca TLS subyacente (p. ej., Conscrypt, BoringSSL).

JA3 es una herramienta potente para identificar y detectar varios tipos de tráfico de clientes, particularmente en el contexto de servicios de proxy y detección de bots. Saber cómo interpretar y mitigar las huellas digitales JA3 es crucial tanto para los proveedores como para los consumidores de proxies.

Actualizado: 04.03.2026
Volver a la categoría

Leer también

Глоссарий 1 min

CDN y Proxies: Cómo Funcionan

CDN y proxies — cómo funcionan juntos — un término del campo de los proxies y las tecnologías de red.
Глоссарий 1 min

Enrutamiento de Tráfico BGP y Proxy

El enrutamiento de tráfico BGP y proxy es un término del campo de las tecnologías de proxy y de red.
Глоссарий 1 min

Peering de ISP y su impacto en los proxies

Peering de ISP y su impacto en los proxies — un término del campo de las tecnologías de proxy y red.
Глоссарий 1 min

Puerta de Enlace Residencial

La Puerta de Enlace Residencial es un término del campo de las tecnologías de proxy y de red.
Глоссарий 1 min

Piscina Cálida vs. Piscina Fría

Piscina Cálida vs. Piscina Fría — un término del ámbito de las tecnologías de proxy y redes.
Глоссарий 1 min

Proxy de comprobación de estado

El proxy de comprobación de estado es un término del campo de las tecnologías de proxy y de red.

Pruebe nuestros proxies

20,000+ proxies en 100+ países del mundo

Proxies ilimitados Proxies residenciales
support_agent
GProxy Support
Usually replies within minutes
Hi there!
Send us a message and we'll reply as soon as possible.