Cloudflare es conocido por su CDN y sus optimizaciones de velocidad, pero su capa de seguridad es igualmente potente y, en muchos casos, incluso más valiosa. Un certificado SSL mal configurado, un ataque DDoS inesperado o un bot que martillea tu login pueden tumbar tu web o comprometer tus datos.
Como dato interesante para entender la potencia de la capa de seguridad que ofrece Cloudflare, su red detuvo en 2025 el ataque DDoS más grande producido hasta la fecha, llegando hasta un pico de 31,4TB/s. Si quieres leer más información sobre esto, tienen una publicación en su blog donde lo explican con detalle.
En esta tercera entrega cerramos la serie configurando la seguridad de Cloudflare paso a paso. Desde el SSL (que es donde más errores vemos desde nuestro datacenter) hasta el firewall y la protección contra bots.
La configuración de SSL/TLS es uno de los ajustes más importantes en Cloudflare. Una configuración incorrecta puede exponer tráfico sin cifrar o generar bucles de redirección que impidan el acceso al sitio.
Cloudflare ofrece cuatro modos de cifrado SSL/TLS:
Como resumen, utiliza siempre el modo Completo (estricto), ya que incluso si no dispones de un certificado emitido por una CA, puedes utilizar uno gratuito emitido por Cloudflare.
Cloudflare, como se ha comentado, ofrece un certificado de origen gratuito para instalar en tu servidor, válido hasta 15 años y apto para la comunicación entre Cloudflare y tu servidor. Si se intenta conectar directamente al servidor, aparecerá un error de certificado no válido.
Para poder generarlo, ve a SSL/TLS > Servidor de origen > Crear certificado, te saldrá un formulario como el siguiente:
Puedes elegir si utilizar RSA (2048 bits) o ECC, siendo ECC la opción más segura y RSA la más compatible incluso con servidores antiguos. También puedes configurar la validez del certificado, pero si configuras una duración más corta, tendrás que acordarte de renovarlo a tiempo.
En SSL/TLS > Certificados de perímetro, activa la opción "Usar siempre HTTPS". Esto redirige cualquier petición HTTP a HTTPS con un código 301 sin necesidad de tener que configurarlo en el servidor.
HSTS (HTTP Strict Transport Security) le indica al navegador que el sitio web siempre utiliza HTTPS para que el navegador no realice peticiones HTTP contra el sitio web.
Actívalo cuando estés completamente seguro de que toda tu web está funcionando correctamente en HTTPS, puesto que muchas veces hay contenido mixto (como imágenes) que está en HTTP y al activar HSTS no cargará este contenido, mostrando mal la web.
ECH es una tecnología de seguridad basada en el estándar de TLS que protege la privacidad de las conexiones HTTPS ocultando la información sensible que normalmente se envía en el Client Hello, como el nombre del dominio solicitado (Server Name Indication).
Tradicionalmente, aunque el contenido del tráfico esté cifrado, el nombre del sitio web puede quedar visible para proveedores de red o intermediarios; con ECH, esa información también se cifra, dificultando la inspección, el bloqueo selectivo o la vigilancia del tráfico.
Todos los planes de Cloudflare, incluido el gratuito, incluyen protección DDoS (Distributed Denial of Service) automática. La red global de Cloudflare (con más de 300 puntos de presencia y una capacidad de más de 200 Tbps) puede absorber ataques volumétricos masivos sin que tu servidor se entere. La mitigación es automática y suele activarse en menos de 3 segundos.
Para la mayoría de webs y tiendas online, esta protección es más que suficiente. No necesitas hacer nada: está activa por defecto.
El modo Under Attack (bajo ataque) es ideal para cuando tu web está sufriendo un ataque y notas degradación del servicio ya que, al activarlo, todas las peticiones son validadas mediante un desafío administrado de Cloudflare para comprobar si el usuario es un humano y darle acceso.
Este modo es efectivo contra ataques de capa 7 (protocolo HTTP), pero afecta a la experiencia de usuario por las verificaciones que tendrá que hacer. Úsalo como último recurso y desactívalo en cuanto haya cesado el ataque.
Lo encontrarás en el dashboard principal, abajo a la derecha, en el menú de Acciones Rápidas:
Las reglas de limitación de tasa te permiten limitar el número de peticiones que una dirección IP puede hacer a URLs específicas en un periodo de tiempo. Es útil para proteger:
Este tipo de reglas permiten una gran combinación de condiciones, por si queremos lograr hacer un ajuste fino. Con el plan gratuito viene una regla, si quisieramos más reglas tendríamos que ampliar a un plan de pago, por ello es ideal configurar este tipo de regla de forma que se le pueda sacar provecho.
El WAF (Web Application Firewall) gestionado de Cloudflare incluye miles de reglas predefinidas que protegen contra ataques conocidos: inyección SQL (SQLi), cross-site scripting (XSS), ejecución remota de código (RCE) y muchos más. Estas reglas se actualizan continuamente por el equipo de seguridad de Cloudflare.
El WAF gestionado solo está disponible en planes Pro (20 €/mes) y superiores. Para tiendas online o webs que manejan datos sensibles, la inversión suele merecer la pena.
Cloudflare permite también configurar reglas de seguridad basándose en parámetros de capa 7, pudiendo filtrar por muchos parámetros para rechazar (o permitir en algunos casos) peticiones. Algunos ejemplos prácticos pueden ser:
En la siguiente captura se puede ver un ejemplo de implementación de las reglas previamente comentadas, poniendo el caso de no disponer de una dirección IP estática:
Es importante saber que el plan gratuito dispone de 5 reglas personalizadas, mientras que el plan Pro permite 20 reglas, por lo que en este aspecto, si quieres personalizar bastante el tráfico permitido, sería recomendable lanzarse a por la suscripción Pro.
Esta es una pequeña joya de CloudFlare que lo hace casi imprescindible hoy día. Cloudflare distingue entre bots buenos (Googlebot, Bingbot, ChatGPT-User, etc.) y bots maliciosos (scrapers, spammers, herramientas de ataque). Super Bot Fight Mode, disponible incluso en el plan gratuito, bloquea automáticamente los bots que Cloudflare identifica como definitivamente automatizados y maliciosos.
Activa Super Bot Fight Mode en Seguridad > Modo Super Bot Fight. Configura la acción para el "Tráfico definitivamente automatizado" como Bloquear.
⚠️ Cuidado con las integraciones
Es importante configurar reglas personalizadas de exclusión para las integraciones y automatizaciones externas, ya que es muy probable que puedan ser bloquedas por el modo Super Bot Fight por el camino. Por ejemplo: integraciones con ERP, pasarelas de pago, plataformas de marketing, etc.
En SSL/TLS > Certificados de perímetro , establece la versión mínima de TLS en 1.2. Las versiones TLS 1.0 y 1.1 están oficialmente obsoletas y tienen vulnerabilidades conocidas. Prácticamente todos los navegadores modernos soportan TLS 1.2 y 1.3.
Para activar TLS 1.3, hay un apartado llamado así debajo de la opción de versión mínima.
El cifrado oportunista permite que navegadores que soporten HTTP/2 accedan a tu sitio por HTTPS incluso si acceden por un enlace HTTP.
Cloudflare permite ofuscar a los bots las direcciones de correo electrónico que aparecen en la web. Los usuarios reales las verán sin problema.
La protección Hotlink impide que otros sitios web muestren imágenes alojadas en tu servidor enlazándolas directamente, evitando un consumo de ancho de banda mayor.
Ambas opciones pueden activarse desde Seguridad > Configuración.
Con este tercer post cerramos la serie sobre Cloudflare en sus servicios básicos. Recapitulemos: en el Post I configuramos el dominio en Cloudflare. En el Post II optimizamos el rendimiento (caché, minificación, imágenes). En este Post III hemos blindado la seguridad (SSL, DDoS, firewall, bots).
Y esto es sólo una pequeña parte de todo lo que ofrece Cloudflare y que iremos viendo en otras entradas. Cloudflare es una herramienta extraordinariamente potente, pero es un complemento del hosting, no un sustituto. La mejor configuración de Cloudflare del mundo no compensa un servidor lento o mal mantenido. La seguridad real se construye en capas: servidor bien configurado + Cloudflare optimizado = una web rápida, segura y fiable.
La seguridad web empieza en el servidor y se refuerza con Cloudflare. En sys4net configuramos ambas capas. Pide un diagnóstico de seguridad sin compromiso.