Suscríbete para recibir notificaciones de nuevas publicaciones:

Políticas y enfoque de Cloudflare contra el abuso

31/08/2022

11 min de lectura

Cloudflare comenzó su andadura hace casi doce años. Hemos crecido hasta operar una red que abarca más de 275 ciudades en más de 100 países. Tenemos millones de clientes, desde pequeñas empresas y desarrolladores particulares hasta aproximadamente el 30 % de las empresas incluidas en la lista Fortune 500. Hoy día, más del 20 % de los sitios web dependen directamente de los servicios de Cloudflare.

Desde nuestros inicios, nuestro conjunto de servicios ha ganado en complejidad. Con ello en mente, hemos desarrollado políticas sobre cómo hacemos frente al abuso de las diferentes funciones de Cloudflare. Al igual que una plataforma amplia como Google tiene diferentes políticas de abuso para las funciones de búsqueda, Gmail, YouTube y Blogger, Cloudflare ha desarrollado diferentes políticas en materia de abuso conforme hemos ido incorporando nuevos productos.

Publicamos nuestro enfoque actualizado en materia de abuso el año pasado en:

https://www.cloudflare.com/trust-hub/abuse-approach/

Sin embargo, como han surgido algunas dudas, hemos pensado que tenía sentido describir esas políticas con más detalle aquí.

Las políticas que hemos elaborado reflejan ideas y recomendaciones de expertos en derechos humanos, activistas, académicos y organismos reguladores. Nuestros principios rectores exigen que las políticas en materia de abuso sean específicas para el servicio que se utiliza. De esta forma nos aseguramos que cualquier medida que adoptemos refleja la capacidad de abordar los efectos causados y minimizar las consecuencias no deseadas. Creemos que alguien que desee notificar un abuso debe tener acceso a un proceso que le permita contactar con quienes puedan dar una respuesta más específica y eficaz a su denuncia, de forma anónima si es necesario. Y, lo que es más importante, nos esforzamos por ser siempre transparentes tanto en nuestras políticas como en las medidas que adoptamos.

Nuestros productos

Cloudflare ofrece una amplia gama de productos que, en general, se dividen en tres categorías: productos de alojamiento (p. ej. Cloudflare Pages, Cloudflare Stream, Workers KV, páginas de error personalizadas), servicios de seguridad (p. ej. mitigación de DDoS, firewall de aplicaciones web, Cloudflare Access, limitación de velocidad) y servicios de tecnología de Internet (p. ej. DNS autoritativo, DNS recursivo / 1.1.1.1, WARP). Para obtener una lista completa de nuestros productos y su correspondencia con estas categorías, puedes consultar nuestro Centro de abuso.

Como se describe a continuación, nuestras políticas adoptan un enfoque diferente producto por producto en cada una de estas categorías.

Productos de alojamiento

Los productos de alojamiento son aquellos para los que Cloudflare es la plataforma de alojamiento definitiva del contenido. Se diferencian de los productos para los que simplemente ofrecemos servicios de seguridad o almacenamiento temporal en la caché y el contenido se aloja en otro lugar. Si bien mucha gente confunde nuestros productos de seguridad con los servicios de alojamiento, tenemos políticas claramente diferentes para cada uno de ellos. Debido a que la gran mayoría de los clientes de Cloudflare aún no utilizan nuestros productos de alojamiento, las denuncias y acciones de abuso relacionadas con estos productos son relativamente infrecuentes.

Nuestra decisión de deshabilitar el acceso al contenido de los productos de alojamiento impide el acceso de ese contenido en línea, al menos hasta que se vuelva a publicar en otro lugar. Los productos de alojamiento están sujetos a nuestra política de alojamiento de uso aceptable, en virtud de la cual, podemos eliminar o inhabilitar el acceso al contenido para estos productos si consideramos que:

  • Contiene, muestra, distribuye o fomenta la creación de material de abuso sexual infantil, o explota o promueve de cualquier otro modo la explotación de menores.
  • Infringe los derechos de propiedad intelectual.
  • Se ha determinado mediante un procedimiento legal apropiado que es difamatorio o injurioso.
  • Contribuye a la distribución ilegal de sustancias controladas.
  • Facilita el tráfico de personas o la prostitución infringiendo la ley.
  • Contiene, instala o difunde cualquier tipo de malware activo, o utiliza nuestra plataforma para la difusión de vulnerabilidades (como parte de un sistema de mando y control).
  • Es ilegal, peligroso o vulnera los derechos de otros, incluido el contenido que revela información personal confidencial, incita o explota la violencia contra personas o animales, o intenta estafar al público.

Mantenemos la discreción en cuanto a la aplicación de nuestra política de alojamiento de uso aceptable y, por lo general, tratamos de aplicar las restricciones de contenido de la forma más estricta posible. Por ejemplo, si una plataforma de carritos de la compra con millones de clientes utiliza Cloudflare Workers KV y uno de sus clientes infringe nuestra política de alojamiento de uso aceptable, no cancelaremos automáticamente el uso de Cloudflare Workers KV para toda la plataforma.

Nuestro principio rector es que las organizaciones más cercanas al contenido son las que mejor pueden determinar cuándo es inapropiado. También reconoce que la eliminación excesiva de contenido puede tener un efecto indeseado importante sobre el acceso al contenido en línea.

Seguridad

La inmensa mayoría de los millones de clientes de Cloudflare utilizan únicamente nuestros servicios de seguridad. Cloudflare tenía claro desde el principio el deseo de que todas las herramientas de seguridad fueran lo más accesibles posible, de ahí que ofreciéramos muchas herramientas de forma gratuita, o a un coste mínimo, para limitar de la mejor manera posible el impacto y la eficacia de una amplia gama de ciberataques. La mayoría de nuestros clientes no nos pagan nada.

Ofrecer a todo el mundo la posibilidad de contratar nuestros servicios en línea también refleja nuestra opinión de que los ciberataques no solo no deben ser un medio para silenciar a los grupos vulnerables, sino que no son el mecanismo adecuado para abordar los contenidos inapropiados en línea. Creemos que los ciberataques, en cualquiera de sus formas, deben quedar relegados al cajón del olvido.

La decisión de ofrecer herramientas de seguridad de forma tan amplia nos ha obligado a recapacitar sobré cuándo debemos interrumpir el acceso a estos servicios, o si lo haremos. Reconocimos que teníamos que pensar en cuál sería la repercusión de una interrupción, y si había alguna manera de establecer normas que se pudieran aplicar de manera justa, transparente y no discriminatoria, en consonancia con los principios de los derechos humanos.

Y ello no solo en razón del contenido objeto de una posible denuncia, sino también del precedente que podría sentar una interrupción. Nuestra conclusión, precedida por las conversaciones que hemos mantenido y el debate reflexivo en la comunidad en general, es que la interrupción voluntaria del acceso a los servicios que protegen contra los ciberataques no es el enfoque correcto.

Evitar el abuso de poder

Algunos sostienen que deberíamos interrumpir estos servicios a contenidos que consideramos censurables para que otros puedan lanzar ataques que impidan su acceso en línea. En el mundo físico, este argumento es similar a la afirmación de que los bomberos no deberían responder al incendio en la vivienda de una persona que no tenga consideración moral suficiente. Ya sea en el mundo físico o en línea, se trata de un precedente peligroso que, a largo plazo, puede perjudicar de forma desproporcionada a las comunidades vulnerables y marginadas.

Hoy día, más del 20 % de los sitios web utilizan los servicios de seguridad de Cloudflare. A la hora de considerar nuestras políticas, debemos ser conscientes del impacto que tenemos y del precedente que sentamos para Internet en su conjunto. Interrumpir los servicios de seguridad para el contenido que nuestro equipo considera reprobable e inmoral sería la opción popular. Pero, a largo plazo, estas opciones dificultan la protección de los contenidos que defienden las voces acalladas y marginadas de los ataques.

Revisamos nuestra política sobre la base de la experiencia adquirida

No es hipotético. Miles de veces al día recibimos llamadas para que demos de baja servicios de seguridad debido a contenidos que alguien denuncia como ofensivos. La mayoría no son noticia. Generalmente, estas decisiones no son incompatibles con nuestras opiniones morales. Sin embargo, en dos ocasiones en el pasado decidimos retirar contenido de nuestros servicios de seguridad por considerarlo censurable. En 2017, cerramos el sitio neonazi The Daily Stormer y, en 2019, interrumpimos el foro de teorías conspirativas 8chan.

La respuesta a ambas interrupciones fue muy preocupante, tal y como demostró el aumento asombroso que observamos en los regímenes autoritarios que intentaban que suspendiéramos los servicios de seguridad de las organizaciones de derechos humanos utilizando nuestros mismos argumentos.

Estas decisiones abrieron importantes debates con responsables políticos de todo el mundo. La conclusión fue que el poder de interrumpir los servicios de seguridad para los sitios no era un poder que Cloudflare debería tener. No porque el contenido de esos sitios no fuera reprobable, que lo era, sino porque los servicios de seguridad se asemejan más a los servicios públicos de Internet.

Al igual que una compañía telefónica no cancela tu línea si dices cosas horribles, racistas e intolerables, hemos llegado a la conclusión, tras consultar con políticos, responsables de la formulación de políticas y expertos, de que desconectar los servicios de seguridad porque pensamos que lo que publicas es despreciable es una política equivocada. Para ser claros, el hecho de que lo hayamos hecho antes en pocos casos no significa que tuviéramos razón cuando lo hicimos, ni que vayamos a volver a hacerlo.

Sin embargo, eso no significa que Cloudflare no pueda desempeñar un papel importante en la protección de aquellos que son blanco de terceros en Internet. Llevamos mucho tiempo apoyando a grupos de derechos humanos, periodistas y otras entidades especialmente vulnerables en línea a través del proyecto Galileo, que ofrece servicios gratuitos de ciberseguridad a organizaciones sin ánimo de lucro y grupos activistas que ayudan a potenciar nuestras comunidades.

A través del proyecto Athenian, también desempeñamos un papel en la protección de los sistemas electorales en Estados Unidos y en el extranjero. Las elecciones son uno de los ámbitos en los que los sistemas que las administran deben ser sumamente fiables y neutrales. Tomar decisiones sobre qué contenidos merecen o no servicios de seguridad, sobre todo en cualquier forma que pudiera interpretarse como política, socavaría nuestra capacidad de proporcionar una protección fiable de la infraestructura electoral.

Realidad normativa

Nuestras políticas también responden a realidades normativas. Las leyes de regulación de contenidos de Internet aprobadas en los últimos cinco años en todo el mundo han trazado en gran medida una línea divisoria entre los servicios que alojan contenidos y los que prestan servicios de seguridad y enrutamiento. Incluso cuando estas normativas imponen a las plataformas o a los proveedores de alojamiento la obligación de moderar los contenidos, eximen a los servicios de seguridad y enrutamiento de desempeñar el papel de moderadores sin un procedimiento judicial. Se trata de una regulación sensata, fruto de un proceso normativo exhaustivo.

Nuestras políticas obedecen esta meditada directriz normativa. Evitamos que organizaciones y personas objeto de sanciones utilicen los servicios de seguridad. También interrumpimos los servicios de seguridad para el contenido que es ilegal en los Estados Unidos, donde Cloudflare tiene su sede. Se incluye el material de abuso sexual infantil (CSAM), así como el contenido sujeto a la Ley de lucha contra la explotación sexual en línea (FOSTA). Pero, por lo demás, creemos que los ciberataques son algo que nadie debería sufrir, aunque no estamos de acuerdo con el contenido.

Por respeto al Estado de derecho y al procedimiento reglamentario, cumplimos con los procesos jurídicos que controlan los servicios de seguridad. Restringiremos los contenidos en las zonas geográficas en las que hayamos recibido una orden judicial para hacerlo. Por ejemplo, si el tribunal de un país prohíbe el acceso a ciertos contenidos, entonces, en cumplimiento de la orden de ese tribunal, generalmente restringiremos el acceso a esos contenidos en ese país. Esto, en muchos casos, limitará la capacidad de acceso al contenido en el país. Sin embargo, reconocemos que el hecho de que un contenido sea ilegal en una jurisdicción no significa que lo sea en otra, por lo que adaptamos estas restricciones a la jurisdicción del tribunal o autoridad legal.

Si bien nos adherimos a los procedimientos judiciales, también creemos que la transparencia es de vital importancia. Por ello, siempre que se imponen estas restricciones de contenido, intentamos vincular la orden judicial concreta que exigió la restricción del contenido. Esta transparencia es necesaria para que la gente participe en los procedimientos jurídicos y normativos. Nos parece muy preocupante que los proveedores de servicios de Internet cumplan con las órdenes judiciales mediante el enrutamiento con reglas de filtrado invisibles de contenidos, sin dar a quienes intentan acceder a ellos ninguna idea del régimen legal que los prohíbe. La ley puede restringir el contenido, pero la correcta aplicación del Estado de derecho requiere que quien lo restrinja sea transparente en cuanto a los motivos.

Servicios tecnológicos básicos de Internet

Si bien cumplimos, por lo general, las órdenes judiciales que exigen restringir los servicios de seguridad y enrutamiento, tenemos un listón más alto para los servicios tecnológicos de Internet como el DNS autoritativo, el DNS recursivo / 1.1.1.1, y WARP. El problema con estos servicios es que las restricciones sobre ellos son de naturaleza global. No es fácil restringirlos en una jurisdicción concreta, por lo que la ley más restrictiva se acaba aplicando a nivel global.

Por lo general, hemos impugnado o recurrido las órdenes judiciales que intentan restringir el acceso a estos servicios tecnológicos básicos de Internet, incluso cuando una sentencia solo aplica a nuestros clientes suscritos al plan gratuito. Al hacerlo, intentamos sugerir a los organismos reguladores o a los tribunales formas más personalizadas de restringir los contenidos que les preocupan.

Desgraciadamente, estos casos son cada vez más frecuentes, ya que los titulares de propiedad intelectual intentan obtener una sentencia en una jurisdicción y hacer que se aplique en todo el mundo para poner fin a los principales servicios de tecnología digital y eliminar los contenidos de forma efectiva. Una vez más, creemos que este es un precedente peligroso, que deja el control de los contenidos permitidos en línea en manos de cualquier jurisdicción que esté dispuesta a ser la más restrictiva.

Por ahora, hemos logrado defender en gran medida que esta no es la forma correcta de regular Internet y hemos conseguido que se revoquen estos casos. Estamos convencidos de que seguir esta línea es fundamental para el buen funcionamiento de la red global de Internet. Sin embargo, cada muestra de discreción en nuestros servicios de seguridad o de tecnología básica de Internet debilita nuestros argumentos en estos casos importantes.

Servicios de pago vs. gratuitos

Cloudflare ofrece servicios gratuitos y de pago en todas las categorías mencionadas. De nuevo, la mayoría de nuestros clientes utilizan nuestros servicios gratuitos y no nos pagan nada.

Aunque la mayoría de las preocupaciones que observamos en nuestro procedimiento en materia de abuso hacen referencia a los clientes suscritos a nuestro plan gratuito, no tenemos políticas de moderación diferentes en función de si un cliente paga o no. Sin embargo, creemos que en los casos en los que nuestros valores son diametralmente opuestos a los de un cliente de pago, deberíamos tomar medidas adicionales no solo para no beneficiarnos del cliente, sino para utilizar lo recaudado para promover los valores de nuestra empresa y oponernos a los suyos.

Por ejemplo, cuando un sitio que se oponía a los derechos de LGBTQ+ se inscribió a un plan de pago del servicio de mitigación de DDoS, trabajamos con nuestro grupo de recursos para empleados de Proudflare para identificar una organización que apoyara los derechos de LGBTQ+ y donarles el 100 % de las tarifas de nuestros servicios. No hablamos ni hablaremos de este trabajo públicamente porque no lo hacemos con fines publicitarios, sino porque está alineados con lo que creemos que es moralmente correcto.

Estado de derecho

Si bien creemos que tenemos la obligación de restringir los contenidos que alojamos, no creemos que tengamos legitimidad política para determinar de forma general lo que está y no en línea, restringiendo la seguridad o los servicios básicos de Internet. Si ese contenido es peligroso, se tiene que restringir por vía legislativa.

También creemos que una red de Internet en la que se utilizan ciberataques para silenciar lo que está en línea es una red inservible, por mucho que sintamos empatía por los fines. Por ello, nos basaremos en los procesos judiciales, no en la opinión popular, para guiar nuestras decisiones sobre cuándo interrumpir a nuestros servicios de seguridad o a nuestros principales servicios de tecnología de Internet.

A pesar de lo que puedan afirmar algunos, no somos absolutistas de la libertad de expresión. Sin embargo, creemos en el Estado de derecho. Diferentes países y jurisdicciones de todo el mundo determinarán qué contenidos se permiten o no en función de sus propias normativas y leyes. En la evaluación de nuestras obligaciones, nos fijamos en si esas leyes se limitan a la jurisdicción y son coherentes con nuestras obligaciones de respetar los derechos humanos según los Principios Rectores de Empresas y DD.HH de la ONU.

Sigue habiendo muchas injusticias en el mundo y, por desgracia, muchos contenidos en línea que nos parecen censurables. Podemos resolver algunas de estas injusticias, pero no todas. Pero, en el proceso de mejorar la seguridad y el funcionamiento de Internet, tenemos que asegurarnos de no causar daños a largo plazo.

Seguiremos hablando sobre estos retos y sobre la mejor manera de abordar la seguridad de Internet global frente a los ciberataques. También seguiremos cooperando con las fuerzas de seguridad legítimas para ayudar a investigar los delitos, donar fondos y servicios para promover la igualdad, los derechos humanos y otras causas en las que creemos, y participar en la elaboración de políticas en todo el mundo para ayudar a preservar una red de Internet libre y abierta.

Protegemos redes corporativas completas, ayudamos a los clientes a desarrollar aplicaciones web de forma eficiente, aceleramos cualquier sitio o aplicación web, prevenimos contra los ataques DDoS, mantenemos a raya a los hackers, y podemos ayudarte en tu recorrido hacia la seguridad Zero Trust.

Visita 1.1.1.1 desde cualquier dispositivo para empezar a usar nuestra aplicación gratuita y beneficiarte de una navegación más rápida y segura.

Para saber más sobre nuestra misión para ayudar a mejorar Internet, empieza aquí. Si estás buscando un nuevo rumbo profesional, consulta nuestras ofertas de empleo.
EspañolAbuse (ES)Freedom of Speech (ES)Legal (ES)

Síguenos en X

Matthew Prince|@eastdakota
Cloudflare|@cloudflare

Publicaciones relacionadas

08 de marzo de 2024, 2:22

Log Explorer supervisa los eventos de seguridad sin almacenamiento de terceros

La eficacia conjunta de nuestros análisis de seguridad y Log Explorer permite a los equipos de seguridad analizar, investigar y supervisar los ataques a la seguridad de forma nativa en Cloudflare. De esta forma, conseguimos reducir el tiempo de resolución y el coste total de propiedad para nuestros...