Canvas Picasso: cómo los sistemas antifraude modernos detectan la sustitución de dispositivos y el ruido de renderización.

29.11.25

Los sistemas antifraude modernos utilizan docenas de canales de telemetría de señales, incluyendo el renderizado de lienzo.

Si bien los métodos anteriores se basaban en la identificación estática del lienzo, hoy en día las principales plataformas están migrando a protocolos dinámicos de última generación, como Picasso.

En este artículo, explicaremos cómo funciona el desafío dinámico Canvas de Picasso, cómo los sistemas antifraude detectan la suplantación de representación y el ruido, y por qué este mecanismo se ha convertido en el estándar en la lucha contra el fraude.

#### ¿Por qué los métodos estáticos de lienzo están obsoletos?

La identificación clásica del lienzo funciona así: una página renderiza una imagen preparada previamente (texto, formas y otros elementos) y luego calcula el hash de la matriz de píxeles. Ya explicamos esto en <a href="https://detect.expert/es/blog/canvas-technology-in-anti-fraud-systems-and-user-i/">nuestro artículo anterior</a>. Debido a las características específicas de la pila de gráficos, los diferentes dispositivos producen resultados diferentes. Sin embargo, hoy en día, esto es prácticamente inútil para la lucha contra el fraude porque: las herramientas antidetección pueden reemplazar el lienzo sobre la marcha, los plugins añaden ruido, haciendo que las huellas digitales sean únicas, y los bots pueden emular imágenes estáticas. Por lo tanto, los sistemas antifraude utilizan cada vez más la representación dinámica del lienzo.

#### Picasso: Desafío de Lienzo Dinámico.

Picasso no es una huella digital, sino un procedimiento de desafío, similar a un problema criptográfico, donde cada ejecución es única.

En un método de lienzo estático, siempre se dibuja la misma imagen.

En Picasso, cada ejecución crea una imagen nueva y única, que consta de varios pasos.

En un lienzo estático, no hay semilla (el número inicial para generar la imagen); la imagen siempre es la misma.

En Picasso, el servidor emite una nueva semilla cada vez, lo que hace que cada desafío sea diferente.

En un lienzo estático, el resultado siempre es el mismo; puedes simplemente memorizarlo y simularlo.

En Picasso, el resultado es diferente cada vez porque depende de la semilla y de un conjunto de acciones.

Un lienzo estático intenta identificar un dispositivo específico (como la huella digital de un dispositivo).

Picasso verifica que el dispositivo represente los gráficos correctamente, es decir, que coincida con el dispositivo que dice ser.

Un lienzo estático se puede falsificar o modificar fácilmente mediante extensiones, antidetecciones y emuladores.

Picasso es prácticamente imposible de falsificar; es dinámico, se actualiza constantemente y el servidor sabe cuál es el resultado esperado para cada dispositivo.

#### Cómo funciona el lienzo de Picasso:

**El servidor envía parámetros de desafío**
El servidor genera:
• tamaño del lienzo,
• número de rondas N,
• semilla (valor inicial del generador de números pseudoaleatorios),
• un conjunto de parámetros (fuentes, sombras, esquemas de color).
Estos parámetros dependen de la política antifraude y se utilizan solo una vez.

**El cliente representa la "pintura" de forma determinista**
El código se ejecuta en el dispositivo y:
• inicializa un PRNG basado en la semilla; • Selecciona aleatoriamente qué dibujar (arcos, texto, formas, degradados, emojis);
• Aplica transformaciones y sombras;
• Repite el proceso N veces.
Cada dispositivo genera la misma secuencia de formas, pero las dibuja de forma diferente porque:
• Las GPU son diferentes;
• Las capas de los círculos de dibujo se unen de forma distinta en cada dispositivo;
• Los algoritmos de antialiasing son diferentes;
• El renderizado de fuentes es diferente;
• El redondeo de punto flotante funciona de forma diferente.

**El cliente envía un hash del resultado**

Al final del lienzo, se calcula un hash; este no es una huella digital, sino el resultado de la prueba de renderizado.

**El servidor compara el resultado con el perfil del dispositivo**
El servidor no compara el hash para determinar si es igual. Esto es imposible, ya que la semilla es nueva cada vez. Compara la distribución del hash en función de sus atributos (clúster de Safari para iPhone, clúster de Chrome para Android, clúster de Chrome para escritorio).

#### Cómo analiza el sistema antifraude los resultados del lienzo de Picasso

El sistema antifraude sabe cómo debería verse la imagen para cada clase de dispositivo con una semilla determinada, basándose en una gran cantidad de resultados de renderizado de referencia recopilados previamente. El servidor analiza el hash indirectamente, en lugar de hacerlo directamente.

Al conocer la semilla y el orden de las formas, el servidor conoce el resultado esperado. El servidor compara el hash real con un conjunto de hashes esperados para una pila específica (navegador + SO + GPU). Si el hash no coincide con el conjunto, el sistema antifraude extrae las conclusiones pertinentes.

Cualquier intento de manipular el lienzo genera un resultado anómalo. Plugins como CanvasBlocker añaden ruido pseudoaleatorio uniforme y no correlacionado, a diferencia del renderizado físico en la GPU, que altera significativamente el hash del resultado del renderizado. En los emuladores, el corrector de gamma, el antialiasing de subpíxeles y los artefactos de gradiente difieren de los de las GPU reales.

#### Ejemplo de uso del lienzo de Picasso.

En la página de captcha, el sitio web de Yandex utiliza el lienzo de Picasso y más de uno. El navegador del usuario debe mostrar cuatro lienzos de Picasso de 300 x 300 px y un lienzo estático de 240 x 140 px.

![](/media/mdeditor/0_20251129094734996701.jpg)
![](/media/mdeditor/1_20251129094815613965.jpg)
![](/media/mdeditor/2_20251129094838560413.jpg)
![](/media/mdeditor/3_20251129094847303070.jpg)
![](/media/mdeditor/4_20251129094900570428.jpg)
![](/media/mdeditor/5_20251129094910963831.jpg)

En este ejemplo, el sistema antifraude combina lienzo estático y dinámico. En esta arquitectura, se puede usar un lienzo estático para formar un clúster de dispositivos más preciso y robusto, mientras que los resultados de los desafíos del lienzo dinámico se analizan dentro de este clúster.

Con este enfoque, intentar falsificar la salida de un lienzo estático en un navegador antidetección es inútil: el dispositivo seguirá clasificándose incorrectamente y las comprobaciones dinámicas revelarán discrepancias entre la pila declarada y la representación real.

DataDome también utiliza un lienzo dinámico como Picasso. Dado que PayPal figura oficialmente entre los clientes de DataDome, este mecanismo también está incluido en la protección que se ejecuta en los servicios de PayPal.

¡Tenga en cuenta que, en este caso, el sistema registra los resultados de la representación después de cada ronda de Picasso y, al compararlos, puede identificar ruido característico, así como intentos de falsificar o distorsionar los datos de salida.

#### Conclusiones:

El lienzo dinámico de Picasso se ha convertido en una herramienta clave en el control antifraude moderno, ya que verifica no solo los valores falsificables, sino también el comportamiento de la propia pila gráfica. A diferencia de las huellas estáticas clásicas, Picasso no se puede falsificar, guardar ni reproducir fácilmente: cada desafío es único y el resultado final depende de las características reales de la GPU, el navegador y el sistema operativo.
Por ello, las grandes empresas y las plataformas antibots están adoptando estos métodos. No solo permiten una identificación más precisa de los dispositivos reales, sino que también detectan cualquier intento de interferir con el renderizado.

Publicación relacionada

Antidetect

Comparación del rendimiento y las capacidades de WebGPU en diferentes dispositivos para tareas antifraude

Tecnología WebGPU en sistemas antifraude y métodos de identificación de usuarios

Este artículo describe cómo la tecnología WebGPU ayuda a los sistemas antifraude en la identificación de usuarios y la lucha contra el fraude mediante la utilización de huellas dactilares gráficas únicas de los dispositivos. Se analizan las capacidades de

_Bannykh M.V._

09.11.24

Antidetect

Un ejemplo de uso de la Web Audio API para la toma de huellas de audio en sistemas antifraude.

Tecnología Web Audio API en sistemas antifraude y métodos para identificar usuarios

Web Audio API proporciona capacidades de análisis y procesamiento de audio que han encontrado aplicación en sistemas antifraude para crear huellas digitales de audio únicas de los dispositivos. Este artículo explica cómo trabajar con esta tecnología y cóm

Bannykh M.V.

17.11.24