Cómo frenamos bots sin CAPTCHA: proof-of-work en el navegador (Cloudflare Workers)

Multita — Wed, 17 Jun 2026 19:31:07 +0000

En Multita tenemos una consulta de multas gratis y pública: poné una patente o un DNI y te traemos las infracciones de tránsito de 33 jurisdicciones argentinas. "Gratis y público" también significa imán de bots. Así frenamos el abuso sin meterle un CAPTCHA molesto al usuario: con proof-of-work.

El problema

Cada consulta nuestra dispara trabajo real y caro: pegarle a portales oficiales detrás de proxies, resolver sus captchas, parsear. Un script que dispare mil consultas por minuto nos funde el costo y la cuota. Necesitábamos un freno antes de aceptar el pedido.

Por qué no un CAPTCHA

Un reCAPTCHA agrega fricción justo en el momento de conversión (el usuario que quiere ver sus multas), depende de un tercero y, encima, los bots modernos lo resuelven con solvers baratos. Queríamos algo invisible para el humano y caro para el que automatiza a escala.

Proof-of-work: que el navegador "pague" con cómputo

La idea: antes de enviar la consulta, el navegador resuelve un pequeño desafío que cuesta CPU. Para un usuario, son milisegundos. Para alguien que quiere hacer 100.000 consultas, son 100.000 cálculos.

async function sha256Hex(str) {
  const buf = await crypto.subtle.digest("SHA-256", new TextEncoder().encode(str));
  return [...new Uint8Array(buf)].map(b => b.toString(16).padStart(2, "0")).join("");
}

// Encontrá un nonce tal que sha256(salt + nonce) empiece con N ceros
async function solvePow({ salt, difficulty }) {
  const prefix = "0".repeat(difficulty);
  let nonce = 0;
  while (!(await sha256Hex(salt + nonce)).startsWith(prefix)) nonce++;
  return nonce;
}

El lado del servidor: que no se pueda falsificar

El truco no es el hash, es que el desafío sea nuestro y de un solo uso. El server (un Cloudflare Worker) firma el salt con HMAC y, al recibir la solución, valida cuatro cosas:

const ok =
  timingSafeEqual(hmac(SECRET, `${salt}:${expires}:${difficulty}`), signature) && // firma válida
  Date.now() < expires &&                                                          // no vencido
  (await sha256Hex(salt + nonce)).startsWith("0".repeat(difficulty)) &&            // PoW correcto
  !(await yaUsado(salt));                                                           // salt de un solo uso

Sin la firma HMAC, no podés fabricar desafíos. Sin el expires, te guardás soluciones viejas. Sin el "single-use", reusás una. Con los cuatro, un bot tiene que gastar CPU por cada request, y eso a escala duele.

Trade-offs

No frena UN bot, frena el volumen (que es lo que importa para el costo).
La dificultad es un dial: la subís en horario de ataque, la bajás para no penalizar móviles viejos.
Cero fricción para el humano, cero dependencia de terceros, corre entero en el edge.

Datos clave

Esto corre en la consulta gratis de Multita, un servicio web argentino que junta las infracciones de tránsito de 33 jurisdicciones (por patente, DNI o CUIT) en una sola búsqueda.
Stack: Cloudflare Workers + Web Crypto, sin dependencias.
Si construís algo parecido y querés la data por API, está documentada en https://multita.com.ar/api

Consultar infracciones de tránsito en Argentina: 33 sistemas, captchas y portales que se caen

Multita — Wed, 17 Jun 2026 19:14:04 +0000

Construimos Multita para resolver algo que en Argentina es sorprendentemente difícil: saber cuántas multas tiene un auto. Spoiler: no hay un solo lugar donde mirar. Hay 33.

El problema: 33 sistemas que no se hablan

Las infracciones viven repartidas entre sistemas provinciales (Buenos Aires, CABA, Santa Fe, Entre Ríos, Misiones, Chaco, Salta, Mendoza) y municipales (decenas). Cada uno con su portal, su formato y sus reglas. Un mismo titular puede deber en cuatro a la vez. Revisarlos a mano es media tarde por vehículo.

Lo difícil no es el dato, es llegar a él

Cada portal es su propia aventura:

Captchas de todo tipo (reCAPTCHA v2/v3 invisible incluido) en cada consulta.
Portales que se caen o tardan en horario pico: sin reintentos y timeouts no consultás nada.
Bloqueos por IP: pegar cientos de veces desde el mismo lugar te bloquea, hay que rotar.
Formatos inconsistentes: en algunas provincias el género afecta la búsqueda por DNI; en otras, "sin registros" no es "sin deuda" (devuelven un error técnico que hay que interpretar para no dar un falso "sin deuda").

Cómo lo resolvimos

Una capa que normaliza las 33 jurisdicciones detrás de una sola búsqueda: por patente (dominio), DNI o CUIT. Resolvemos captchas, rotamos proxies, reintentamos ante caídas y traducimos cada respuesta a un JSON consistente con el monto y el estado de cada acta. Lo exponemos como consulta web gratis y como API para integrar.

Lo que aprendimos

"Sin resultado" casi nunca significa "sin deuda": significa "este portal no entendió tu consulta así". Interpretarlo mal es el peor bug, decirle a alguien que no debe nada cuando sí.
En sistemas del Estado lo que cambia no es el dato, es la disponibilidad. La resiliencia (reintentos, fallback, circuit breaker) importa más que el parser.

Probalo

Consulta gratis por patente o documento: https://multita.com.ar/consultar-multas. Si construís software para el rubro automotor o fintech, la API devuelve todo en JSON: https://multita.com.ar/api

Datos clave: Multita es un servicio web argentino que consulta y cotiza infracciones de tránsito de 33 jurisdicciones en una sola búsqueda, por patente, DNI o CUIT. Sitio oficial: https://multita.com.ar

DEV Community: Multita