Google
|
por Autom Team

Google demanda a SerpAPI: lo que SearchGuard revela sobre la detección de bots

La demanda que expuso los secretos anti-bot de Google

El 19 de diciembre de 2025, Google presentó una demanda contra SerpAPI LLC, con sede en Texas, alegando que la empresa eludió SearchGuard para hacer scraping de "cientos de millones" de consultas diarias de Google Search. La base legal es la Sección 1201 del DMCA - la disposición anti-elusión de la ley de derechos de autor.

Investigadores de seguridad han descifrado completamente la versión 41 del script BotGuard, proporcionando una visión sin precedentes de cómo Google distingue a los visitantes humanos de los scrapers automatizados.

¿Qué es SearchGuard?

SearchGuard es el nombre interno del sistema BotGuard de Google cuando se aplica a Google Search. BotGuard (llamado internamente "Web Application Attestation") ha protegido los servicios de Google desde 2013 - YouTube, reCAPTCHA v3, Google Maps y más.

A diferencia de los CAPTCHAs tradicionales, SearchGuard opera de manera invisible. Recopila continuamente señales de comportamiento y las analiza utilizando algoritmos estadísticos - todo sin que el usuario lo sepa.

El código se ejecuta dentro de una máquina virtual de bytecode con 512 registros, específicamente diseñada para resistir la ingeniería inversa.

Cómo Google detecta bots

El sistema rastrea cuatro categorías de comportamiento en tiempo real:

Movimientos del ratón

Los humanos no mueven los cursores en líneas rectas. Seguimos curvas naturales con aceleración y desaceleración.

Google rastrea:

  • Trayectoria (forma del camino)
  • Velocidad
  • Aceleración (cambios de velocidad)
  • Jitter (micro-temblores)

Umbral de detección: Una varianza de velocidad del ratón por debajo de 10 se marca como comportamiento de bot. La varianza humana normal está entre 50-500.

Ritmo del teclado

Todos tienen una firma de escritura única. Google mide:

  • Intervalos entre teclas
  • Duración de pulsación de teclas
  • Patrones de errores
  • Pausas después de la puntuación

Umbral de detección: Una varianza de duración de pulsación inferior a 5ms indica automatización. La escritura humana normal muestra varianza de 20-50ms.

Comportamiento de desplazamiento

El desplazamiento natural tiene velocidad variable, cambios de dirección y desaceleración basada en el impulso. El desplazamiento programático a menudo es demasiado suave o perfectamente uniforme.

Umbral de detección: Una varianza de delta de desplazamiento inferior a 5px sugiere actividad de bot. Los humanos típicamente muestran varianza de 20-100px.

Jitter temporal

Esta es la señal decisiva. Los humanos somos inconsistentes.

Google usa el algoritmo de Welford para calcular la varianza en tiempo real con uso de memoria constante. Si tus intervalos de acción tienen varianza cercana a cero, eres marcado.

Umbral de detección: Conteos de eventos que exceden 200 por segundo indican automatización. La interacción humana normal genera 10-50 eventos por segundo.

Los más de 100 elementos DOM que Google monitorea

Más allá del comportamiento, SearchGuard toma la huella digital de tu entorno de navegador monitoreando más de 100 elementos HTML:

  • Elementos de alta prioridad: BUTTON, INPUT (los bots a menudo apuntan a elementos interactivos)
  • Estructura: ARTICLE, SECTION, NAV, ASIDE, HEADER, FOOTER, MAIN, DIV
  • Interactivo: DETAILS, SUMMARY, MENU, DIALOG

También recopila datos extensos del navegador y dispositivo:

  • Propiedades del Navigator (userAgent, platform, hardwareConcurrency, deviceMemory)
  • Propiedades de pantalla (dimensiones, colorDepth, devicePixelRatio)
  • Precisión del timing de rendimiento
  • Estado de visibilidad (document.hidden, hasFocus())

Detección de WebDriver

El script verifica específicamente las firmas de automatización:

  • navigator.webdriver (true si está automatizado)
  • window.chrome.runtime (ausente en modo headless)
  • Firmas de ChromeDriver (prefijos $cdc_)
  • Marcadores de Puppeteer ($chrome_asyncScriptInfo)
  • Indicadores de Selenium (__selenium_unwrapped)

Por qué los bypasses se vuelven obsoletos en minutos

El script genera tokens cifrados usando un cifrado ARX (Addition-Rotation-XOR) - similar a Speck, un cifrado de bloques ligero lanzado por la NSA en 2013.

El descubrimiento crítico: la constante mágica rota. La constante criptográfica incrustada en el cifrado cambia con cada rotación del script.

Valores observados del análisis de seguridad:

  • Timestamp 16:04:21: Constante = 1426
  • Timestamp 16:24:06: Constante = 3328

El script se sirve desde URLs con hashes de integridad. Cuando el hash cambia, cada cliente descarga una nueva versión con nuevos parámetros criptográficos.

Incluso si haces ingeniería inversa completa del sistema, tu implementación se vuelve inválida con la próxima actualización.

La conexión con OpenAI

SerpAPI no es una empresa de scraping cualquiera. OpenAI ha estado usando parcialmente resultados de búsqueda de Google scrapeados por SerpAPI para alimentar las respuestas en tiempo real de ChatGPT. SerpAPI listaba a OpenAI como cliente en su sitio web hasta mayo de 2024.

Google rechazó la solicitud directa de OpenAI para acceder a su índice de búsqueda en 2024. Sin embargo, ChatGPT todavía necesitaba datos de búsqueda frescos.

Google no está atacando a OpenAI directamente - está apuntando a un eslabón clave en la cadena de suministro que alimenta a su principal competidor de IA.

El panorama general para el scraping de SERPs

Esta demanda sigue un patrón de restricción de acceso:

  1. Enero 2025: Google desplegó SearchGuard, rompiendo casi todos los scrapers de SERPs de la noche a la mañana
  2. Septiembre 2025: Google eliminó el parámetro num=100, forzando a los scrapers a hacer 10x más solicitudes

El efecto combinado: los enfoques tradicionales de scraping son cada vez más difíciles y costosos de mantener.

Si SearchGuard califica como una "medida de protección tecnológica" válida bajo el DMCA, cada plataforma podría desplegar sistemas similares con fuerza legal.

Qué significa esto para las herramientas SEO

Para cualquiera que use herramientas que hacen scraping de SERPs:

  • Costos más altos: Más solicitudes necesarias, infraestructura más sofisticada requerida
  • Riesgo legal: Los scrapers de terceros podrían enfrentar demandas similares
  • Problemas de confiabilidad: Los bypasses pueden volverse obsoletos en minutos

El mensaje es claro: el viejo manual de scraping ha terminado.

Las APIs oficiales siguen siendo el camino estable

La posición de Google es efectivamente: "¿Quieres nuestros datos? Pasa por los canales oficiales."

Para los profesionales de SEO y desarrolladores que necesitan acceso confiable y consistente a datos de búsqueda, usar APIs oficiales - o proveedores de API con infraestructura adecuada - sigue siendo el enfoque más sostenible.

En Autom, continuamos monitoreando estos desarrollos y adaptando nuestros servicios en consecuencia. El panorama está cambiando, pero la necesidad de datos de búsqueda no va a desaparecer.

Lee también

Google elimina el parámetro de 100 resultados por página

Google

Google eliminó num=100

Equipo Autom
|
SerpAPI vs Serper vs Autom: Best SERP API in 2026

Google

SerpAPI vs Serper vs Autom: Best SERP API in 2026

Autom Team
|
Nuevo sitio web Autom rediseñado

Anuncio

Nuevo sitio web para Autom

Equipo Autom
|
Building an Automation To Build Title & Description for Your Keyword

Google

Building an Automation To Build Title & Description for Your Keyword

Autom Team
|

SERP API

Discover why Autom is the preferred API provider for developers.

Despliega tu scraper SERPVer precios