C402 · OPEN STANDARD · 2026

C402 PROTOCOL SPECIFICATION PUBLISHED

El protocolo c402 ya es un estandar abierto. HTTP 402 + Wompi + Redis para pagos machine-to-machine en Colombia y LATAM. Sin crypto, sin blockchain, sin gas fees. Spec disponible en docs/c402/PROTOCOL.md bajo licencia CC-BY-SA 4.0.

2026-05-15·10 min de lectura·OPEN STANDARDC402CC-BY-SA 4.0

El 15 de mayo de 2026, publicamos la especificacion formal del protocolo c402 como estandar abierto bajo licencia CC-BY-SA 4.0. La spec define como implementar pagos machine-to-machine usando HTTP 402 Payment Required en America Latina, con pesos colombianos (COP) via Wompi, un ledger en Redis, y seguridad SHA-256.

Esto convierte a Pequi en la primera implementacion de referencia del protocolo HTTP 402 para mercados emergentes. No necesitas crypto. No necesitas blockchain. Solo HTTP, Wompi y Redis.

Ya habiamos publicado una introduccion a c402 anteriormente: c402: Pagos Automaticos para IA sin Crypto -- Protocolo Colombiano. Ese articulo cubre el diseno original, la motivacion y los casos de uso. Esta publicacion se enfoca en la especificacion formal como estandar abierto.

QUE ES C402

c402 es un protocolo que permite a maquinas (AI agents, scripts, microservicios) pagarse entre si por llamadas API, usando el codigo HTTP 402 Payment Required que existe desde 1999 pero nunca se estandarizo para uso practico.

En 2025, Coinbase lanzo x402 — el primer protocolo HTTP 402 funcional, usando USDC en blockchain. En abril de 2026, la Linux Foundation lo adopto como estandar abierto. Pero x402 tiene una barrera para Latinoamerica: usa crypto wallets. En Colombia, el 98% de los pagos digitales pasan por PSE, Nequi o Bancolombia.

c402 adapta el mismo patron para la region: HTTP 402 + Wompi (Colombian payment gateway) + Redis ledger. Sin crypto, sin wallets, sin gas fees. Pesos colombianos, PSE, Nequi, tarjeta de credito.

QUE INCLUYE LA SPEC

La especificacion formal cubre 10 secciones y esta disponible en el repositorio de Pequi:

SPEC: docs/c402/PROTOCOL.md

────────────────────────────────────────────────────

1. Motivation — porque HTTP 402, porque Colombia

2. Protocol Overview — diagrama de flujo completo

3. HTTP Headers — X-402-Challenge, Payment-Id, Nonce

4. Payment Verification — SHA-256, timingSafeEqual

5. Credit Model — prepago, DECR atomico, packs

6. Security Properties — matriz de 7 ataques

7. Error Codes — 402 vs 429 vs 409

8. Implementations — referencia Pequi + como adaptar

9. Comparison — vs x402, vs billing tradicional

10. License — CC-BY-SA 4.0

Tambien incluimos ejemplos funcionales en curl, Python y TypeScript en la carpeta docs/c402/examples/.

ECOSISTEMA C402

c402 no es solo un protocolo de pagos. Es la base de un ecosistema donde:

Developers — acceden a datos estructurados y pagan solo por lo que usan. Sin suscripcion fija, sin compromiso.
AI agents — Claude Desktop, LangChain, ChatGPT pueden consumir APIs autonomamente via HTTP 402. Sin intervencion humana.
Fintechs colombianas — pueden implementar el mismo protocolo para sus propias APIs, usando Wompi o cualquier procesador local.
La region — gana un estandar de pagos machine-to-machine que no depende de infraestructura crypto extranjera.

C402 vs X402 vs BILLING TRADICIONAL

Aspecto	c402	x402 (Coinbase)	Tradicional
Moneda	COP (fiat local)	USDC (crypto)	USD (tarjeta)
Pago	PSE, Nequi, tarjeta	Crypto wallet	Tarjeta credito
Gas fees	$0	$0.01-$0.50	2.9% + $0.30
AI agent	Si HTTP 402	Si HTTP 402	No formularios
Latencia	~50ms (Redis)	~5-60s (blockchain)	~200ms
Settlement	Instantaneo	1-60 min	24-48h

COMO IMPLEMENTAR C402

Si tienes una API y quieres agregar soporte c402, los pasos son:

Implementa el header de respuesta X-402-Challenge cuando el FREE tier se exceda.
Genera nonces UUID v4 con Redis SET NX EX 1800 (30 min TTL).
Integra con tu procesador de pagos local (Wompi, Mercado Pago, etc.).
Verifica webhooks con SHA-256 + timingSafeEqual.
Implementa deduccion atomica de creditos con Redis DECR + post-check.
Almacena paid:{nonce} en Redis con TTL 24h para idempotencia.

La spec completa incluye ejemplos funcionales en curl, Python y TypeScript. La implementacion de referencia de Pequi esta en lib/c402/ (6 archivos, ~400 lineas total).

SEGURIDAD: POR QUE NO NECESITAMOS BLOCKCHAIN

MATRIZ DE SEGURIDAD C402

──────────────────────────────────────────────────────────────

Ataque Mitigacion Estado

──────────────────────────────────────────────────────────

Replay (reusar nonce) Redis SET NX EX 1800 [OK]

Forgery (fingir pago) SHA-256 + timingSafeEqual [OK]

Double-spend Redis paid:{id} EX 86400 [OK]

Race condition DECR atomico + post-check [OK]

Nonce brute force UUID v4 (122 bits entropia) [OK]

API key theft Rate limiting + alertas [OK]

Webhook replay SHA-256 signature verificada [OK]

La seguridad de c402 no viene de blockchain. Viene de criptografia estandar que ya existe en produccion. No introducimos ningun nuevo primitivo criptografico.

PREGUNTAS FRECUENTES

DONDE PUEDO VER LA SPEC?

En el repositorio de Pequi: docs/c402/PROTOCOL.md. Tambien incluimos ejemplos funcionales en curl, Python y TypeScript en la carpeta docs/c402/examples/. La spec completa tiene 336 lineas y cubre 10 secciones.

PUEDO USAR C402 EN MI API?

Si. La spec esta bajo licencia CC-BY-SA 4.0. Puedes implementarla en tu API siempre que des credito a los autores y compartas tus mejoras bajo la misma licencia. Se requieren: un servidor Redis, un procesador de pagos con webhooks, y capacidad de generar UUID v4.

NECESITO WOMPI PARA USAR C402?

La implementacion de referencia usa Wompi, pero el protocolo es agnostico del procesador de pagos. Puedes adaptarlo a Mercado Pago, Stripe, o cualquier gateway que soporte webhooks con firma HMAC o SHA-256.

C402 VS X402: CUAL ES LA DIFERENCIA?

Ambos usan HTTP 402, pero x402 usa USDC en blockchain y c402 usa pesos colombianos via Wompi. c402 esta disenado para mercados donde el crypto no es practico. La latencia es 1000x menor (50ms vs 5-60s). No hay gas fees, no hay wallets, no hay volatilidad cambiaria.

LISTO PARA IMPLEMENTAR C402?

La especificacion completa, ejemplos funcionales y la implementacion de referencia estan disponibles. La API de Pequi es gratis para empezar con 150 requests/dia. Cuando necesites mas, compra creditos prepago via PSE o Nequi.

{VER SPEC}{VER PRECIOS}{DOCUMENTACION}

COMPARTE Y GANA

Comparte este articulo en redes sociales y gana 50 creditos gratis por cada comparticion (hasta 3 por dia). Los creditos se usan para consultar la API de Pequi.

Inicia sesion para reclamar tus creditos al compartir.

Pequi -- xpequi.xyz -- Ibague + Bogota + proximamente toda Colombia

c402: protocolo abierto colombiano. Licencia CC-BY-SA 4.0. Sin crypto. Sin blockchain. Solo HTTP, Wompi y Redis.