Extensión para navegadores

Para empresas

Precios

Blog

Documentación

Español

Cloudflare Waiting Room
y CapMonster Cloud

Resolución de captchas, integración en el sitio y pruebas.

¿Heredaste un sitio con una captcha u otra capa de protección pero sin acceso al código fuente? Entonces es normal preguntarse: ¿qué solución está instalada, está configurada correctamente y cómo se puede probar?

En este artículo hemos intentado responder a todas las preguntas clave. Para empezar a resolver la tarea, primero hay que determinar qué sistema de protección se está utilizando. Para ello, puedes consultar la lista de captchas y sistemas de protección antibot más populares, donde se muestran ejemplos visuales y señales clave que te ayudarán a identificar rápidamente con qué estás tratando.

Si descubres que tu sitio web utiliza Cloudflare Waiting Room, el siguiente paso será analizar con más detalle sus propiedades y su funcionamiento. En este mismo artículo también puedes consultar la guía de integración de Cloudflare Waiting Room para comprender por completo cómo funciona en tu sitio. Esto te permitirá no solo entender la protección actual, sino también planificar correctamente su mantenimiento.

Qué es Cloudflare Waiting Room

Cloudflare Waiting Room es una cola virtual que protege el sitio web de sobrecargas ante un aumento repentino del tráfico. Si hay demasiados visitantes, los usuarios “sobrantes” son enviados temporalmente a una página de espera, donde ven información sobre su turno y el tiempo estimado de entrada. En cuanto queda un espacio libre, acceden automáticamente al sitio.

Cómo resolver Waiting Room a través de CapMonster Cloud

Al probar el mecanismo de Waiting Room, es importante asegurarse de que la cola funcione correctamente y regule el acceso al sitio.

Así es como puede comprobarlo:

Abra la página donde está activado el Waiting Room y asegúrese de que la cola se muestre al superar el límite de usuarios.
Intente acceder al sitio desde varios dispositivos o navegadores simultáneamente para generar carga artificialmente; parte de las solicitudes deberían ponerse en cola.
Verifique que los usuarios que entran en la cola vean la página de espera y luego sean admitidos automáticamente en el sitio cuando haya espacio libre.
Asegúrese de que actualizar la página no saque al usuario de la cola.

Para pruebas automatizadas y reconocimiento de captchas, puede utilizar servicios especializados, como CapMonster Cloud, una herramienta que recibe los parámetros del captcha, los procesa en sus servidores y devuelve una solución lista. Esta solución (token o cookie) se puede insertar en un formulario o navegador para pasar la verificación sin la participación del usuario.

Trabajar con CapMonster Cloud mediante la API suele implicar los siguientes pasos:

Creación de la tarea

En esta etapa, usted envía su clave API, el tipo de captcha y sus parámetros. El servicio devuelve un taskId único, con el cual más tarde se puede obtener el resultado.

Enviar una solicitud API

En la solicitud para resolver Cloudflare Waiting Room es necesario indicar los siguientes parámetros:

type - TurnstileTask;

websiteURL - dirección de la página donde se encuentra la verificación;

websiteKey - clave de Cloudflare en el sitio de destino;

cloudflareTaskType - wait_room;

htmlPageBase64 - Página HTML en formato base64 que contiene el título <title>Waiting Room powered by Cloudflare</title>;

userAgent - User-Agent del navegador. Envíe solo un UA actual del sistema operativo Windows;

Además, para esta tarea es necesario el uso de sus propios proxies:

proxyType :

http - proxy HTTP/HTTPS normal;
https - pruebe esta opción si «http» no funciona (necesario para algunos proxies personalizados);
socks4 - proxy tipo SOCKS4;
socks5 - proxy tipo SOCKS5;

proxyAddress - Dirección IP del proxy IPv4/IPv6;

proxyPort - puerto del proxy;

proxyLogin - usuario del servidor proxy;

proxyPassword - contraseña del servidor proxy.

Consulta más detalles sobre los parámetros y cómo recopilarlos automáticamente antes de enviar una tarea en la documentación de CapMonster Cloud.

Endpoint para enviar la tarea:

https://api.capmonster.cloud/createTask

Ejemplo de solicitud:

{
  "clientKey":"API_KEY",
  "task": {
	"type":"TurnstileTask",
	"websiteURL":"https://example.com",
	"websiteKey":"xxxxxxxxxx",
	"cloudflareTaskType": "wait_room",
	"htmlPageBase64": "PCFET0NUWVBFIGh0...vYm9keT48L2h0bWw+",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
	"proxyType":"http",
	"proxyAddress":"8.8.8.8",
	"proxyPort":8080,
	"proxyLogin":"proxyLoginHere",
	"proxyPassword":"proxyPasswordHere"
  }
}

Respuesta:

{
  "errorId":0,
  "taskId":407533072
}

Recepción del resultado

Tras crear la tarea, consulta periódicamente el estado de la solución.

Dirección para recibir el resultado:

https://api.capmonster.cloud/getTaskResult

Ejemplo de solicitud:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Respuesta:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "cf_clearance": "1tarGvbY2_ZhQdYxpSBloao.FoOn9VtcJtmb_IQ_hCE-1761217338-1.2.1.1-vyVPoLYIGX0VCJomVuLjF7n0kdM0PXaPjpDsRcohxGr7hb2CE7WfcHpmQZ70goqEjdWxPsDhSVaKNTz9opxWguiNdWEEq_.SceWXIqfP7tnEb69f3bP0mixNqcWy_5P_9INpoAEqr1k7aYU0r45PT4gPr5pwHxedVySyLRdoBXIJasdTE52YOQ3NPdGWTwQ_3h2n_wYqqIvf0kCSAvimRrmsgZxomlyejwqPI6ZHi.w"
  }
}

Sustitución de cf_clearance

La solución obtenida (cookie cf_clearance) se puede establecer en el navegador o enviarse junto con la solicitud HTTP, indicándola en el encabezado Cookie: cf_clearance=. También, para la automatización y pruebas, es conveniente utilizar Puppeteer, Selenium o Playwright, que permiten emular acciones del usuario, insertar cookies y enviar formularios.

A continuación se muestra un ejemplo de solicitud a su página con valores de cookie obtenidos previamente. Esto es útil para pruebas: puede enviar tanto valores correctos como intencionalmente incorrectos para asegurarse de que su lógica de procesamiento de acceso y validación funcione correctamente.

GET https://example.com/

sec-ch-ua: "Google Chrome";v="141", "Not?A_Brand";v="8", "Chromium";v="141"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
sec-fetch-site: same-origin
sec-fetch-mode: navigate
sec-fetch-user: ?1
sec-fetch-dest: document
accept-encoding: gzip, deflate, br
accept-language: en-US
cookie: cf_clearance=Jf0udVxx.pxJMEHnish22ZOFt4WZEh8iLKm62gIxQAw-1760087570-1.2.1.1-IAO44jrcaDIU6v3f01Q6MpH58vo521.cgZg9OG5ASav.EIf9fmqH2yETyPkmm7dExFNlRL.dYv6xA4iPtlwMepInUaeFinDbYtoMstD_9Vyexx2B2K.r4eJb9zMCQc0XA3yYDHViOC7cYBYHi58FbvycjBe4o236lyz2eoyC48IS.K1zSsVdqBqIoXIT4tEFYdibXdWudtp57lmyjwpryZy..fGFAcFjAGn3iho98_4
sec-ch-ua-arch: "x86"
sec-ch-ua-bitness: "64"
sec-ch-ua-full-version: "141.0.7390.55"
sec-ch-ua-platform-version: "19.0.0"
sec-ch-ua-model: ""
sec-ch-ua-full-version-list: "Google Chrome";v="141.0.7390.55", "Not?A_Brand";v="8.0.0.0", "Chromium";v="141.0.7390.55"
Origin: https://example.com
Upgrade-Insecure-Requests: 1

También existe una excelente oportunidad para probar el reconocimiento de captchas con la extensión de navegador CapMonster Cloud, que permite verificar rápidamente el funcionamiento del captcha directamente en la página y seguir el proceso de resolución en tiempo real sin escribir código: disponible para su instalación en Chrome y Firefox.

Cómo conectar Cloudflare Waiting Room a su sitio

Para orientarse con confianza en el funcionamiento del captcha en su sitio, entender la lógica de su verificación, volver a conectarlo o reconfigurarlo, le recomendamos estudiar esta sección. En ella se describe el proceso de conexión de la protección; esto le ayudará a comprender rápidamente todos los matices.

Requisitos y preparación

Plan de Cloudflare: Waiting Room está disponible para planes Business y Enterprise.
CDN y Proxying: Su sitio debe estar conectado a Cloudflare, y el registro DNS para el dominio o subdominio debe estar en estado proxied.
Cookies: Los visitantes deben admitir cookies, ya que Cloudflare las utiliza para rastrear la posición en la cola.
Decida qué páginas/usuarios estarán en la cola y cuáles omitirán el Waiting Room (por ejemplo, administradores, VIP, ciertas rutas).

1. Regístrese en Cloudflare y conecte su sitio.

2. En la sección Traffic → Waiting Room, cree una nueva cola:

3. Haga clic en Create Waiting Room.

Indique:

Hostname / URL donde estará activo el Waiting Room.
Nombre del Waiting Room (para registro interno).
Cantidad máxima de usuarios admitidos simultáneamente (opcional, si se necesita una carga limitada).

4. Configure el diseño de la página de espera:

Puede utilizar la plantilla de Cloudflare o HTML/CSS personalizado.
Añada un logotipo, información sobre el tiempo de espera e instrucciones para los usuarios.

5. Guarde y active el Waiting Room.

6. Configuración de reglas (Rules)

Cloudflare permite excluir cierto tráfico de la cola.

Reglas de omisión típicas (Bypass Rules):

Direcciones IP del administrador: permitir siempre.
Rutas/URL: excluir archivos estáticos (.js, .css, .png) o páginas específicas.
Geo-targeting: excluir ciertos países.
Query string: excluir ciertos parámetros GET.

Ejemplo de regla de omisión de ruta en el Dashboard

En Waiting Room → Manage Rules → Create new bypass rule.
Configure:
- Rule Name: Bypass JS Files
- Expression: ends_with(http.request.uri.path, ".js")
- Action: Bypass Waiting Room
Guarde e implemente (Deploy).

Todas las reglas de omisión permiten excluir el tráfico del conteo de usuarios activos, para que no afecte a la cola.

Capacidades avanzadas:

Scheduled Event: activación del Waiting Room solo en momentos específicos (por ejemplo, para rebajas).
Analytics: seguimiento de la cantidad de usuarios en la cola, tiempo de espera y capacidad de paso.
Hostnames/paths adicionales: un solo Waiting Room puede funcionar en varios subdominios o rutas.

Gestión a través de API:

La API de Cloudflare Waiting Room permite:

Crear, modificar y eliminar reglas de omisión.
Ver la lista de reglas.
Gestionar todas las configuraciones del Waiting Room programáticamente.

Ejemplo de creación de regla de omisión a través de la API

POST zones/{zone_id}/waiting_rooms/{room_id}/rules
Content-Type: application/json
Authorization: Bearer <API_TOKEN>

{
  "description": "Bypass admins",
  "expression": "ip.src in { '1.2.3.4', '5.6.7.8' }",
  "action": "bypass_waiting_room",
  "enabled": true
}

Verificación del funcionamiento

1) Abra el sitio desde diferentes navegadores/dispositivos.

2) Verifique:

¿Aparece el Waiting Room al superar el límite?
¿Se mantiene la posición en la cola al actualizar la página?
¿Funcionan las reglas de omisión (por ejemplo, la IP de administrador pasa sin esperar)?

Posibles errores y depuración

Dominio no válido o configuración incorrecta de la cola

La página de waiting room no se muestra. Verifique que la regla de la cola esté vinculada al URI, ruta o host correcto.

Tiempo de espera agotado al cargar la página o el token de la cola

El cliente no esperó la respuesta del servidor. Aumente los tiempos de espera (timeouts) en las pruebas y el monitoreo para manejar los retrasos correctamente.

Verificación repetida o token de cola caducado

Si el usuario utiliza un token ya caducado o cookies no válidas, el sistema volverá a mostrar la página de espera.

Conflicto con otras comprobaciones de acceso

El uso simultáneo de Waiting Room y otras reglas de autorización/protección contra bots puede llevar a comprobaciones cíclicas. Siga las recomendaciones sobre la secuencia de comprobaciones y la lógica de omisión de usuarios.

Pruebas de resistencia de la protección

Después de la integración, asegúrate de que el sistema realmente proteja el sitio contra acciones automatizadas.

Intente solicitar la página sin cookies especiales: el usuario debería caer en la waiting room.

Pruebe volver a entrar con las cookies ya establecidas: el usuario debería evitar la cola y acceder al contenido principal.

Realice pruebas de carga (por ejemplo, con k6 o JMeter) con una alta tasa de solicitudes: la página de waiting room debe mostrarse correctamente y el servidor de la cola debe permanecer estable.

Verifique la reacción del servidor ante cookies/tokens caducados o incorrectos. El resultado esperado es que el usuario vuelva a caer en la página de espera.

Consejos de seguridad y optimización

Configure las reglas de la cola y el TTL de los tokens según el nivel de carga y los riesgos

Configure las reglas de la cola y el TTL de los tokens según el nivel de carga y los riesgos

Almacene todos los secretos (por ejemplo, claves de firma de tokens) solo en el servidor

Almacene todos los secretos (por ejemplo, claves de firma de tokens) solo en el servidor

Registre los eventos de la cola y el estado de paso para entender las razones por las que los usuarios caen en la waiting room y detectar falsos positivos.

Registre los eventos de la cola y el estado de paso para entender las razones por las que los usuarios caen en la waiting room y detectar falsos positivos.

Para mayor transparencia, añada enlaces a la <b>Política de Privacidad</b> y a los <b>Términos de Uso del sitio en las páginas de waiting room</b>.

Para mayor transparencia, añada enlaces a la Política de Privacidad y a los Términos de Uso del sitio en las páginas de waiting room.

Conclusión

Si has heredado un sitio web que ya tiene un captcha u otro sistema de protección instalado y no tienes acceso al código, no pasa nada. Identificar qué tecnología se está utilizando es bastante sencillo. Para comprobar que todo funciona correctamente, puedes usar el servicio de reconocimiento CapMonster Cloud en un entorno de pruebas aislado, para asegurarte de que el mecanismo de procesamiento de tokens y la lógica de verificación funcionan correctamente.

En el caso de Cloudflare Waiting Room, basta con detectar el sistema, analizar su comportamiento y confirmar que la protección funciona correctamente. En el artículo hemos mostrado cómo identificar Cloudflare Waiting Room y dónde encontrar las instrucciones para su integración o reconfiguración, de modo que puedas mantener la protección con confianza y controlar su funcionamiento.

Enlaces útiles

Documentación de Cloudflare Waiting Room →

Documentación de CapMonster Cloud (trabajo con Cloudflare Waiting Room) →

Qué es Cloudflare CAPTCHA y cómo resolverlo con CapMonster Cloud →

Cómo detecta Cloudflare el tráfico automatizado: protección del sitio contra bots →

La extensión de navegador de CapMonster Cloud está disponible para Chrome y Firefox. La guía completa de instalación y uso está disponible aquí.

Cloudflare Waiting Room y CapMonster Cloud

Cómo resolver Waiting Room a través de CapMonster Cloud

Cloudflare Waiting Room
y CapMonster Cloud