Suplantacion de User-Agent
¿Qué es Suplantacion de User-Agent?
Suplantacion de User-AgentFalsificacion de la cabecera User-Agent o de los client hints relacionados para que una peticion parezca provenir de un navegador, dispositivo o sistema operativo distinto al real.
La suplantacion de User-Agent consiste en alterar la cadena HTTP User-Agent (y los Client Hints relacionados como Sec-CH-UA) que el cliente envia para falsear el navegador, version o plataforma. Usos legitimos incluyen probar layouts responsivos, depurar problemas de compatibilidad o acceder a contenido bloqueado por comprobaciones obsoletas. Los atacantes la usan para evadir deteccion de bots debil, hacerse pasar por Googlebot y obtener contenido distinto, eludir defensas basadas en fingerprinting o explotar logica condicional del servidor. Como el cliente controla la cabecera, los equipos de seguridad la tratan como entrada no confiable y la combinan con TLS fingerprinting, desafios JavaScript y analitica de comportamiento.
● Ejemplos
- 01
Bot de scraping que envia User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1) para acceder a contenido normalmente camuflado para SEO.
- 02
Pentester que usa Match and Replace de Burp Suite para probar endpoints solo moviles desde un navegador de escritorio.
● Preguntas frecuentes
¿Qué es Suplantacion de User-Agent?
Falsificacion de la cabecera User-Agent o de los client hints relacionados para que una peticion parezca provenir de un navegador, dispositivo o sistema operativo distinto al real. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Suplantacion de User-Agent?
Falsificacion de la cabecera User-Agent o de los client hints relacionados para que una peticion parezca provenir de un navegador, dispositivo o sistema operativo distinto al real.
¿Cómo funciona Suplantacion de User-Agent?
La suplantacion de User-Agent consiste en alterar la cadena HTTP User-Agent (y los Client Hints relacionados como Sec-CH-UA) que el cliente envia para falsear el navegador, version o plataforma. Usos legitimos incluyen probar layouts responsivos, depurar problemas de compatibilidad o acceder a contenido bloqueado por comprobaciones obsoletas. Los atacantes la usan para evadir deteccion de bots debil, hacerse pasar por Googlebot y obtener contenido distinto, eludir defensas basadas en fingerprinting o explotar logica condicional del servidor. Como el cliente controla la cabecera, los equipos de seguridad la tratan como entrada no confiable y la combinan con TLS fingerprinting, desafios JavaScript y analitica de comportamiento.
¿Cómo defenderse de Suplantacion de User-Agent?
Las defensas contra Suplantacion de User-Agent combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Suplantacion de User-Agent?
Nombres alternativos comunes: Spoofing de UA, Cambio de User-Agent.
● Términos relacionados
- appsec№ 468
Navegador sin interfaz
Navegador web que se ejecuta sin interfaz gráfica y se controla mediante código, utilizado para pruebas, scraping y automatización de seguridad.
- attacks№ 232
Relleno de credenciales
Ataque automatizado que reutiliza grandes listas de usuario/contraseña filtradas en un servicio contra otros, explotando la reutilización de contraseñas para tomar cuentas.
- appsec№ 942
robots.txt
Fichero de texto en la raiz del sitio que indica a los rastreadores correctos que rutas pueden o no recuperar, formalizado en el RFC 9309 del IETF.