No pongas tu sitio detrás de Cloudflare si no lo necesitas

 (huijzer.xyz)
3 puntos por GN⁺ 2025-11-19 | 13 comentarios | Compartir por WhatsApp
  • Una gran caída de Cloudflare dejó varios sitios web inaccesibles, lo que muestra el problema del punto único de falla en los servicios centralizados
  • Muchos sitios pequeños y medianos usan Cloudflare, pero en la práctica a menudo no necesitan protección contra DDoS
  • Los blogs pequeños o sitios personales tienen pocas probabilidades de ser objetivo de ataques, así que solo generan una dependencia innecesaria
  • Si se busca estabilidad, se propone usar round-robin DNS para tener otro servidor como respaldo
  • Para mantener el principio de descentralización de la web, es importante no depender en exceso de servicios intermediarios como Cloudflare

La caída de Cloudflare y el problema del punto único de falla

  • Al momento de escribir (18 de noviembre, 12:43 UTC), ocurrió un caso en el que Cloudflare dejó fuera de servicio varios sitios
    • El autor menciona que, mientras navegaba por la web, encontró errores en cerca de la mitad de los sitios
  • Este incidente muestra que depender de un servicio centralizado crea un punto único de falla (single point of failure)
  • Incluso las grandes empresas pueden equivocarse o sufrir fallas, y su impacto puede ser muy amplio

Miedo excesivo a la protección contra DDoS

  • Muchas personas usan Cloudflare por miedo a los ataques DDoS
  • Sin embargo, la mayoría de los sitios pequeños solo tienen unos pocos miles de visitantes al mes, por lo que es poco probable que sean objetivo de ataques
  • Citando una expresión del sector de seguridad, se enfatiza que “nadie desperdicia un zero-day en ti”
    • Es decir, no hay razón para usar ataques avanzados contra un blog pequeño

La contradicción entre la web descentralizada y la dependencia de Cloudflare

  • Muchas personas defienden la importancia de una web descentralizada, pero en la práctica ponen sus sitios detrás de Cloudflare
  • Esto se señala como una actitud contradictoria
  • Cuando Cloudflare sufre una caída, esos sitios también quedan inaccesibles

Alternativa: redundancia con round-robin DNS

  • Para mejorar la estabilidad del servidor, se propone configurar un segundo servidor en otra ubicación y usar una configuración de round-robin DNS con
    registros A y AAAA
  • Así, incluso si un servidor se cae, el tráfico puede distribuirse al otro servidor

Mensaje principal

  • Es más importante la operación directa que tomar medidas de protección excesivas basadas en el miedo
  • Un sitio puede caerse temporalmente, pero se puede evitar una interrupción total causada por una falla de Cloudflare
  • En última instancia, exponer y administrar tu propio servicio directamente en Internet es una opción más recomendable

Lecturas relacionadas

13 comentarios

 
haytsir 2025-11-24

Incluso considerando otros DNS, incluidos proveedores locales, no hay ninguno que introduzca nuevas tecnologías tan rápido ni ofrezca una variedad de funciones comparable a Cloudflare.
Y eso sin que haya una diferencia de precio.
 
j2sus91 2025-11-20

Incluso los sitios pequeños son atacados,...
 
minsuchae 2025-11-20

Aunque estaría bien que hubiera una alternativa a Cloudflare, si no la hay realmente, yo creo que igual conviene usar Cloudflare.
Veo que otros también tienen una opinión parecida,
yo mismo, cuando ocurrió una caída real, llegué a preguntarme por los errores si realmente estaba funcionando bien, pero aun así al final desactivamos el proxy de DNS y cambiamos temporalmente la configuración para que el servicio siguiera funcionando, dejando el TTL de DNS en 1 minuto...
Es cierto que hace falta una alternativa, pero me parece que no usarlo en absoluto es una locura.
 
shakespeares 2025-11-20

jajajaja
 
colus001 2025-11-20

Parece más realista esperar la aparición de un competidor...
 
qpolsa95 2025-11-20

¿Qué tal en los casos en que se usa más para ocultar la IP real del servidor que por DDoS?
 
GN⁺ 2025-11-19
Comentarios en Hacker News

  • Incluso un blog pequeño con unas 100 visitas al mes puede recibir un ataque DDoS
    Si un atacante se lo propone, puede comprar un servicio de DDoS por unos pocos dólares, y el proveedor de hosting bajará el servidor
    Por eso escribo con una cuenta anónima. Decir que “como es un sitio pequeño, no pasa nada” no es una estrategia de seguridad

    • Me pregunto cuál sería mayor si se suman las caídas por DDoS y las caídas por fallas del CDN o de servicios externos
      Creo que no pasa nada grave si un sitio personal se cae un rato
    • Si es un blog personal, creo que es más importante eliminar complejidad y reducir costos
      Activar Cloudflare por adelantado se siente como una optimización prematura exagerada
    • El costo de que un blog esté offline unas horas es casi nulo
      Es mucho menor que lo que le costaría a alguien gastar unos dólares en hacer un DDoS
    • Si no estás detrás de un CDN, la IP del servidor queda expuesta, y salvo que el atacante no sea muy listo o no cambie la IP, es casi imposible defenderse
    • Antes di una opinión política y mi sitio de consultoría recibió un ataque DDoS
      Por eso ahora actúo bajo seudónimo. La gente es más malintencionada de lo que parece

  • Subir recursos estáticos a un CDN significa salir de un punto único de falla (SPOF)
    Prefiero que, cuando mi sitio se caiga, también se caiga junto con una gran empresa que tiene miles de ingenieros

    • Cuando hubo una caída de Cloudflare, el CEO dijo “reacciona”, pero no era algo en lo que un equipo pequeño fuera a gastar meses de recursos
      Según la escala, puede haber casos donde Cloudflare no sea necesario, pero hay que evaluar el valor frente al riesgo
    • Se reduce el SPOF técnico, pero la cultura o las políticas de la organización operativa pueden afectar a todo el sistema
      Usar Cloudflare es razonable para la mayoría, pero también genera una dependencia
    • Como el dicho de “nadie es despedido por elegir Oracle”, elegir Cloudflare da una sensación parecida
      Aun así, hoy resulta extraño aceptar las caídas como si fueran una especie de clima cibernético
    • Pasarle el problema a otro también es, en cierto sentido, una forma de resolverlo
    • Dejé Cloudflare desactivado por un tiempo y, de hecho, cuando Cloudflare se cayó, mi sitio siguió funcionando perfectamente
      En sitios pequeños casi no hay efecto de caché, así que la ventaja de rendimiento no es tan grande

  • Opero un sitio PHP con casi nada de tráfico, pero hay demasiado tráfico de bots
    Sin un CDN, el sitio no aguanta solo con caché local
    Antes, cuando un gran medio me mencionó a través de Fastly, también pude responder sin problemas gracias al CDN

    • Para dejar de depender de servicios como Cloudflare, es indispensable controlar scrapers y bots
      Pero en la práctica es casi imposible. Incluso si hubiera regulación, podría terminar siendo peor

  • Incluso para sitios pequeños como el nuestro, sin Cloudflare hay demasiadas solicitudes maliciosas
    Sin filtrado, la analítica queda hecha un desastre y también surgen problemas al colaborar con socios comerciales
    Incluso durante caídas de Cloudflare, pudimos recuperarnos en menos de un minuto solo cambiando el DNS
    Cuesta pagarlo, pero estamos bastante satisfechos con el filtrado delante del balanceador de carga

    • Eso sí, si la IP de origen queda expuesta, pueden aumentar los ataques directos
      Aunque se bloqueen con firewall, igual consumen recursos de CPU

  • Cloudflare es gratis y configurarlo es muy sencillo
    No veo por qué no usarlo. Parece que el autor no entiende bien cuál es el papel de Cloudflare

    • Pero si todo el mundo usa Cloudflare, al final se profundiza la centralización de internet
      Cloudflare termina convirtiéndose en el árbitro del acceso a internet
    • Esta centralización preocupa, pero para la mayoría de los usuarios la comodidad importa más
    • Personalmente prefiero la descentralización, pero usar Cloudflare para aprender es una buena experiencia
    • Quejarse exageradamente con algo como “una vez cada 3 años, se cae 3 horas” no tiene mucho sentido
    • En Alemania, a veces pasa que más de la mitad de los sitios con Cloudflare no son accesibles durante la noche

  • Mi servidor suele sufrir tráfico masivo de Facebook, Azure y OpenAI
    Lo bloqueo con reglas de Cloudflare, pero a veces también hay DDoS desde China o Rusia
    Me pregunto si habrá alguna forma de reemplazar a Cloudflare para manejar reglas tan complejas

    • A principios de los 2000 mi sitio apareció en Slashdot y quedó “slashdotted”, pero no hubo degradación del rendimiento
      A veces me pregunto si los servidores de hoy no serán demasiado débiles
    • Las solicitudes del gptbot de OpenAI llegan sin parar
    • Otros CDN tienen una superficie de ataque menor, pero precisamente por eso son menos objetivo
    • También hubo una reacción cínica diciendo que el mercado ya decidió

  • Puedes usar Cloudflare, pero no deberías poner el registrador DNS en Cloudflare
    A nosotros también nos pasó que, como el registrador estaba en Cloudflare, quedamos temporalmente bloqueados y fue difícil recuperarnos
    Es mejor separar el DNS, el dominio y el proveedor de infraestructura

    • Pero hoy en día incluso los registradores y proveedores de DNS suelen usar Cloudflare como protección
    • Una caída del proveedor de DNS también es un factor de riesgo. El autoalojamiento trae otros costos y problemas

  • Las caídas regionales relacionadas con Cloudflare a menudo fueron por problemas de BGP
    Hay más información en el blog de Cloudflare y en la discusión en HN
    Para la mayoría de los sitios, probablemente sea mejor usar Cloudflare, pero considerando los DDoS impredecibles, no hay una respuesta definitiva

    • A la afirmación de que para la mayoría de los sitios es mejor usar Cloudflare le falta sustento
      Me pregunto con qué criterio se define ese “la mayoría”
    • Un solo DDoS no te destruye. También puedes activar Cloudflare después cuando haga falta
    • Cloudflare provoca centralización y violaciones de privacidad
      Hay que recordar el incidente de filtración de datos de 2017

  • Yo expongo varios proyectos desde un servidor en casa usando Cloudflare tunnel
    Como mi ISP no ofrece IP fija, puedo evitar el DNS dinámico y tampoco necesito abrir puertos
    Se encarga de caché, limitación de velocidad y bloqueo de bots casi sin configuración, así que es muy conveniente

  • Ahora Cloudflare ya no se siente como “el internet real”, sino más bien como una enorme intranet privada

    • Me pregunto qué regulación tiene Cloudflare y si realmente hay protección de la privacidad
      Si le dejas el SSL, me preocupa si puede ver los paquetes y si coopera con agencias gubernamentales
      Es lamentable que el modelo distribuido de internet se haya centralizado en Cloudflare o en las redes sociales
      La discusión sobre la federación da algo de esperanza, pero ahora mismo es una época difícil para proteger la autonomía y la privacidad
 
eoeoe 28 일 전

Incluso con un sitio pequeño, de apenas unas decenas de visitantes, ya me tocó recibir un DDoS, snif.
 
wedding 2025-11-20

Eso es como decir que, por miedo a los gusanos, no vas a hacer pasta de soya.
 
youknowone 2025-11-20

Los sitios pequeños normalmente no se ven muy afectados en su operación por un tiempo de inactividad del nivel de que Cloudflare se caiga...
 
mstorm 2025-11-20

Como los trenes o los autobuses son peligrosos, mejor anda caminando. Esa es la idea.
 
t7vonn 2025-11-20

Yo lo voy a seguir usando.
 
yangeok 2025-11-20

Yo también ^^