Cada año, durante la Semana aniversario, lanzamos los productos y funciones que creemos que Internet necesita en ese momento y en el futuro cercano. Durante la Semana aniversario de años anteriores, lanzamos una gran variedad de soluciones, como la puerta de enlace IPv6 en 2011, Universal SSL en 2014, Cloudflare Workers y la protección contra DDoS ilimitada en 2017, Cloudflare Radar en 2020, el almacenamiento de objetos R2 sin tarifas de salida en 2021, las actualizaciones poscuánticas para Cloudflare Tunnel en 2022 y Workers AI y Encrypted Client Hello en 2023. Estos son tan solo algunos ejemplos.

Los temas de este año se han centrado en cómo podemos ayudar a preparar Internet para un nuevo modelo de monetización que fomente la publicación de contenido de calidad, un modelo que promueva más oportunidades para el desarrollo de una comunidad dentro y fuera de Cloudflare, así como misiones permanentes como poner más funciones a disposición de todos los usuarios y mejorar continuamente la velocidad y la seguridad de nuestras soluciones.

Este año hemos lanzado muchas novedades. Por si te has perdido las docenas de publicaciones del blog, aquí tienes un resumen de todas las novedades anunciadas durante la Semana aniversario 2025. 

Lunes, 22 de septiembre

Martes, 23 de septiembre

Miércoles, 24 de septiembre

Jueves, 25 de septiembre

Viernes, 26 de septiembre

Nuestra misión de ayudar a mejorar Internet siempre ha ido más allá de la tecnología. La comunidad de personas que forman los equipos que ayudan a mejorar Internet es tan importante para su futuro como los anuncios sobre becarios o sobre la colaboración en nuestras oficinas. Esta semana, hemos lanzado nuestro conjunto de iniciativas más ambicioso hasta la fecha con el objetivo de apoyar a los desarrolladores, fundadores de empresas y estudiantes que están creando el futuro.

Para los fundadores de empresas y startups, estamos encantados de dar la bienvenida al grupo n.º 6 a Workers Launchpad, nuestro programa acelerador que ofrece a las empresas en fase inicial los recursos que necesitan para crecer. Pero esto no es todo. Abrimos nuestras puertas, literalmente, lanzando nuevos centros físicos para startups en nuestras oficinas de San Francisco, Austin, Londres y Lisboa. Estos espacios ofrecerán acceso a asesoría, recursos y una comunidad de otros desarrolladores.

También estamos invirtiendo en la nueva generación de talento. Anunciamos el acceso gratuito a la plataforma para desarrolladores de Cloudflare disponible para todos los estudiantes, brindándoles las herramientas necesarias para aprender y experimentar sin límites. Asimismo, para facilitar la transición desde la etapa formativa al mundo laboral, hemos anunciado nuestro objetivo de contratar a 1111 becarios en 2026, nuestro mayor compromiso hasta la fecha para respaldar a los futuros líderes tecnológicos.

La mejora de Internet es para todos. Ampliamos nuestro apoyo a las organizaciones sin ánimo de lucro y de interés público, ofreciéndoles acceso gratuito a nuestras herramientas para desarrolladores en entornos de producción, para que puedan concentrarse en su misión.

Tanto si eres un fundador de una empresa y tienes una idea fantástica, como si eres un estudiante que acaba de empezar, o bien formas parte de un equipo que trabaja por una causa en la que crees, queremos ayudarte a tener éxito.

Queremos dar las gracias a nuestros clientes, a nuestra comunidad y a los millones de desarrolladores que confían en nosotros para ayudarles a desarrollar, proteger y acelerar Internet. Tu curiosidad y tus comentarios impulsan nuestra innovación.

Han sido 15 años increíbles. Y, como siempre: esto es solo el comienzo.

Estamos encantados de compartir una primera aproximación a cómo estamos integrando las funciones de IA en la gestión de los productos de Cloudflare que ya conoces y valoras. ¿Nuestra primera misión? Centrarnos en la seguridad y optimizar la experiencia de gestión de reglas y políticas. El objetivo es automatizar la tediosa tarea de revisar y contextualizar manualmente las reglas personalizadas en el WAF de Cloudflare, y las políticas de Gateway en Cloudflare One, para que puedas comprender al instante qué hace cada política, cuáles son sus vulnerabilidades y qué debes hacer para corregirlas.

Nuestro primer paso hacia una experiencia de producto totalmente habilitada para la IA es la introducción de Cloudy, la primera versión de los agentes de IA de Cloudflare, una funcionalidad similar a un asistente diseñada para ayudar a los usuarios a comprender y mejorar rápidamente sus configuraciones de Cloudflare en varias áreas del conjunto de productos. Empezarás a ver la funcionalidad de Cloudy perfectamente integrada en dos productos de Cloudflare en el panel de control, de los que hablaremos a continuación.

Aunque el nombre, Cloudy, pueda sonar divertido y desenfadado, nuestros objetivos son más serios: llevar Cloudy y la funcionalidad basada en la IA a todos los rincones de Cloudflare, y optimizar la forma en que nuestros usuarios operan y gestionan sus productos favoritos de Cloudflare. Empecemos con dos lugares donde Cloudy ya está disponible para todos los clientes que utilizan los productos WAF y Gateway.

Empecemos con una descripción general basada en la IA de las reglas personalizadas del WAF. Para aquellos que no estén familiarizados con el firewall de aplicaciones web (WAF) de Cloudflare, este ayuda a proteger las aplicaciones web contra ataques como la inyección de código SQL, el scripting entre sitios (XSS) y otras vulnerabilidades. 

Una función específica del WAF es la capacidad de crear reglas personalizadas del WAF. Estas permiten a los usuarios personalizar las políticas de seguridad para bloquear, desafiar o permitir el tráfico en función de atributos o criterios de seguridad específicos.

Sin embargo, para los clientes que tienen docenas o incluso cientos de reglas implementadas en su organización, puede ser difícil garantizar una visión clara de su postura de seguridad. Las configuraciones de reglas evolucionan con el tiempo, a menudo gestionadas por distintos miembros del equipo, lo que genera posibles ineficiencias y vulnerabilidades de seguridad. ¿Podría haber otro problema mejor que resolver para Cloudy?

Con la tecnología de Workers AI, hoy compartiremos cómo Cloudy te ayudará a revisar tus reglas personalizadas del WAF y te proporcionaremos un resumen de lo que está configurado en ellas. Cloudy también te ayudará a identificar y resolver problemas tales como:

• Identificar reglas redundantes: identifica cuándo varias reglas realizan la misma función, o utilizan campos similares, ayudándote a optimizar tu configuración.

• Optimización del orden de ejecución: detecta los casos en los que el orden de las reglas afecta a la funcionalidad, como cuando una regla de terminación (acción de bloqueo/desafío) impide la ejecución de reglas posteriores.

• Análisis de reglas en conflicto: detecta cuándo las reglas se contrarrestan entre sí, como cuando una regla bloquea el tráfico que otra regla está diseñada para permitir o registrar.

• Identificar reglas desactivas: destaca las reglas de seguridad potencialmente importantes que tienen un estado desactivado, lo que ayuda a garantizar que las protecciones críticas no han quedado accidentalmente inactivas.

Cloudy no solo resumirá tus reglas. También analizará las relaciones e interacciones entre las reglas para proporcionar recomendaciones prácticas. Para los equipos de seguridad que gestionan conjuntos complejos de reglas personalizadas, esto significa dedicar menos tiempo a auditar las configuraciones y más confianza en la cobertura de seguridad.

Disponibles para todos los usuarios, nos complace mostrar cómo los agentes de IA de Cloudflare pueden mejorar la facilidad de uso de nuestros productos, empezando por las reglas personalizadas del WAF. Pero esto es solo el principio.

También hemos añadido Cloudy a Cloudflare One, nuestra plataforma SASE, donde las empresas gestionan la seguridad de sus empleados y herramientas desde un único panel de control.

En Cloudflare Gateway, nuestra solución de puerta de enlace web segura, los clientes pueden configurar políticas para gestionar cómo los empleados hacen su trabajo en Internet. Estas políticas de Gateway pueden bloquear el acceso a sitios maliciosos, evitar violaciones de pérdida de datos y controlar el acceso de los usuarios, entre otras cosas.

Pero al igual que las reglas personalizadas del WAF, las configuraciones de las políticas de Gateway pueden complicarse en exceso y atascarse con el tiempo, con antiguas políticas olvidadas que hacen quién sabe qué. Selectores y operadores con funcionamientos contradictorios entre ellos. Algunos bloquean el tráfico, otros lo permiten. Políticas que incluyen varios grupos de usuarios, pero excluyen a empleados específicos. Incluso hemos visto políticas que bloquean cientos de URL en un solo paso. En resumen, la gestión de años de políticas de Gateway puede resultar abrumadora.

Entonces, ¿por qué no hacer que Cloudy resuma las políticas de Gateway de manera que su propósito sea claro y conciso?

Disponible para todos los usuarios de Cloudflare Gateway (crea una cuenta gratuita de Cloudflare One aquí), ahora Cloudy proporcionará un breve resumen de cualquier política de Gateway que consultes. Ahora es más fácil que nunca comprender claramente cada política de un vistazo, lo que permite a los administradores detectar configuraciones erróneas, controles redundantes u otras áreas de mejora, y avanzar con confianza.

La clave de nuestra nueva funcionalidad es Cloudflare Workers AI (sí, ¡la misma versión que utiliza todo el mundo!) que aprovecha los modelos avanzados de lenguaje de gran tamaño (LLM) para procesar grandes cantidades de información; en este caso, datos de políticas y reglas. Tradicionalmente, revisar y contextualizar manualmente configuraciones complejas es una tarea abrumadora para cualquier equipo de seguridad. Con Workers AI, automatizamos ese proceso, convirtiendo los datos de configuración sin procesar en resúmenes claros y coherentes y en recomendaciones prácticas.

Cloudflare Workers AI ingiere las configuraciones de políticas y de reglas de tu configuración de Cloudflare y las combina con una instrucción de LLM específicamente diseñada. Utilizamos los mismos modelos LLM disponibles públicamente que ofrecemos a nuestros clientes, y luego enriquecemos la instrucción con datos adicionales para darle el contexto. Para esta tarea específica de analizar y resumir los datos de políticas y de reglas, proporcionamos al LLM:

• Datos de políticas y reglas: son los propios datos primarios, incluida la configuración actual de las políticas/reglas que queremos que Cloudy resuma y para las que queremos que nos ofrezca sugerencias.

• Documentación sobre las capacidades del producto: proporcionamos al modelo detalles técnicos adicionales sobre las configuraciones de políticas y de reglas que son posibles con cada producto, para que el modelo sepa qué tipo de recomendaciones están dentro de sus límites.

• Conjuntos de datos enriquecidos: cuando las reglas personalizadas del WAF o las políticas de Gateway de Cloudflare One aprovechan otras "listas" (p. ej., una regla del WAF que hace referencia a varios países, una política de Gateway que aprovecha una categoría de contenido específica), los elementos de la lista seleccionados deben convertirse primero de un ID a una redacción de texto sin formato para que el LLM pueda interpretar qué valores de política/regla se están utilizando realmente.

• Instrucciones de salida: especificamos al modelo en qué formato nos gustaría recibir la salida. En este caso, utilizamos JSON para facilitar el manejo.

• Aclaraciones adicionales: por último, indicamos explícitamente al LLM que esté seguro de su resultado, priorizando ese aspecto sobre cualquier otro. Esto nos ayuda a garantizar que ninguna alucinación llegue al resultado final.

Al automatizar el análisis de tus reglas personalizadas del WAF y tus políticas de Gateway, Cloudflare Workers AI no solo te ahorra tiempo, sino que también mejora la seguridad al reducir el riesgo de error humano. Obtienes información clara y práctica que te permite optimizar tus configuraciones, detectar rápidamente las anomalías y mantener una postura de seguridad eficaz, todo ello sin necesidad de revisiones manuales que requieran mucho trabajo.

Ya están disponibles las vistas previas beta de Cloudy para todos los clientes de Cloudflare. Pero esto es solo el principio de lo que prevemos para la funcionalidad basada en la IA en todo nuestro conjunto de productos.

Durante lo que queda de 2025, tenemos previsto implementar funciones adicionales de agentes de IA en otras áreas de Cloudflare. Estas nuevas funciones no solo ayudarán a los clientes a gestionar la seguridad de forma más eficiente, sino que también proporcionarán recomendaciones inteligentes para optimizar el rendimiento, agilizar las operaciones y mejorar la experiencia del usuario.

Cuando conozcas Cloudy y pruebes estas nuevas funciones de IA, nos encantaría conocer tu opinión. Envíanos tus comentarios a cloudyfeedback@cloudflare.com, o publica tus opiniones en X, LinkedIn o Mastodon con la etiqueta #SecurityWeek. Tus comentarios nos ayudarán a definir nuestra hoja de ruta para mejorar la IA, y a ofrecer a nuestros usuarios herramientas más inteligentes y eficientes que nos ayuden a todos a mejorar la seguridad.

Creemos que hay una forma mejor de hacerlo. Por este motivo, a partir de hoy, los administradores pueden auditar fácilmente todas las sesiones de usuario activas y los datos asociados utilizados por sus políticas de Cloudflare One. Esto permite lo mejor de ambos mundos: controles muy granulares al mismo tiempo que se mantiene una capacidad mejorada de resolución y diagnóstico de problemas de las implementaciones Zero Trust en un único y sencillo panel de control. Ahora los administradores pueden acceder a la información que anteriormente se encontraba en el navegador de un usuario o que cambiaba dinámicamente, sin necesidad de molestar a un usuario final o de analizar los registros.

La autenticación y la autorización son los dos componentes que evalúa una política Zero Trust antes de permitir que un usuario acceda a un recurso.

La autenticación es el proceso de verificar la identidad de un usuario, un dispositivo o un sistema. Algunos de los métodos más comunes de autenticación son la especificación de nombres de usuario y contraseñas, la presentación de un certificado digital o incluso factores biométricos como una huella dactilar o un reconocimiento facial. La autenticación multifactor (MFA) requiere dos o más métodos independientes de autenticación para una mayor seguridad, por ejemplo, una clave de hardware junto con una contraseña.

La autorización es el proceso de otorgar o denegar el acceso a recursos o permisos específicos una vez que se ha autenticado con éxito una entidad. Define qué puede y no puede hacer la entidad autenticada en el sistema.

Las aplicaciones web, en las que nos centraremos, suelen utilizar cookies HTTP para gestionar la autenticación y la autorización.

Autenticación:

1. Inicio de sesión: cuando un usuario inicia sesión en una aplicación web especificando su nombre de usuario y contraseña, la aplicación verifica estas credenciales respecto a su base de datos o en un proveedor de identidad (IdP). También es posible aplicar otros métodos de autenticación para un mecanismo de autenticación de varios factores. Si estos coinciden, el servidor o el servicio de seguridad externo (p. ej., Cloudflare Access) considera que el usuario se ha autenticado.

2. Creación de cookies/tokens: el servidor crea a continuación una sesión para el usuario como una cookie o un token web JSON. La cookie es válida durante cierto tiempo, hasta que sea necesario que el usuario se vuelva a autenticar.

3. Envío y almacenamiento de cookies: el servidor envía una respuesta al navegador del usuario, y esta incluye en la cookie el ID de sesión y otra información de identificación sobre el usuario. A continuación, el navegador almacena esta cookie, que se utiliza para reconocer el usuario en sus solicitudes posteriores.

Autorización:

1. Solicitudes posteriores: para todas las solicitudes posteriores enviadas a la aplicación web, el navegador del usuario incluye automáticamente la cookie (con el ID de sesión y otra información de identificación) en la solicitud.

2. Verificación del lado del servidor: el servidor recibe los datos del usuario de la cookie y comprueba si la sesión es válida. Si es válida, el servidor recupera también los detalles del usuario y sus permisos de acceso asociados con ese ID de sesión.

3. Decisión de autorización: en función de los permisos de acceso del usuario, el servidor decide si se autoriza al usuario a realizar la operación solicitada o a acceder al recurso solicitado.

De esta forma, el usuario se mantiene autenticado (y su autorización se puede comprobar) para todas las solicitudes posteriores a su inicio de sesión, hasta que esta caduque o hasta que el usuario cierre la sesión.

En las aplicaciones web modernas, este estado de la sesión se suele almacenar como un token web JSON (JWT).

Los JWT se utilizan en muchas aplicaciones web modernas, y en soluciones de acceso a la red Zero Trust (ZTNA) como Cloudflare Access, para la autenticación y la autorización. Un JWT incluye una carga que codifica la información acerca del usuario y posiblemente otros datos, e incluye la firma del servidor para evitar su manipulación. Los JWT se utilizan a menudo sin estado, lo que significa que el servidor no mantiene una copia de cada JWT (simplemente los verifica y descodifica cuando llegan con las solicitudes). Esta condición "sin estado" de los JWT significa que no tienes que depender de un sistema central para gestionar las sesiones de los usuarios, lo que evita que surjan problemas de escalabilidad cuando aumente el número de usuarios que accedan a un sistema.

No obstante, esta condición "sin estado" de los JWT hace que la depuración de la autenticación basada en JWT resulte complicada si no se dispone del JWT específico de un usuario. Estas son las razones:

1. Especificidad de los tokens: cada JWT es específico de un usuario y de una sesión. Contiene información (afirmaciones) sobre el usuario, la autoridad emisora, la fecha y hora de emisión del token, la fecha de caducidad y posiblemente otros datos. Por lo tanto, para depurar un problema, a menudo necesitas el JWT exacto que causa el problema.

2. No hay registros del lado del servidor: puesto que los JWT son sin estado, el servidor no almacena las sesiones por defecto. No puede buscar tokens anteriores o su estado asociado, a menos que se haya diseñado específicamente para registrarlos. Esto no suele ser el caso, debido a consideraciones acerca de la privacidad y la minimización de los datos.

3. Problemas temporales: los problemas vinculados con los JWT pueden ser temporales (relacionados con el momento específico en que se ha utilizado el token). Por ejemplo, si un token había caducado cuando un usuario intentaba utilizarlo, necesitarías ese token específico para depurar el problema.

4. Privacidad y seguridad: los JWT pueden contener información confidencial, por lo que se deben manejar cuidadosamente. Obtener un JWT de un usuario podría exponer su información personal o sus credenciales de seguridad a quienquiera que esté depurando el problema. Asimismo, si un usuario envía su JWT mediante un canal no seguro a un desarrollador o a un servicio de asistencia informática, este podría ser interceptado (Cloudflare lanzó recientemente una solución gratuita, HAR Sanitizer, para ayudar a mitigar este problema).

Estos factores dificultan la resolución de problemas vinculados con la autenticación basada en JWT si no se dispone del token específico.

Nos propusimos desarrollar una forma mejor de depurar los problemas relacionados con la identidad de un usuario en Cloudflare Zero Trust sin necesidad de compartir los JWT o los archivos HAR. Ahora los administradores pueden ver la identidad del registro de un usuario (que se utiliza para las políticas de Gateway) y todas las sesiones de Access activas.

Esta información de la sesión incluye la identidad completa evaluada por Zero Trust, que incluye las afirmaciones del IdP, la información acerca de la postura del dispositivo, el contexto de red y más. Gracias a Cloudflare Workers KV, hemos podido desarrollar esta función sin añadir más carga a la lógica de autenticación de Access. Cuando un usuario se autentica con Access, su identidad asociada se guarda de inmediato en un par clave-valor en Workers KV. Todo esto tiene lugar en el contexto del evento de autenticación del usuario, lo que significa que el impacto en la latencia o la dependencia de un servicio externo son mínimos.

Esta función está disponible para todos los clientes en todos los planes Zero Trust. Si deseas empezar con Cloudflare Zero Trust, regístrate hoy mismo para conseguir una cuenta gratuita para hasta 50 usuarios. O bien colabora con los expertos de Cloudflare para comentar las opciones SSE o SASE para tu organización y abordar tus casos Zero Trust paso a paso.

Hoy, nos complace anunciar que Cloudflare One ahora ofrece detecciones para la prevención de pérdida de datos (DLP) para las etiquetas de Microsoft Purview Information Protection. Lo único que necesitas es configurar la integración con tu cuenta de Microsoft, obtener tus etiquetas y crear reglas para guiar el movimiento de tus datos etiquetados. Esto amplía el poder de las etiquetas de Microsoft a cualquier parte de tu tráfico corporativo, en solo unos clics.

Cada organización tiene una gran cantidad de datos que gestionar, desde los datos de acceso público, como la documentación, a los datos internos, como la fecha de lanzamiento de un nuevo producto. También, por supuesto, están los datos que requieren los máximos niveles de protección, como la información de identificación personal de los clientes. Las organizaciones son responsables de confinar los datos a los destinos adecuados, al mismo tiempo que permiten la accesibilidad y la productividad, lo que no es una tarea sencilla.

Microsoft Purview Information Protection ofrece etiquetas de confidencialidad que te permiten clasificar los datos de tu organización. Con estas etiquetas, Microsoft proporciona la capacidad de proteger los datos confidenciales, al mismo tiempo que permite la productividad y la colaboración. Las etiquetas de confidencialidad se pueden utilizar en diversas aplicaciones de Microsoft, así como aplicarlas a los documentos de Microsoft Office. Las etiquetas corresponden a la confidencialidad de los datos en el archivo, por ejemplo, "Público", "Confidencial" o "Extremadamente confidencial".

Las etiquetas se integran en los metadatos de un documento y se conservan incluso cuando este sale del entorno de Microsoft, por ejemplo, cuando se descarga de OneDrive.

Cloudflare One, nuestra plataforma SASE que proporciona red como servicio (NaaS) con seguridad Zero Trust integrada de forma nativa, conecta a los usuarios con los recursos empresariales, y ofrece una gran variedad de oportunidades de proteger el tráfico corporativo como, entre otras, la inspección de los datos que circulan por el conjunto de soluciones de productividad de Microsoft. Hemos diseñado Cloudflare One para que actúe como un único panel de control para tu organización. Esto significa que, una vez que hayas implementado cualquiera de nuestros servicios Zero Trust, ya sea Zero Trust Network Access or Secure Web Gateway, solo te quedan unos clics, no meses, para implementar la prevención de pérdida de datos, el agente de seguridad de acceso a la nube, la seguridad del correo electrónico y el aislamiento de navegador para mejorar la seguridad de Microsoft y la protección global de los datos.

En concreto, el agente de seguridad de acceso a la nube (CASB) basado en API de Cloudflare puede analizar las aplicaciones SaaS como Microsoft 365 en busca de configuraciones incorrectas, actividad de usuario no autorizada, shadow IT y otros problemas de la seguridad de datos que pueden surgir después de que un usuario haya iniciado sesión correctamente.

Con esta nueva integración, CASB ahora también puede obtener las etiquetas de Information Protection de tu cuenta de Microsoft. Si tienes etiquetas configuradas, al realizar la integración, CASB llenará automáticamente las etiquetas en un perfil de prevención de pérdida de datos (DLP).

Los perfiles DLP son los elementos esenciales para la aplicación del análisis DLP. Son dónde identificas los datos confidenciales que quieres proteger, como por ejemplo los datos etiquetados de Microsoft, números de tarjeta de crédito y palabras clave personalizadas. Tus etiquetas se almacenan como entradas en el perfil de etiquetas de confidencialidad de Microsoft Purview Information utilizando el nombre de tu integración de CASB. También puedes añadir las etiquetas a perfiles DLP personalizados, lo que ofrece más flexibilidad de detección.

Ahora puedes extender el poder de las etiquetas de Microsoft para proteger tus datos cuando se transfieran a otras plataformas. Al crear reglas DLP, determinas cómo se pueden desplazar los datos etiquetados dentro y fuera de tu red corporativa. Quizás no quieres permitir que las etiquetas "Extremadamente confidencial" se descarguen de tu cuenta de OneDrive, o que los datos más confidenciales que "Confidencial" se carguen en sitios de uso compartido de archivos que no utilices. Con DLP y Cloudflare Gateway puedes conseguir todo eso.

Lo único que debes hacer es ir a tus políticas de firewall de Gateway y empezar a implementar la creación de reglas utilizando tus perfiles DLP:

Para obtener acceso a DLP, solicita una consulta o ponte en contacto con tu administrador de cuenta.

Nos complace anunciar la compatibilidad con estas dos nuevas aplicaciones SaaS (adicional a aquellas que ya admitimos), puesto que hemos observado cómo organizaciones de todo el mundo dependen de ellas para una gestión de proyectos optimizada e integral.

Profundicemos en qué pueden esperar los clientes de Cloudflare Zero Trust de estas nuevas integraciones.

Primero, un breve resumen. El agente de seguridad de acceso a la nube (CASB) es una de las soluciones más recientes de Cloudflare. La lanzamos el pasado mes de septiembre para proporcionar a los operadores de seguridad (directores de seguridad de la información e ingenieros de seguridad) una visibilidad clara y control administrativo sobre la seguridad de sus aplicaciones SaaS.

Ya sea Google Workspace, Microsoft 365, Slack, Salesforce, Box, GitHub o Atlassian (¡Sí!), CASB puede conectar y analizar fácilmente estas aplicaciones en busca de problemas críticos de seguridad, y proporcionar a los usuarios una lista exhaustiva de los problemas identificados, organizados para su clasificación.

A lo largo del tiempo, Atlassian Confluence se ha convertido en la plataforma de colaboración a la que recurren los equipos para crear, organizar y compartir contenido, como documentos, notas y actas de reunión. No obstante, desde una perspectiva de la seguridad, la flexibilidad y la amplia compatibilidad con aplicaciones externas de Confluence puede suponer un riesgo de seguridad si no se configura y supervisa adecuadamente.

Con esta nueva integración, los equipos informáticos y de seguridad pueden empezar su análisis en busca de problemas de seguridad específicos de Atlassian y Confluence que podrían poner en riesgo los datos corporativos confidenciales. Los clientes de CASB que utilicen Confluence Cloud pueden esperar identificar problemas que incluyen, entre otros, el contenido compartido públicamente, el acceso no autorizado y otras vulnerabilidades que podrían explotar actores maliciosos.

Al proporcionar esta capa adicional de seguridad de SaaS, Cloudflare CASB puede ayudar a las organizaciones a proteger mejor sus datos confidenciales, al mismo tiempo que se benefician del poder colaborativo de Confluence.

Atlassian Jira es una herramienta fundamental de gestión de proyectos utilizada para realizar un seguimiento de las tareas, los problemas y el progreso de los proyectos, y se ha convertido en un elemento esencial del proceso de desarrollo de software para equipos de todos los tamaños. Al mismo tiempo, esto también significa que Jira se ha convertido en un objetivo codiciado por aquellos que desean acceder a los datos confidenciales y explotarlos.

Con Cloudflare CASB, ahora los equipos de seguridad pueden identificar fácilmente los problemas de seguridad que podrían poner en riesgo a los empleados y los datos empresariales confidenciales. Con la compatibilidad con las cuentas de Jira Cloud, los problemas identificados pueden abarcar desde indicar problemas relacionados con el acceso de usuarios y de aplicaciones externas como, por ejemplo, el uso incorrecto de una cuenta o usuarios que no siguen las prácticas recomendadas, hasta la identificación de archivos que podrían haberse compartido excesivamente y que sería interesante investigar más detalladamente.

Al proporcionar a los administradores de seguridad una vista única donde observar los problemas de seguridad de todo su entorno SaaS, que ahora incluye también Jira y Confluence, Cloudflare CASB facilita a los equipos de seguridad mantenerse al corriente de los posibles riesgos de seguridad.

Con la adición de Jira y Confluence a la lista cada vez mayor de integraciones de CASB, proporcionamos a nuestros productos la máxima compatibilidad posible para que las organizaciones puedan continuar confiando en nosotros para su protección.

Hoy, Cloudflare CASB admite integraciones con Google Workspace, Microsoft 365, Slack, Salesforce, Box, GitHub, Jira y Confluence. Próximamente la lista seguirá creciendo con la adición de otras aplicaciones críticas, así que si hay alguna aplicación específica que te gustaría ver incluida en la lista, háznoslo saber.

Si no utilizas aún Cloudflare Zero Trust, no dudes en empezar a utilizarla hoy mismo. Regístrate aquí para comprobar de primera mano la plataforma, con más de 50 usuarios gratuitos. Ponte en contacto con nuestro equipo aquí para saber más sobre cómo Cloudflare CASB puede ayudar a tu organización a proteger sus aplicaciones SaaS.

Estamos actualizando la navegación Zero Trust

El 20 de marzo de 2023, lanzaremos una navegación actualizada en el panel de control Zero Trust, que ofrecerá a todos nuestros usuarios Zero Trust una experiencia más fluida en Cloudflare en su conjunto. Este cambio te permitirá gestionar más fácilmente tu organización Zero Trust junto con tus servicios de aplicaciones y de red, tus herramientas para desarrolladores y mucho más.

Como parte de este próximo lanzamiento, observarás estos tres cambios principales:

En lugar de abrir otra ventana o de escribir una URL, puedes volver al panel de control de Cloudflare con un solo clic.

Visualiza las cuentas y cambia de cuenta en la parte superior de tu barra lateral.

Encuentra enlaces útiles a nuestra Comunidad y documentación para desarrolladores así como a tu equipo de soporte en la parte superior de tu barra de navegación.

En 2020, lanzamos Gateway a nivel general como el primer producto de Cloudflare que no requería un sitio alojado en la infraestructura de Cloudflare. En otras palabras, Gateway no estaba limitado por el modelo específico del sitio del que en aquel entonces dependían la mayoría de los productos de Cloudflare. Al mismo tiempo, también se utilizaba en estrecha relación con Access. Así, el panel de control de Cloudflare for Teams se desarrolló sobre un nuevo modelo, diseñado desde cero, para proporcionar a nuestros clientes un entorno único determinado (consolidado bajo una estructura única) desde donde gestionar sus productos y cuentas de Teams.

En la actualidad, Zero Trust ha crecido enormemente, tanto en su capacidad como en su alcance. Muchos de nuestros clientes utilizan una combinación de varios productos de Cloudflare, incluidos los productos Cloudflare One y Zero Trust. Nuestro entorno ha crecido, y este cambio en la navegación es un paso hacia la ampliación de nuestra estructura para abarcar toda la presencia de Cloudflare, en rápida expansión.

Muchos nos habéis comentado vuestras dificultades a la hora de utilizar varios productos de Cloudflare, incluido Zero Trust. Tu opinión es importante para nosotros. Hemos invertido en desarrollar una experiencia de usuario de primera clase para que tu tiempo con Cloudflare te resulte fácil y agradable. Nuestras mejoras de la experiencia de usuario se basan en tres principios básicos: coherencia, interconectividad y detectabilidad.

Nuestro objetivo es ofrecer una experiencia de usuario coherente y predecible en todo el ecosistema de Cloudflare, para que nunca tengas ninguna duda acerca de dónde te encuentras en tu recorrido, ya sea realizando tus tareas cotidianas o descubriendo nuevos productos y funciones de vanguardia.

Este cambio en la navegación que anunciamos hoy no es la única mejora de la experiencia del usuario que hemos desarrollado. Es posible que hayas observado algunas otras optimizaciones recientemente:

¿Recuerdas los tiempos cuando aparecía constantemente la pantalla de carga? ¿O quizás cuando tu cuenta Zero Trust no coincidía con la que habías iniciado sesión para gestionar, por ejemplo, tu DNS? ¡Eso ya forma parte del pasado! Nuestro equipo ha desarrollado una experiencia de autorización de cuenta y de usuario más inteligente, más rápida y más fluida.

Las tablas son un elemento esencial cuando se trata de presentar grandes cantidades de datos e información. Las tablas son un elemento común de las interfaces de usuario de Cloudflare. Ahora, Zero Trust utiliza las mismas interfaces de usuario de tablas que verás al gestionar otros productos y funciones.

Un pequeño cambio en el esquema de color y en el diseño de la página incorpora el panel de control Zero Trust a la misma familia visual que la experiencia de Cloudflare más amplia. Ahora, durante tu recorrido a Zero Trust, queremos que sepas que sigues estando bajo la estructura única de Cloudflare.

¡Estas mejoras nos complacen tanto como a ti! Y esperamos que las próximas mejoras en la navegación y en las páginas te resulten un buen complemento a los cambios indicados anteriormente.

La experiencia del usuario de la que hemos hablado hoy contribuye en buena medida a la creación de una interfaz más coherente, fluida y fácil de usar para que tu trabajo en Cloudflare sea lo más fácil y eficiente posible. Sabemos que siempre hay margen para mejorar más (¡ya tenemos en mente una cuantas mejoras importantes!).

Para asegurarnos de que estamos resolviendo tus problemas más importantes, nos gustaría conocer tu opinión. Considera rellenar una breve encuesta para indicarnos qué mejoras de la experiencia del usuario consideras más urgentes y te gustaría ver a continuación.

Creación del marco de seguridad Zero Trust

En los últimos años, la ciberseguridad ha dejado de ser un asunto de los departamentos de informática y ha pasado a ser una cuestión de preocupación en las juntas directivas. El actual clima de incertidumbre geopolítica y económica ha hecho que la amenaza de los ciberataques sea aún más acuciante, y que empresas de todos los tamaños y sectores acusen el impacto. Los riesgos son reales y potencialmente catastróficos, desde la posibilidad de un ataque de ransomware que interrumpa la actividad de la empresa hasta fugas de datos que podrían poner en riesgo información confidencial de los consumidores. Las organizaciones están reconociendo la necesidad de una mayor resistencia y preparación en materia de ciberseguridad. No basta con reaccionar a los ataques cuando se producen, las empresas se deben preparar proactivamente para lo inevitable en su enfoque de ciberseguridad.

El enfoque de seguridad que ha adquirido más importancia en los últimos años es el concepto de Zero Trust. El principio básico de Zero Trust es sencillo: no confíes en nada, verifica todo. El impulso para una arquitectura moderna Zero Trust es que los modelos de seguridad tradicionales basados en el perímetro ya no son suficientes en el panorama digital de hoy día. Las organizaciones deben adoptar un enfoque global de la seguridad basado en la verificación de la identidad y la fiabilidad de todos los usuarios, dispositivos y sistemas que acceden a sus redes y datos.

La seguridad Zero Trust lleva tiempo en el punto de mira de los líderes empresariales y los miembros de los consejos de administración. Sin embargo, Zero Trust ya no es solo un concepto para debatir, es más bien una obligación. Ahora que el trabajo remoto o híbrido es la norma y los ciberataques siguen en auge, las empresas se dan cuenta de que deben adoptar un enfoque completamente diferente de la seguridad. Pero, como ocurre con cualquier cambio significativo en la estrategia, la implementación puede resultar difícil, y a veces el proceso se puede estancar. Si bien muchas empresas han empezado a aplicar métodos y tecnologías Zero Trust, solo algunas los han implementado plenamente en toda la organización. Para muchas grandes empresas, la fase de implementación de sus iniciativas Zero Trust se ha estancado.

Pero, ¿y si faltara una pieza en el puzzle de la ciberseguridad que pudiera cambiarlo todo? Aquí es donde entra en juego la función del director de seguridad Zero Trust, un nuevo cargo que creemos que será cada vez más común en las grandes organizaciones durante el próximo año.

La idea de crear un puesto directivo de seguridad Zero Trust en las organizaciones surgió de las conversaciones mantenidas el año pasado entre los miembros del equipo de la oficina técnica de Cloudflare y las agencias del Gobierno federal estadounidense. La primera vez que se consideró un cargo similar fue en el memorando de la Casa Blanca que ordenaba a los organismos federales "avanzar hacia los principios de ciberseguridad Zero Trust" y exigía a los organismos "designar e identificar una figura directiva para llevar a cabo la implementación de la estrategia Zero Trust para su organización" en un plazo de 30 días. En el Gobierno, una función como esta se suele denominar "zar", pero el nombre de "director" es más apropiado dentro de una empresa.

Las grandes organizaciones necesitan grandes líderes para lograr resultados de forma eficiente. Las empresas asignan las principales funciones de dirección a personas con cargos que empiezan por la palabra director, como director general (CEO) o director financiero (CFO). Estos cargos existen para establecer directrices, estrategias, tomar decisiones críticas y gestionar las operaciones diarias, y a menudo son responsables ante el consejo de administración del rendimiento y el éxito generales.

Hay un viejo refrán que dice: "cuando todo el mundo es responsable, nadie lo es realmente". Cuando una empresa se plantea los retos de implementar Zero Trust, parece que la falta de un liderazgo y una responsabilidad claros es un problema importante. La pregunta sigue siendo, ¿quién es *exactamente* el responsable de impulsar la adopción y ejecución de una arquitectura Zero Trust dentro de la organización?

Las grandes empresas necesitan una única persona responsable de impulsar el recorrido hacia la seguridad Zero Trust. Este líder debe tener un mandato claro y un único objetivo: implementar la seguridad Zero Trust en la empresa. De aquí parte la idea de la figura del director de seguridad Zero Trust, que puede parecer solo un título, pero es muy importante, exige atención y puede superar muchos obstáculos para la seguridad Zero Trust.

La implementación Zero Trust se puede ver obstaculizada por diversos dificultades tecnológicas. Comprender e implementar la compleja arquitectura de algunos proveedores puede llevar tiempo, exigir un programa de formación extensivo o requerir la contratación de servicios profesionales para adquirir los conocimientos necesarios. Identificar y verificar a los usuarios y los dispositivos en un entorno Zero Trust también puede ser un desafío. Requiere un inventario preciso de la base de usuarios de la organización, los grupos a los que pertenecen y sus aplicaciones y dispositivos.

Desde el punto de vista organizativo, la coordinación entre los distintos equipos es crucial para implementar un modelo de seguridad Zero Trust eficaz. La eliminación de las barreras entre los grupos de informática, ciberseguridad y redes, la creación de canales de comunicación claros y la celebración de reuniones periódicas entre los miembros de los equipos son medidas que pueden ayudar a conseguir una estrategia de seguridad coherente. La resistencia general al cambio también puede ser un obstáculo importante y, para mitigar sus efectos, los equipos directivos deben utilizar técnicas como predicar con el ejemplo, garantizar la transparencia de la comunicación e implicar a los empleados en el proceso de cambio. Abordar proactivamente las preocupaciones, proporcionar apoyo y crear oportunidades de formación para los empleados también son acciones que pueden contribuir a facilitar la transición.

Pero, ¿por qué necesita una organización la figura de un director de seguridad Zero Trust? ¿Es necesario otro cargo directivo de alto nivel? ¿Por qué no asignar a alguien que ya gestione la seguridad dentro de la organización del CISO? Sin duda, todas estas preguntas son legítimas. Piénsalo de este modo. Las empresas deberían asignar el cargo en función del nivel de importancia estratégica para la empresa. Así que, ya sea director, responsable, vicepresidente de seguridad Zero Trust, o cualquier otra cosa, el cargo debe llamar la atención y tener poder para superar los obstáculos y suprimir la burocracia.

Los nuevos cargos de directivo de alto nivel no carecen de precedentes. En los últimos años, hemos visto la aparición de cargos como director de Transformación digital, director de Experiencia, director de Atención al Cliente y director Científico de Datos. Es probable que el director de seguridad Zero Trust ni siquiera sea un puesto permanente, pero lo crucial es que la persona que ocupe el cargo tenga la autoridad y la visión para impulsar la iniciativa Zero Trust, con el apoyo de la dirección de la empresa y del consejo de administración.

La implementación de la seguridad Zero Trust se ha convertido ya en una obligación para muchas empresas dado que el modelo tradicional de seguridad basado en el perímetro ya no es suficiente para protegerse de las sofisticadas amenazas actuales. Para superar los desafíos técnicos y organizativos que conlleva la implementación de la seguridad Zero Trust, es fundamental el liderazgo de un director de seguridad Zero Trust, quien dirigirá las iniciativas Zero Trust, alineará a los equipos y eliminará los obstáculos para lograr una implementación eficaz. El papel del director de seguridad Zero Trust en la alta dirección subraya la importancia de la seguridad Zero Trust en la empresa y garantiza que la iniciativa Zero Trust reciba la atención y los recursos necesarios para conseguir los objetivos. Las organizaciones que nombren a un director de seguridad Zero Trust serán las que salgan ganando en el futuro.

Cloudflare One es la plataforma Zero Trust de Cloudflare. Su implementación es muy sencilla y se integra perfectamente con las herramientas y proveedores existentes. Se basa en el principio Zero Trust y proporciona a las organizaciones una solución de seguridad integral que funciona a nivel global. Cloudflare One se suministra en la red global de Cloudflare, lo que significa que funciona de manera eficaz en varias geografías, países, proveedores de red y dispositivos. Gracias a la vasta presencia global de Cloudflare, el tráfico se protege, enruta y filtra a través de una red troncal optimizada que utiliza información de Internet en tiempo real para ofrecer protección frente a las últimas amenazas y enrutar el tráfico para evitar las malas condiciones y los cortes de Internet. Además, Cloudflare One se integra con las mejores soluciones de gestión de identidades y seguridad de dispositivos finales, creando una solución completa que abarca toda la red corporativa de hoy y del mañana. Si te interesa saber más, infórmanos y nos pondremos en contacto contigo.

¿Aún es pronto para hablar con nosotros? Casi todas las funciones de Cloudflare One están disponibles sin coste para un máximo de hasta 50 usuarios. Muchos de nuestros clientes empresariales más grandes empiezan explorando nuestros productos Zero Trust con el plan gratuito. Te invitamos a que hagas lo mismo siguiendo el enlace aquí.

Nuestros expertos en seguridad han creado un plan de desarrollo multiproveedor para ofrecerte una arquitectura Zero Trust y un ejemplo de calendario de implementación. El plan de desarrollo Zero Trust https://zerotrustroadmap.org/ es un recurso excelente para las organizaciones que deseen obtener más información sobre las ventajas y las prácticas recomendadas de la implementación Zero Trust. Si tienes la sensación de que no estás avanzando en tu recorrido hacia Zero Trust, ¡convence a tu director de seguridad Zero Trust para que se ponga en contacto con nosotros!

Durante la semana pasada, conociste más de 30 anuncios que cubrían todos los aspectos de tu pila tecnológica. Entre ellos, nuevos servicios, versiones beta, asociaciones estratégicas, integraciones con terceros y mucho más. Esta publicación resume todos los anuncios e indica qué función está disponible con disponibilidad general (GA), en la versión beta o en nuestro plan de desarrollo.

Hemos suministrado las funciones críticas que han solicitado nuestros clientes. Por ejemplo, una protección contra el phishing aún más integral e integraciones más estrechas con el ecosistema de Microsoft. De cara al futuro, también hemos descrito nuestro plan de desarrollo para las categorías de tecnologías emergentes, como Digital Experience Monitoring y nuestra visión para que el enrutamiento del tráfico desde cualquier fuente a cualquier destino mediante la red de Cloudflare sea extremadamente sencillo.

Todo lo que hemos lanzado está diseñado para ayudar a los directores de informática a acelerar la consecución de su objetivo de transformación digital. En esta publicación, hemos organizado los resúmenes de nuestros anuncios en función de los tres conceptos que queremos que tengan en cuenta los directores de informática cuando consideren la posibilidad de asociarse con Cloudflare:

1. Ahora, los directores de informática cuentan con una hoja de ruta más sencilla a Zero Trust y SASE: Hemos anunciado nuevas funciones e integraciones más estrechas que facilitan a las organizaciones la adopción de las prácticas recomendadas de la seguridad Zero Trust, así como avanzar hacia arquitecturas más ambiciosas como Secure Access Service Edge (SASE).

2. Los directores de informática tienen acceso a los socios de canal y de tecnología adecuados: Hemos anunciado integraciones y una programación para ayudar a las organizaciones a acceder a los conocimientos apropiados para modernizar la TI y la seguridad a su propio ritmo, con las tecnologías que ya utilizan.

3. Los directores de informática pueden optimizar una estrategia multinube con facilidad: Hemos anunciado nuevas formas de conectar, proteger y acelerar el tráfico en diversos entornos de nube.

¡Gracias por seguir la CIO Week, la primera de muchas semanas de innovación de 2023! A veces puede no resultar fácil seguir nuestro ritmo de innovación, pero esperamos que leer esta publicación y registrarte en nuestro seminario web de resumen te sea de ayuda.

Si quieres hablar con nosotros acerca de cómo modernizar tu TI y tu seguridad, y facilitar el trabajo al director de informática de tu organización, rellena el formulario aquí.

Protegemos el accesoEstas publicaciones se centran en cómo logramos que la conexión de cualquier usuario a cualquier aplicación con controles granulares y la visibilidad integral necesaria para lograr un enfoque Zero Trust sea más rápida, fácil y segura.

.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-ycd2{background-color:#F63;color:#FFF;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}

Blog

Resumen

Versión beta: Novedad: Digital Experience Monitoring

Cloudflare Digital Experience Monitoring será un panel de control integral que ayudará a los directores de informática a comprender cómo los servicios de Internet y las aplicaciones críticas funcionan en toda su red corporativa. Regístrate para acceder a la versión beta.

Versión beta: Crea tu propia red Zero Trust global, privada y virtual en Cloudflare con WARP a WARP

Con un solo clic, cualquier dispositivo de tu organización que ejecute el cliente de dispositivo de Cloudflare, WARP, puede conectarse a cualquier otro dispositivo que ejecute WARP a través de una red privada. Regístrate para acceder a la versión beta.

Disponibilidad general: Nuevas formas de solucionar los mensajes de "bloqueo" de Cloudflare Access

Investiga las decisiones de "permitir" o "bloquear" en función de la manera en que se ha realizado una conexión, con la misma facilidad con la que puedes solucionar los problemas de identidad de los usuarios en la plataforma Zero Trust de Cloudflare.

Versión beta: Seguridad de los datos de tus aplicaciones internas y SaaS con un solo clic

Protege los datos confidenciales ejecutando las sesiones de las aplicaciones en un navegador aislado y controla cómo los usuarios interactúan con los datos confidenciales, ahora con un solo clic. Regístrate para acceder a la versión beta.

Disponibilidad general: Compatibilidad de Cloudflare Access y Gateway con SCIM

Los servicios ZTNA (Access) y SWG (Gateway) de Cloudflare ahora son compatibles con el protocolo System for Cross-domain Identity Management (SCIM), lo que facilita a los administradores la gestión de los registros de identidad entre sistemas.

Disponibilidad general: Cloudflare Zero Trust: el lanzamiento de ping más interesante desde 1983

Los administradores de Cloudflare Zero Trust pueden utilizar herramientas de depuración ya conocidas que utilizan el protocolo ICMP (como Ping, Traceroute y MTR) para probar la conectividad a destinos de red privada.

Protección contra amenazasEstas publicaciones se centran en cómo ayudamos a las organizaciones a filtrar, analizar y aislar el tráfico para proteger a los usuarios contra el phishing, el ransomware y otras amenazas de Internet.

.tg {border-collapse:collapse;border-color:#aaa;border-spacing:0;} .tg td{background-color:#fff;border-color:#aaa;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#ff6633;border-color:#aaa;border-style:solid;border-width:1px;color:#fff; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-ycd2{background-color:#F63;color:#FFF;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}

Blog

Resumen

Disponibilidad general: Aislamiento de enlaces en correos electrónicos: tu red de seguridad frente a los últimos ataques de phishing

El servicio de aislamiento de enlaces en correos electrónicos es tu red de seguridad para los enlaces sospechosos que acaban en las bandejas de entrada y en los que los usuarios pueden hacer clic. Esta protección adicional convierte a Cloudflare Area 1 en la solución de seguridad del correo electrónico más completa cuando se trata de proteger contra ataques de phishing.

Disponbilidad general: Trae tus propios certificados a Cloudflare Gateway

Los administradores pueden utilizar sus propios certificados personalizados para aplicar políticas de filtrado HTTP, DNS, CASB, DLP, RBI y otras.

Disponibilidad general: Novedad: Perfiles DLP personalizados

El servicio de prevención de pérdida de datos (DLP) de Cloudflare ofrece ahora la posibilidad de crear medidas de detección personalizadas, para que las organizaciones puedan inspeccionar el tráfico en busca de sus datos más confidenciales.

Disponibilidad general: Servicios Zero Trust de Cloudflare para proveedores de servicios administrados

Descubre cómo el gobierno federal de EE. UU. y otros importantes proveedores de servicios administrados (MSP) utilizan la API de inquilino de Cloudflare para aplicar políticas de seguridad como filtrado DNS en todas las organizaciones que administran.

Entornos SaaS protegidosEstas publicaciones se centran en cómo mantenemos una seguridad y una visibilidad coherentes en todos los entornos de aplicaciones SaaS, específicamente, para proteger las fugas de datos confidenciales.

.tg {border-collapse:collapse;border-color:#aaa;border-spacing:0;} .tg td{background-color:#fff;border-color:#aaa;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f38630;border-color:#aaa;border-style:solid;border-width:1px;color:#fff; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-ycd2{background-color:#F63;color:#FFF;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}

Blog

Resumen

Plan de desarrollo: Cómo los servicios de CASB y DLP de Cloudflare trabajan juntos para proteger tus datos

Cloudflare Zero Trust añadirá funciones entre nuestros servicios CASB y DLP que permitirán que los administradores miren los archivos almacenados en sus aplicaciones SaaS e identifiquen los datos confidenciales que contienen.

Plan de desarrollo: Cómo Area 1 y la función de protección de pérdida de datos de Cloudflare trabajan juntos para proteger los datos del correo electrónico

Cloudflare combina las capacidades de Area 1 Email Security y la prevención de pérdida de datos (DLP) para ofrecer una protección integral de los datos del correo electrónico corporativo.

Disponibilidad general: Cloudflare CASB: Analiza Salesforce y Box para comprobar si hay problemas de seguridad

Cloudflare CASB ahora se integra con Salesforce y Box, lo que permite a los equipos de TI y de seguridad analizar estos entornos SaaS en busca de riesgos de seguridad.

Aceleramos y protegemos la conectividadAdemás de estas funciones de los productos, las publicaciones de este apartado destacan la velocidad y otras ventajas estratégicas que logran las organizaciones con Cloudflare.

.tg {border-collapse:collapse;border-color:#aaa;border-spacing:0;} .tg td{background-color:#fff;border-color:#aaa;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f38630;border-color:#aaa;border-style:solid;border-width:1px;color:#fff; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-ycd2{background-color:#F63;color:#FFF;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-zb5k{color:#15C;text-align:left;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}

Blog

Resumen

¿Por qué los directores de informática eligen Cloudflare One?

Como parte de la CIO Week, hablamos con los líderes de algunos de nuestros mayores clientes para comprender mejor por qué eligieron Cloudflare. Descubre seis razones temáticas

Cloudflare es más rápido que Zscaler

Cloudflare es un 38-55 % más rápido que Zscaler a la hora de ofrecer experiencias Zero Trust, según han validado pruebas de terceros.

Disponibilidad general: Perfiles de configuración y detección de red para el agente Cloudflare One

El cliente de dispositivo de Cloudflare (WARP) puede ahora detectar de forma segura ubicaciones preconfiguradas y enrutar el tráfico en función de las necesidades de la organización para esa ubicación.

Facilitamos la utilización de CloudflareEstas publicaciones destacan las innovaciones en toda la cartera de soluciones de Cloudflare, que no están incluidas en las categorías Zero Trust y SASE, para ayudar a las organizaciones a proteger y acelerar el tráfico con facilidad.

.tg {border-collapse:collapse;border-color:#aaa;border-spacing:0;} .tg td{background-color:#fff;border-color:#aaa;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f38630;border-color:#aaa;border-style:solid;border-width:1px;color:#fff; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-ycd2{background-color:#F63;color:#FFF;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-zb5k{color:#15C;text-align:left;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}

Blog

Resumen

Prueba ya una versión preliminar de cualquier producto de Cloudflare

Los clientes Enterprise ya pueden empezar a probar una versión preliminar de los servicios no sujetos a contrato con tan solo hacer un clic en el panel de control.

Disponibilidad general: Mejoramos los controles de acceso. Desactiva el acceso a la API de forma selectiva

Cloudflare facilita ahora a los propietarios de cuentas la visualización y la gestión del acceso que tienen sus usuarios a una cuenta, permitiéndoles restringir el acceso a la API de la misma.

Disponibilidad general: El control de versiones de zona ya está disponible de forma general

El control de versiones de zona permite que los clientes administren de forma segura la configuración de zona creando versiones de los cambios y eligiendo cómo y cuándo implementar estos cambios en entornos de tráfico definidos.

Plan de desarrollo: Servicios de aplicación de Cloudflare para redes privadas: haz más con las herramientas que ya te gusta utilizar

Cloudflare está desbloqueando eficiencias operativas al trabajar con integraciones entre nuestros servicios de aplicación para proteger los sitios web conectados a Internet y nuestra plataforma Cloudflare One para proteger las redes corporativas.

Además de una nueva programación para nuestros socios de canal, estas publicaciones describen integraciones técnicas más estrechas que ayudan a las organizaciones a trabajar de forma más eficiente con las herramientas de TI y de seguridad que ya utilizan.

.tg {border-collapse:collapse;border-color:#aaa;border-spacing:0;} .tg td{background-color:#fff;border-color:#aaa;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f38630;border-color:#aaa;border-style:solid;border-width:1px;color:#fff; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-ycd2{background-color:#F63;color:#FFF;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}

Blog

Resumen

Disponibilidad general: Ampliamos nuestra colaboración con Microsoft: seguridad Zero Trust proactiva y automatizada para clientes

Cloudflare ha anunciado cuatro nuevas integraciones entre Microsoft Azure Active Directory (Azure AD) y Cloudflare Zero Trust que reducen el riesgo de forma proactiva. La integración de estas soluciones aumenta la automatización, lo que permitirá a los equipos de seguridad priorizar las amenazas frente a la implementación y el mantenimiento.

Versión beta: Análisis de correo electrónico basado en API

Ahora, los clientes de Microsoft Office 365 pueden implementar la seguridad del correo electrónico en la nube de Area 1 mediante la API de Microsoft Graph. Esta función permite que los clientes de O365 implementen rápidamente el producto Area 1 mediante la API, con la incorporación mediante Microsoft Marketplace, próximamente disponible.

Disponibilidad general: China Express: Los socios de Cloudflare mejoran el rendimiento en China para las redes corporativas

China Express es un conjunto de soluciones diseñado para simplificar la conectividad y mejorar el rendimiento para los usuarios de China, desarrollado en asociación con China Mobile International y China Broadband Communications.

Versión beta: Programa para socios de prestación de servicios autorizados de Cloudflare One

Cloudflare ha anunciado la disponibilidad limitada de un nuevo programa de especialización para nuestros socios de canal y de implementación, diseñado para ayudar a desarrollar sus conocimientos en el suministro de servicios de Cloudflare One.

Estas publicaciones del blog destacan las innovaciones que facilitan a las organizaciones simplificar la conexión a la red de Cloudflare y enviar el tráfico desde cualquier fuente a cualquier destino.

.tg {border-collapse:collapse;border-color:#aaa;border-spacing:0;} .tg td{background-color:#fff;border-color:#aaa;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f38630;border-color:#aaa;border-style:solid;border-width:1px;color:#fff; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-ycd2{background-color:#F63;color:#FFF;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top} .tg .tg-zb5k{color:#15C;text-align:left;vertical-align:top}

Blog

Summary

Beta: Announcing the Magic WAN Connector: the easiest on-ramp to your next generation network

Cloudflare is making it even easier to get connected with the Magic WAN Connector: a lightweight software package you can install in any physical or cloud network to automatically connect, steer, and shape any IP traffic. Sign up for early access.

GA: Cloud CNI privately connects your clouds to Cloudflare

Customers using Google Cloud Platform, Azure, Oracle Cloud, IBM Cloud, and Amazon Web Services can now open direct connections from their private cloud instances into Cloudflare.

Cloudflare protection for all your cardinal directions

This blog post recaps how definitions of corporate network traffic have shifted and how Cloudflare One provides protection for all traffic flows, regardless of source or destination.

La 12.ª Semana aniversario de Cloudflare está a punto de terminar, y queríamos destacar, de la forma que nos caracteriza, esta nueva función en la práctica.

Para resumirlo rápidamente, Cloudflare CASB, basado en la API, ofrece a los equipos de TI y de seguridad una manera rápida y eficaz de conectar, explorar y supervisar sus aplicaciones SaaS en busca de problemas de seguridad, como exposiciones de archivos, configuraciones incorrectas y Shadow IT. En solo unos clics, los usuarios pueden ver una lista completa de los problemas de seguridad que podrían estar afectando a la seguridad de sus aplicaciones SaaS, entre ellas, Google Workspace, Microsoft 365, Slack y GitHub.

Cloudflare Gateway, nuestra oferta de enlace de puerta web segura (SWG), permite a los equipos supervisar y controlar las conexiones de salida que se originan en los dispositivos de punto final. Por ejemplo, ¿no quieres que tus empleados accedan a sitios web de apuestas o redes sociales en los dispositivos de la empresa? Simplemente bloquea el acceso a estas páginas en nuestro panel de control de Zero Trust, fácil de usar.

Como destacamos en nuestra publicación anterior, la Shadow IT (o las aplicaciones de terceros no aprobadas que utilizan los empleados) sigue siendo uno de los mayores desafíos de los administradores de TI en la era de la nube. Cuando los empleados otorgan acceso a servicios externos sin el consentimiento de su departamento de TI o de seguridad, se arriesgan a que actores maliciosos accedan a los datos más confidenciales de la empresa que alojan estas aplicaciones SaaS.

Otro problema importante que afecta a la seguridad de los datos almacenados en la nube es la exposición de archivos debido a un uso compartido excesivo. Cuando un empleado comparte un documento confidencial de Google Doc con otra persona mediante un enlace público, ¿lo sabe tu equipo de TI o de seguridad? Y, aunque así sea, ¿tienen la manera de minimizar el riesgo y bloquear el acceso al mismo?

Ahora que clientes de todo el mundo utilizan estos dos productos, nos complace compartir cómo se puede ir más allá de la visibilidad y de un conocimiento básico de los problemas de seguridad de SaaS. ¿Qué se supone que deben hacer los administradores a continuación?

Ahora, cuando CASB descubre un problema (lo que llamamos un Resultado), es posible crear fácilmente una política de Gateway correspondiente en solo tres clics.

Esto significa que ahora los usuarios pueden generar automáticamente políticas de Gateway detalladas para impedir la continuidad de comportamientos inadecuados específicos, al mismo tiempo que se sigue permitiendo el acceso y el uso esperados conformes con la política de la empresa.

Un caso de uso común que escuchamos durante el programa beta de CASB es la tendencia de los empleados a cargar datos corporativos (documentos, hojas de cálculo, archivos, carpetas, etc.) a sus cuentas personales de Google Drive (o similar), con el subsiguiente riesgo que supone que la propiedad intelectual salga de un entorno corporativo seguro. Combinando Gateway y CASB, ahora los administradores de TI pueden bloquear directamente la actividad de carga de archivos, para que solo se pueda realizar en el inquilino corporativo de Google Drive o Microsoft OneDrive.

Un buen caso de uso existente de Cloudflare CASB ha sido la capacidad de identificar a los empleados que habitualmente comparten una cantidad excesiva de archivos en sus inquilinos de Google o Microsoft  con cualquier persona que tenga el enlace, mediante correos electrónicos fuera de su empresa, etc.

Ahora, una vez identificados estos empleados, los administradores de CASB pueden crear políticas de Gateway para bloquear la actividad de carga y descarga de archivos a usuarios específicos hasta que se haya corregido el comportamiento.

Para abordar la preocupación sobre Shadow IT, es posible personalizar las políticas de Gateway que se originan en CASB, incluso restringir los sucesos de carga y descarga de archivos solo a las aplicaciones SaaS que utiliza tu organización. Supongamos que tu empresa utiliza Box como su solución de almacenamiento de archivos. En solo unos clics, puedes utilizar tu Resultado de CASB identificado para crear una política de Gateway que bloquee la actividad a cualquier aplicación de uso compartido de archivos que no sea Box. Esto ofrece a los administradores de TI y de seguridad la tranquilidad de que sus archivos solo llegarán a las aplicaciones en la nube aprobadas que utilicen.

En última instancia, el poder de Cloudflare Zero Trust reside en ser una única plataforma unificada cuya fortaleza radica en su combinación de productos y funciones. Mientras continuamos trabajando para llevar estas nuevas e interesantes soluciones al mercado, creemos que es igualmente importante destacar sus sinergias y casos de uso asociados, esta vez de Cloudflare Gateway y CASB.

Si aún no utilizas Cloudflare Zero Trust, no dudes en empezar hoy mismo. Regístrate aquí para descubrir tú mismo la plataforma con 50 usuarios gratuitos.

Si ya conoces y te gusta Cloudflare Zero Trust, ponte en contacto con tu representante de ventas de Cloudflare para empezar con CASB y Gateway. Estamos deseando escuchar los interesantes casos de uso que descubres en esta funcionalidad de productos cruzados.

Las claves de seguridad de Yubico ya están disponibles para cualquier cliente de Cloudflare, y se pueden integrar fácilmente con el servicio Cloudflare Zero Trust. Este servicio está abierto a organizaciones de cualquier tamaño, desde una familia que desee proteger la red de su casa al mayor número de empleados del planeta. Cualquier cliente de Cloudflare ya puede iniciar sesión en el panel de control de Cloudflare y solicitar las claves de hardware por solo 10 USD por clave.

En julio de 2022, gracias a la utilización de Cloudflare Zero Trust junto con claves de seguridad físicas, Cloudflare evitó una violación de seguridad de un ataque de phishing mediante SMS que tenía como objetivo a más de 130 empresas. Estas claves eran YubiKeys, y esta nueva colaboración con Yubico, el fabricante de YubiKeys, elimina los obstáculos para que organizaciones de cualquier tamaño puedan implementar las claves de hardware.

Es necesario que las organizaciones garanticen que solo los usuarios adecuados se conectan a sus recursos confidenciales, independientemente de si esos destinos son aplicaciones web autoalojadas, herramientas SaaS o servicios que confían en conexiones TCP arbitrarias y transmisiones UDP. Tradicionalmente, los usuarios demostraban su identidad con un nombre de usuario y contraseña, pero los ataques de phishing pueden engañar a los usuarios para robarles esta información.

Como respuesta, los equipos empezaron a implementar herramientas de autenticación multifactor (MFA) para añadir una capa adicional de seguridad. Los usuarios necesitaban especificar su nombre de usuario, su contraseña y algún valor adicional. Por ejemplo, un usuario podría tener una aplicación en ejecución en su dispositivo que genere números aleatorios o podría registrar su número de teléfono para recibir un código mediante un mensaje de texto. Aunque estas opciones de MFA mejoran la seguridad, los usuarios aún son vulnerables a ataques de phishing. Los sitios web de phishing evolucionaron y solicitaban al usuario que especificara sus códigos de MFA, o los atacantes robaban el número de teléfono de un usuario en un ataque de suplantación de SIM.

Las claves de seguridad de hardware proporcionan a las organizaciones una opción de MFA a prueba de phishing. Estas claves adoptan el estándar WebAuthN para presentar un certificado al servicio de autenticación para validar la clave en un intercambio protegido criptográficamente, algo que un sitio web de phishing no puede obtener y posteriormente suplantar.

Los usuarios registran una o más claves con su proveedor de identidad y, además de presentar su nombre de usuario y contraseña, el proveedor solicita una opción de MFA que puede incluir la clave de hardware. Al tener que pulsar la clave en lugar de lidiar con un código de una aplicación, el proceso de inicio de sesión es más fluido para todos los miembros del equipo. Al mismo tiempo, los equipos de seguridad pueden dormir tranquilos sabiendo que sus servicios están protegidos contra ataques de phishing.

Aunque la mayoría de los proveedores de identidad ahora permite que los usuarios registren claves de hardware como una opción de MFA, los administradores aún no tienen control para requerir que se utilicen claves de hardware. Los usuarios pueden recurrir a una opción menos segura, como un código basado en una aplicación, si no pueden presentar la propia clave de seguridad.

Nos encontramos con esta situación cuando implementamos por primera vez claves de seguridad en Cloudflare. Si los usuarios podían recurrir a una opción menos segura y más vulnerable al phishing, como un código basado en una aplicación, también podían hacerlo los atacantes. Junto con más de 10 000 organizaciones, utilizamos los productos Cloudflare Zero Trust internamente para, en parte, proteger cómo los usuarios se conectan a los recursos y herramientas que necesitan.

Cuando un usuario necesita contactar con una aplicación o un servicio interno, la red de Cloudflare evalúa cada solicitud o conexión en busca de distintas señales, como la identidad, la postura del dispositivo y el país. Los administradores también pueden crear reglas granulares que solo se apliquen a determinados destinos. Una herramienta interna de administrador con capacidad para leer los datos de los clientes podría requerir un dispositivo corporativo en buen estado, que se conectara desde un país determinado y perteneciente a un usuario de un grupo de proveedores de identidad determinado. En cambio, una nueva página de presentación de marketing compartida para la recepción de comentarios simplemente podría requerir la identidad. Si en la autenticación del usuario pudiéramos obtener la presencia de una clave de seguridad, a diferencia de una opción de MFA distinta menos segura, entonces podríamos aplicar también esa señal.

Hace algunos años, proveedores de identidad, proveedores de hardware y empresas de seguridad colaboraron para desarrollar un nuevo estándar, la Referencia de método de autenticación (AMR), para compartir exactamente ese tipo de datos. Con AMR, los proveedores de identidad pueden compartir distintos detalles sobre el intento de inicio de sesión, incluido el tipo de opción de MFA utilizado. Poco después de ese anuncio, presentamos la capacidad de crear reglas en el paquete Cloudflare Zero Trust para buscar y aplicar esa señal. Ahora, equipos de cualquier tamaño pueden crear reglas basadas en recursos que pueden garantizar que los miembros del equipo siempre utilicen su clave de hardware.

La seguridad de requerir algo que tú físicamente controlas es exactamente la misma razón por la que la implementación de claves de hardware añade un nivel de complejidad. Necesitas encontrar una manera de poner esa clave física en manos de los usuarios, a escala, y posibilitar que cada miembro del equipo pueda registrarlas.

En todos los casos, esa implementación empieza con la compra de las claves de seguridad de hardware. Comparadas con los códigos basados en aplicaciones, que pueden ser gratuitos, las claves de seguridad tienen un coste real. Para algunas organizaciones, el coste es disuasorio y un obstáculo que hace que estén menos protegidas, pero es importante tener en cuenta que la MFA no se crea siempre de la misma forma.

Para otros equipos, especialmente para las organizaciones que ahora trabajan en su totalidad o en parte en remoto, proporcionar estas claves a los usuarios finales, que nunca pisarán una oficina física, puede ser un desafío para los departamentos de TI. Cuando implementamos por primera vez las claves de hardware en Cloudflare, lo hicimos en nuestro retiro corporativo. Muchas organizaciones ya no tienen la oportunidad de entregar físicamente las claves en un único emplazamiento ni en sus oficinas globales.

La Semana aniversario de Cloudflare siempre ha tratado de eliminar los obstáculos y las limitaciones que impiden mejorar la seguridad y la rapidez de los usuarios y los equipos en Internet. Como parte de ese objetivo, nos hemos asociado con Yubico para continuar eliminando las dificultades de la adopción de un modelo de seguridad de claves de hardware.

• La oferta está abierta para todos los clientes de Cloudflare. Los clientes de Cloudflare pueden solicitar esta oferta de las claves de seguridad de Yubico directamente en el panel de control de Cloudflare.

• Yubico proporciona claves de seguridad a un precio "bueno para Internet", de solo 10 USD por clave. Yubico enviará las claves directamente a los clientes.

• Tanto las organizaciones de soporte como la documentación para desarrolladores de Cloudflare y Yubico guiarán a los clientes para configurar las claves e integrarlas con sus proveedores de identidad y con el servicio Cloudflare Zero Trust.

Para solicitar tus propias claves de hardware, ve panel de control y sigue el flujo de notificación del banner. Yubico te las enviará directamente a la dirección de correo electrónico de administrador que has proporcionado en tu cuenta de Cloudflare. En el caso de organizaciones más grandes que deseen implementar YubiKeys a escala, puedes explorar suscripción YubiEnterprise de Yubico y obtener un 50 % de descuento el primer año de una suscripción de tres años o más.

¿Ya tienes claves de seguridad de hardware? Si tienes claves de hardware físicas, puedes empezar a crear reglas en Cloudflare Access para aplicar su uso registrándolas en un proveedor de identidad que admita AMR, como Okta o Azure AD.

Finalmente, si te interesa nuestro propio proceso de implementación de Yubikeys junto con nuestro producto Zero Trust, no te pierdas esta entrada del blog de nuestro director de seguridad, Evan Johnson, que resume la experiencia de Cloudflare y nuestras recomendaciones a partir de las lecciones aprendidas.

La solución al problema del phishing es un protocolo de autenticación multifactor (MFA) denominado FIDO2/WebAuthn. Actualmente, todos los empleados de Cloudflare inician sesión con FIDO2 como su multifactor seguro y se autentican en nuestros sistemas utilizando nuestros propios productos Zero Trust. Nuestra nueva arquitectura es a prueba de phishing y nos permite aplicar más fácilmente el control de acceso de privilegio mínimo.

En 2018, sabíamos que queríamos migrar a MFA a prueba de phishing. Habíamos observado evilginx2 y constatado la madurez de las TOTP y de los sistemas de autenticación móviles antiphishing basados en el envío push. La única MFA a prueba de phishing que resistía los ataques de ingeniería social y de robo de credenciales eran las claves de seguridad que implementaban estándares FIDO. La MFA basada en FIDO añade nueva terminología, como, por ejemplo, FIDO2, WebAuthn, claves de hardware, claves de seguridad y, específicamente, la YubiKey (el nombre de un reconocido fabricante de claves de hardware), a la que haremos referencia durante esta publicación.

WebAuthn hace referencia al estándar de autenticación web. Explicamos detalladamente el funcionamiento de este protocolo cuando anunciamos la compatibilidad con las claves de seguridad en el panel de control de Cloudflare.

CTAP1(U2F) y CTAP2 hacen referencia al protocolo entre el cliente y el sistema de autenticación que detalla cómo interactúan los dispositivos de software o hardware con la plataforma que ejecuta el protocolo WebAuthn.

FIDO2 es el conjunto formado por estos dos protocolos que se utilizan para la autenticación. Las diferencias no importan, pero la nomenclatura puede generar confusión.

Lo más importante que debemos saber es que todos estos protocolos y estándares se han desarrollado para crear protocolos de autenticación abiertos a prueba de phishing, y que se pueden implementar con un dispositivo de hardware. En software, se implementan con Face ID, Touch ID, Windows Assistant o aplicaciones similares. En hardware, se utiliza una YubiKey u otro dispositivo físico aparte para la autenticación con USB, Lightning o NFC.

FIDO2 es a prueba de phishing porque implementa un sistema de desafío/respuesta que está protegido criptográficamente, y el protocolo del desafío incorpora el dominio o el sitio web específico en el que se está autenticando el usuario. Al iniciar sesión, la clave de seguridad generará una respuesta distinta en el sitio example.net que cuando el usuario intenta legítimamente iniciar sesión en el sitio example.com.

A lo largo de los años, en Cloudflare hemos facilitado a nuestros empleados varios tipos de claves de seguridad, pero hoy en día facilitamos a todos ellos dos tipos de claves de seguridad distintas, validadas según el estándar FIPS. La primera es una YubiKey 5 Nano o YubiKey 5C Nano, que nuestros empleados deben mantener siempre en la ranura USB de sus portátiles. La segunda es la YubiKey 5 NFC o YubiKey 5C NFC, que funciona tanto en los equipos de escritorio como en los dispositivos móviles mediante NFC o USB-C.

A finales de 2018, distribuimos las claves de seguridad en un evento para toda la empresa. Pedimos a todos nuestros empleados que inscribieran sus claves, se autenticaran con ellas y realizaran sus preguntas sobre los dispositivos en un breve taller. El programa tuvo un gran éxito, pero aún había aspectos a mejorar y aplicaciones que no funcionaban con WebAuthn. No estábamos listos para la implementación integral de las claves de seguridad. Necesitábamos alguna solución intermedia mientras acabábamos de resolver algunos problemas.

Somos responsables del mantenimiento de miles de aplicaciones y servidores, que estaban protegidos mediante nuestra VPN. Empezamos a migrar todas estas aplicaciones a nuestro proxy de acceso Zero Trust al mismo tiempo que facilitábamos a nuestros empleados su conjunto de claves de seguridad.

Cloudflare Access permitió que nuestros empleados accedieran de forma segura a los sitios que anteriormente estaban protegidos mediante la VPN. Cada servicio interno validaba una credencial firmada para autenticar un usuario y garantizaba que el usuario había iniciado sesión con nuestro proveedor de identidad. Cloudflare Access era necesario para nuestro despliegue de las claves de seguridad, ya que nos proporcionaba una herramienta para implementar selectivamente las primeras aplicaciones internas que requerirían la autenticación con una clave de seguridad.

Para incorporar nuestras aplicaciones a nuestros productos Zero Trust utilizamos Terraform. Esta es la política de Cloudflare Access donde implementamos por primera vez las claves de seguridad. Configuramos Cloudflare Access para utilizar OAuth2 al realizar la integración con nuestro proveedor de identidad. El proveedor de identidad notifica a Access el tipo de segundo factor utilizado como parte del flujo OAuth.

En nuestro caso, swk es una prueba de posesión de una clave de seguridad. Si un usuario ha iniciado sesión y no ha utilizado su clave de seguridad, verá un útil mensaje de error que le pedirá que vuelva a iniciar sesión y entre su clave de seguridad cuando se le solicite.

La implementación selectiva cambió de inmediato la trayectoria de nuestra implementación de las claves de seguridad. Iniciamos la implementación en un único servicio el 29 de julio de 2020, y la autenticación con las claves de seguridad se amplió enormemente durante los dos meses siguientes. Esto paso fue crucial para brindar a nuestros empleados la oportunidad de familiarizarse con la nueva tecnología. Un periodo de implementación selectiva debería durar como mínimo un mes, para que también puedan beneficiarse aquellos empleados que estén de vacaciones. No obstante, en retrospectiva, no es necesario que dure mucho más.

¿Qué otras ventajas de seguridad nos ha aportado la migración de nuestras aplicaciones a nuestros productos Zero Trust y fuera de la VPN? Con las aplicaciones heredadas, o las aplicaciones que no implementan SAML, esta migración era necesaria para la aplicación del control de acceso basado en roles (RBAC) y el principio del privilegio mínimo. Una VPN autenticará el tráfico de tu red, pero tus aplicaciones no sabrán a quién pertenece este tráfico de red. Nuestras aplicaciones tenían dificultades para aplicar varios niveles de permisos. Cada una de ellas tenía que reinventar su propio esquema de autenticación.

Cuando incorporamos Cloudflare Access, creamos grupos para aplicar RBAC e indicar a nuestras aplicaciones qué nivel de permiso debía tener cada persona.

En este sitio, solo los miembros del grupo ACL-CFA-CFDATA-argo-config-admin-svc tienen acceso. Este sitio garantiza que el usuario ha utilizado su clave de seguridad al iniciar sesión, sin que se requiera ninguna complicada integración de SAML o OAuth. Tenemos más de 600 sitios internos que utilizan este mismo patrón, y todos ellos aplican claves de seguridad.

En febrero de 2021, nuestros empleados empezaron a informar a nuestro equipo de seguridad acerca de intentos de ataque de ingeniería social. Estaban recibiendo llamadas telefónicas de personas que afirmaban pertenecer a nuestro departamento informático. Y nos preocupamos. Decidimos empezar a exigir el uso de las claves de seguridad para todas las autenticaciones, para evitar así que los empleados pudieran ser víctimas del ataque de ingeniería social.

Una vez desactivadas todas las otras formas de MFA (SMS, TOTP etc.), con la excepción de WebAuthn, utilizábamos oficialmente solo FIDO2. En este gráfico, sin embargo, el "token de software" (TOTP) no se muestra completamente a cero. Esto se debe a que las personas que pierden sus claves de seguridad y sus cuentas quedan bloqueadas deben realizar un proceso de recuperación protegido fuera de linea, donde se facilita el inicio de sesión mediante un método alternativo. La práctica recomendada es distribuir varias claves de seguridad a los empleados para que dispongan de una clave de reserva en caso de que se encuentren en esta situación.

Ahora que todos los empleados utilizan sus YubiKeys para MFA a prueba de phishing, ¿hemos terminado? ¿Qué pasa con los protocolos SSH y no HTTP? Queríamos un único enfoque unificado de la gestión de la identidad y el acceso. Por lo tanto, lo siguiente que consideramos fue llevar las claves de seguridad a otros protocolos distintos.

Para poder llevar las claves de seguridad a las conexiones SSH, implementamos Cloudflare Tunnel en toda nuestra infraestructura de producción. Cloudflare Tunnel se integra perfectamente con Cloudflare Access, sea cual sea el protocolo que pase por el túnel, y la ejecución de un túnel requiere el cliente de túnel cloudflared. Esto significa que podríamos implementar el archivo binario cloudflared en toda nuestra infraestructura y crear un túnel a cada máquina, crear políticas de Cloudflare Access donde las claves de seguridad fueran necesarias, y conexiones ssh que empezaran a exigir las claves de seguridad mediante Cloudflare Access.

En la práctica, estos pasos son menos complicados de lo que parece, y la documentación para desarrolladores de Zero Trust incluye un a fantástico tutorial sobre cómo hacerlo. Cada uno de nuestros servidores tiene un archivo de configuración necesario para iniciar el túnel. Systemd invoca cloudflared, que utiliza este archivo de configuración (o uno similar) al iniciar el túnel.

Cuando un operador necesita ejecutar SSH en nuestra infraestructura, utiliza la directiva SSH ProxyCommand para invocar cloudflared, realizar la autenticación mediante Cloudflare Access y, a continuación, reenviar la conexión SSH mediante Cloudflare. Las configuraciones SSH de nuestros empleados tienen una entrada similar a esta, y se puede generar con un comando de ayuda en cloudflared:

tunnel: 37b50fe2-a52a-5611-a9b1-ear382bd12a6
credentials-file: /root/.cloudflared/37b50fe2-a52a-5611-a9b1-ear382bd12a6.json

ingress:
  - hostname: <identifier>.ssh.cloudflare.com
    service: ssh://localhost:22
  - service: http_status:404

Cabe señalar que OpenSSH ha sido compatible con FIDO2 desde la versión 8.2. Sin embargo, creemos que un enfoque unificado al control de acceso donde todas las listas de control de acceso se mantienen en un único panel presenta algunas ventajas.

Host *.ssh.cloudflare.com
    ProxyCommand /usr/local/bin/cloudflared access ssh –hostname %h.ssh.cloudflare.com

Tras los últimos meses, es indudable que el futuro de la autenticación es FIDO2 y WebAuthn. Nos ha llevado unos años llegar hasta aquí, y esperamos que nuestras conclusiones sean útiles a otras organizaciones que deseen modernizarse con la autenticación basada en FIDO.

Si te interesa implementar las claves de seguridad en tu organización, o te interesan los productos Zero Trust de Cloudflare, escríbenos a securitykeys@cloudflare.com. Aunque nos complace que nuestros esfuerzos preventivos nos hayan ayudado a resistir la última ola de ataques de phishing y de ingeniería social, nuestro equipo de seguridad sigue creciendo para ayudar a detener cualquier ataque futuro.

Cada red es diferente, y la clave para gestionar el complicado entorno de seguridad de una red empresarial es tener muchas herramientas en el cuadro de herramientas. La mayoría de estas funciones se engloban en la palabra de moda del sector SASE, que significa perímetro de servicio de acceso seguro. El producto SASE de Cloudflare es Cloudflare One, y es una plataforma completa para operadores de redes. Incluye:

• Magic WAN, que ofrece una conectividad segura de red como servicio (NaaS) para tus centros de datos, sucursales y nubes privadas virtuales (VPC), y se integra con tus redes MPLS heredadas.

• Cloudflare Access, que es un servicio de acceso a la red Zero Trust (ZTNA) que requiere una verificación estricta de cada usuario y cada dispositivo antes de autorizarlos a acceder a recursos internos.

• Gateway, nuestra puerta de enlace web segura, que opera entre una red corporativa e Internet para aplicar políticas de seguridad y proteger los datos de las empresas.

• Un agente de seguridad de acceso a la nube (CASB), que supervisa la red y los servicios externos de la nube en busca de amenazas a la seguridad.

• Cloudflare Area 1, una herramienta de detección de amenazas en el correo electrónico para analizar los correos electrónicos en busca de phishing, malware y otras amenazas.

Estamos encantando de asociarnos con operadores de redes móviles para estos servicios porque nuestras redes y servicios son tremendamente complementarios. Pensemos primero en la conectividad SD-WAN (red de área amplia definida por software), que es la base sobre la que se apoya gran parte del marco de SASE. Imaginemos como ejemplo a un desarrollador que trabaja desde casa y crea una solución con las API de Internet de las cosas de un operador de redes móviles. Quizá esté trabajando en un software de seguimiento del número de bebidas que quedan en una máquina de refrescos, o quiera realizar un seguimiento de las rutas de los camiones de reparto.

El desarrollador que trabaja desde casa y su conjunto de dispositivos deben estar en la misma red de área amplia, de forma segura y a un coste razonable. Lo que Cloudflare proporciona es la capa de software programable que permite esta conectividad segura. El desarrollador y el empresario siguen necesitando conectividad a Internet en casa, y para el conjunto de dispositivos. La capacidad de establecer una conexión segura a tu conjunto de dispositivos de nada sirve sin la conectividad empresarial, y esta solo tiene más valor con la conexión segura que se ejecuta sobre ella. Son la pareja perfecta.

Una vez establecida la conectividad, podemos poner una capa en una plataforma Zero Trust para garantizar que cada usuario solo pueda acceder a los recursos para los que tenga permiso. Cada vez que un usuario quiera acceder a un recurso protegido (mediante ssh, a un servicio en la nube, etc.), se le pide que se autentique con sus credenciales de inicio de sesión único antes de que se le conceda el acceso. Las redes que utilizamos cada día crecen y se distribuyen más. Una arquitectura Zero Trust permite ese crecimiento a la vez que protege ante riesgos conocidos.

Dado el potencial de las redes 5G de baja latencia, tanto los consumidores como los operadores están esperando una "aplicación 5G increíble". Tal vez sean los vehículos autónomos y la realidad virtual, pero nosotros apostamos por una revolución más silenciosa: migrar el proceso, es decir, el "trabajo" que debe hacer un servidor para responder a una solicitud, de los grandes centros de datos regionales a los pequeños centros de datos a nivel urbano, incorporando la capacidad de proceso dentro de las redes inalámbricas e incluso hasta a la base de las torres de telefonía móvil.

La plataforma de proceso perimetral de Cloudflare se llama Workers, y eso es exactamente lo que hace: ejecutar código en el perímetro. Su diseño es sencillo. Cuando un desarrollador crea una API para dar soporte a su producto o servicio, no quiere preocuparse por las regiones y las zonas de disponibilidad. Con Workers, un desarrollador escribe el código que quiere que se ejecute en el perímetro, lo implementa y, en unos pocos segundos, se ejecuta en todos los centros de datos de Cloudflare a nivel global.

Algunas de las cargas de trabajo que ya vemos, y esperamos ver más, son:

• Empresas de IoT (Internet de las cosas) que implementan funciones complejas de lógica y seguridad de los dispositivos directamente en el perímetro, lo que les permite añadir funciones de vanguardia sin añadir coste o latencia a sus dispositivos.

• Plataformas de comercio electrónico que almacenan, también en caché, activos personalizados cerca de sus visitantes con el objetivo de mejorar la experiencia de cliente y conseguir mayores porcentajes de conversión.

• Plataformas de datos financieros, incluidos nuevos reproductores de la Web3, que ofrecen a sus usuarios información y transacciones casi en tiempo real.

• La experimentación y pruebas A/B se ejecutan en el perímetro sin añadir latencia ni incorporar  dependencias en el lado del cliente.

• Los dispositivos de salud que rastrean los movimientos y las estadísticas de salud de un usuario pueden descargar las cargas de trabajo de un volumen de proceso elevado sin afectar a la velocidad ni a la latencia.

• Aplicaciones para el comercio minorista que ofrece un servicio rápido y una experiencia personalizada para cada cliente sin necesidad de recurrir a una solución local cara.

La sección de casos prácticos de Cloudflare cuenta con otros ejemplos de NCR, Edgemesh, BlockFi y otros sobre cómo se utiliza la plataforma Workers. Aunque estos ejemplos sean fascinantes, lo que más nos entusiasma es proporcionar la plataforma para futuras innovaciones.

Habrás visto que la semana pasada anunciamos que Workers for Platforms  ya está disponible para el público general. Workers for Platforms es una estructura tipo paraguas que permite que una organización matriz habilite Workers para sus propios clientes. Como operador de redes móviles, tu objetivo es proporcionar los medios para que los dispositivos se puedan comunicar con los clientes. Para los casos de uso de IoT, el envío de datos es el primer paso, pero el increíble potencial de esta conectividad son las aplicaciones que permite. Con Workers for Platforms, los operadores de redes móviles pueden presentar un producto integrado que permita a los clientes acceder a la potencia de cálculo en el perímetro.

Las redes complementarias entre las redes móviles y Cloudflare son otra área de oportunidad. Cuando un usuario interactúa con Internet, uno de los factores más importantes para la velocidad de su conexión es la distancia física entre su teléfono y los contenidos y servicios a los que quiere acceder. Si la solicitud de datos de un usuario de Denver tiene que recorrer el camino hasta uno de los principales centros de Internet de Dallas, San José o Chicago (¡y luego todo el camino de vuelta!), va a ser un proceso muy lento. Pero si el operador de redes móviles puede conectar con el servicio que está en Denver, la conexión será mucho más rápida.

Uno de los desarrollos más interesantes de las nuevas redes 5G es la capacidad que tienen los operadores de redes móviles de realizar una "difusión más local". Muchos operadores de redes móviles están avanzando hacia redes de acceso por radio distribuidas y nativas de la nube, lo que proporciona más flexibilidad para mover y multiplicar los núcleos de paquetes. Estos núcleos de paquetes son el centro de una red móvil y todos los datos de los clientes de la red fluyen a través de uno de ellos.

En el caso de Cloudflare, que tiene centros de datos en más de 275 ciudades de todo el mundo, un usuario nunca tiene que esperar mucho tiempo con ninguno de nuestros servicios. También podemos llevarlo un paso más allá. En algunos casos, nuestros servicios están integrados en la propia red del operador de redes móviles o del proveedor de servicios de Internet. El tráfico que conecta a un usuario con un dispositivo, autoriza la conexión y transmite los datos de forma segura. Se encuentra dentro de los límites de la red del operador de redes móviles, y nunca tiene que ir a la red pública de Internet, incurrir en latencia extra o poner en riesgo de cualquier manera el rendimiento para sus clientes.

Estamos encantados de asociarnos con operadores de redes móviles porque nuestros servicios de seguridad funcionan mejor cuando nuestros clientes cuentan con una buena conexión empresarial. Del mismo modo, creemos que las redes móviles pueden dar más valor a sus clientes con nuestro software de seguridad. Si te gustaría hablar sobre cómo integrar Cloudflare One en tus soluciones, envíanos un correo electrónico a mobile-operator-program@cloudflare.com, y nos pondremos en contacto contigo.

.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-onfx{background-color:#afe4fd;color:#3663ae;font-size:18px;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-baqh{text-align:center;vertical-align:top} .tg .tg-c3ow{border-color:inherit;text-align:center;vertical-align:top} .tg .tg-cmei{background-color:#afe4fd;border-color:inherit;color:#3663ae;font-size:18px;font-weight:bold;text-align:left; vertical-align:top} .tg .tg-8d3w{background-color:#FFF;border-color:inherit;color:#222;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-q8v8{background-color:#afe4fd;border-color:inherit;color:#3663ae;font-size:18px;font-weight:bold;text-align:center; vertical-align:top} .tg .tg-0pky{border-color:inherit;text-align:left;vertical-align:top} .tg .tg-gct1{background-color:#FFF;border-color:inherit;color:#222;text-align:center;vertical-align:top} .tg .tg-4ufn{background-color:#FFF;color:#222;font-weight:bold;text-align:center;vertical-align:top}

Grupo de criterios funcionales

Cloudflare

Zscaler

Plataforma de red nativa en Internet

100 % (5 de 5)

20 % (1 de 5)

Plataforma de servicios nativa en la nube

100 % (4 de 4)

25 % (1 de 4)

Servicios para adoptar SASE

83 % (5 de 6)

66 % (4 de 6)

Servicios para ampliar Zero Trust, SSE, SASE y otros

66 % (8 de 12)

58 % (7 de 12)

Accesos directos a redes

90 % (9 de 10)

50 % (5 de 10)

Muchos pueden encontrar esto sorprendente. Cuando lo hemos comentado con los clientes, con frecuencia nos han preguntado: ¿Cómo? ¿Cómo ha podido crear Cloudflare tan rápido una oferta competitiva?

Haber creado la mayor red Anycast programable del mundo ha sido sin duda una gran ventaja. Esta fue la base del actual negocio de servicios de aplicaciones de Cloudflare, que ofrece experiencias web y de aplicaciones seguras y eficaces a clientes de todo el mundo. Nos ha proporcionado información detallada de la seguridad y el rendimiento en Internet. Pero no solo nuestra infraestructura estaba preparada para abordar los problemas reales de los clientes a escala, sino que nuestra plataforma de desarrollo de informática sin servidor, Workers, se diseñó específicamente para desarrollar aplicaciones distribuidas a nivel global con seguridad, fiabilidad y rendimiento integrados. Hemos podido desarrollar sobre nuestra plataforma para proporcionar servicios Zero Trust a una velocidad incomparable, una velocidad que esperamos que se mantenga.

Pero también hemos contado con otra ventaja que esta cronología contradice. En los últimos 15 años, muchas cosas han cambiado en el ámbito de la seguridad empresarial. Por ejemplo, la idea de una red global eficiente como la nuestra era algo impensable en su momento. Cuando empezamos a desarrollar nuestra oferta Zero Trust, teníamos la ventaja de poder empezar totalmente de cero, y la hemos podido desarrollar basándonos en premisas sobre la nube completamente modernas.

Pero sabemos que estás aquí porque quieres ver las pruebas. Y aquí te las proporcionamos. Hemos publicado un nuevo análisis detallado funcional en nuestra página pública, que compara las plataformas de Zscaler y Cloudflare. Echaremos un vistazo a dos de los cinco grupos de criterios: los servicios para adoptar SASE y los accesos directos a la red. Muchos criterios incluyen notas a pie de página en el PDF para añadir contexto y claridad (se indica con un *).

.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-ucok{background-color:#afe4fd;border-color:#000000;color:#3663ae;font-size:18px;font-weight:bold;text-align:center; vertical-align:top} .tg .tg-baki{background-color:#fe0000;border-color:#000000;color:#ffffff;text-align:center;vertical-align:middle} .tg .tg-ru72{background-color:#fe0000;border-color:#000000;color:#ffffff;text-align:center;vertical-align:top} .tg .tg-ycfl{background-color:#009901;border-color:#000000;color:#ffffff;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-68aq{background-color:#afe4fd;border-color:#000000;color:#3663ae;font-size:18px;font-weight:bold;text-align:left; vertical-align:top} .tg .tg-73oq{border-color:#000000;text-align:left;vertical-align:top} .tg .tg-dp1c{background-color:#009901;border-color:#000000;color:#ffffff;text-align:center;vertical-align:top}

Servicios para adoptar SASE

Cloudflare

Zscaler

Acceso Zero Trust a la red (ZTNA)

SÍ

SÍ

Agente de seguridad de acceso a la nube (CASB)

SÍ

SÍ

Puerta de enlace web segura (SWG)

SÍ

SÍ

Firewall como servicio (FWaaS)

SÍ

SÍ

WAN como servicio con aceleración de tráfico en las capas 3 y 7*

SÍ

NO

SD-WAN local*

NO - socio

NO - socio

.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-baki{background-color:#fe0000;border-color:#000000;color:#ffffff;text-align:center;vertical-align:middle} .tg .tg-ph0s{background-color:#afe4fd;border-color:#000000;color:#3663ae;font-size:18px;font-weight:bold;text-align:center; vertical-align:middle} .tg .tg-tpun{background-color:#009901;color:#ffffff;text-align:center;vertical-align:middle} .tg .tg-68aq{background-color:#afe4fd;border-color:#000000;color:#3663ae;font-size:18px;font-weight:bold;text-align:left; vertical-align:top} .tg .tg-73oq{border-color:#000000;text-align:left;vertical-align:top} .tg .tg-kos1{background-color:#009901;border-color:#000000;color:#ffffff;font-weight:bold;text-align:center;vertical-align:middle} .tg .tg-w7s0{background-color:#009901;border-color:#000000;color:#ffffff;text-align:center;vertical-align:middle} .tg .tg-d6fj{background-color:#fe0000;border-color:#000000;color:#ffffff;font-weight:bold;text-align:center;vertical-align:middle} .tg .tg-0lax{text-align:left;vertical-align:top} .tg .tg-ydhf{background-color:#fe0000;color:#ffffff;text-align:center;vertical-align:middle}

Accesos directos a redes

Cloudflare

Zscaler

Acceso sin cliente basado en el navegador

SÍ

SÍ

Software de cliente en dispositivo

SÍ

SÍ

Software conector de aplicación*

SÍ

SÍ

Software de conectores de filiales*

NO

SÍ

Túneles DNS Anycast, GRE, IPsec, QUIC, Wireguard*

SÍ

NO

Interconexión de redes privadas para centros de datos y oficinas

SÍ

NO

Tránsito IP entrante (BYOIP)

SÍ

NO

Admite conexiones solo IPv6*

SÍ

NO

Solucionadores de DNS recursivo

SÍ

SÍ

Clientes en dispositivo y solucionadores de DNS abiertos al público*

SÍ

NO

Si bien una comparación detallada de los 37 criterios funcionales muestra que estamos en cabeza, y nuestra página explica por qué nuestra arquitectura es más simple, fiable y rápida para la innovación, también sabemos que un producto es mucho más que una lista de funciones. Puesto que Zero Trust se implementa en toda la organización, la experiencia de uso del producto es fundamental. A continuación, tres áreas clave en las que Cloudflare One supera a Zscaler Zero Trust Exchange, tanto para los usuarios finales como para los administradores.

Afirmación: Zscaler afirma que gestiona la "nube de seguridad más grande del mundo", aunque la red de Zscaler está dividida en al menos 8 nubes distintas, según sus propios recursos de configuración: zscalertwo.net, zscalerthree.net, por ejemplo. Desde el punto de vista de la facilidad de uso, muchas nubes no permiten una experiencia de administrador sencilla, ya que cada una de las principales soluciones de Zscaler tiene su propio portal y su propio inicio de sesión, lo que significa que interactúas con cada una de ellas como si fuera un producto independiente, en lugar de con una única "nube de seguridad".

La ventaja de Cloudflare One: somos transparentes sobre el tamaño de nuestra inmensa red global Anycast e informamos sobre el número de ciudades, no de centros de datos. La ubicación de nuestros clientes es importante, y su capacidad para acceder a cada uno de nuestros servicios, independientemente de dónde estén, también. Tenemos centros de datos es de más de 270 ciudades (todas ellas en la misma red en la nube), mientras que Zscaler tiene centros de datos en 55 ciudades (y recuerda que no todas estas ciudades están en la misma red en la nube). Todos los servicios (y sus actualizaciones y nuevas funciones) de Cloudflare One están diseñados para ejecutarse en todos los servidores de todos los centros de datos de todas las ciudades, que están disponibles para cada uno de nuestros clientes. Y en el frontend, Cloudflare One proporciona un panel de control para toda las soluciones Zero Trust: ZTNA, CASB, SWG, RBI, DLP  y muchas otras. Esto soluciona el problema de la silla giratoria, al no perderse tiempo alineando manualmente las políticas y los análisis aislados en pantallas separadas.

De nada sirve ofrecer una gran seguridad si ralentiza y degrada la experiencia del usuario. Un acceso sencillo, fluido y rápido es fundamental para el éxito de las implantaciones Zero Trust. De lo contrario, antes de que te des cuenta tus usuarios estarán buscando soluciones alternativas.

Zscaler afirma que son compatibles con "... un ancho de banda máximo de 1 Gb/s para cada túnel [IP] GRE, si sus direcciones IP internas no están detrás de NAT". Aunque la mayoría de las aplicaciones y conexiones de Internet se toparían con un cuello de botella de red de 1 Gb/s en algún punto de su recorrido hasta el usuario final, algunas aplicaciones necesitan más ancho de banda y se han diseñado para ello. Por ejemplo, los usuarios esperan que las transmisiones de vídeo o el intercambio de archivos de gran tamaño se lleven a cabo de forma instantánea, como cualquier otra actividad en Internet. La suposición de que habrá un cuello de botella crea un límite artificial en los tipos de rendimiento que se pueden conseguir, lo que limita el rendimiento, incluso cuando se pueden garantizar las velocidades en los enlaces y la conectividad.

La ventaja de Cloudflare One: hemos dedicado mucho tiempo a realizar pruebas, y los resultados son evidentes: desde la perspectiva del usuario final, el rendimiento de Cloudflare One es excepcional, y superior al de Zscaler. Hemos probado el rendimiento entre dos dispositivos que ejecutaban una aplicación con un gran ancho de banda. Estos dispositivos estaban en diferentes VPC dentro de la red de una nube pública, pero también podían estar en diferentes subredes dentro de una red privada local. Se configuró cada VPC para utilizar el túnel IP Anycast de Cloudflare como acceso directo a la red de Cloudflare, lo que permitía que ambos dispositivos se conectaran de forma segura a través de Cloudflare One. Y los resultados de rendimiento registrados en ambos sentidos fueron de 6 Gb/s, lo que supone una capacidad considerablemente mayor que los límites establecidos por Zscaler y otros. Por tanto, tu organización no tiene que preocuparse de que tu nueva aplicación con gran ancho de banda se vea limitada por la plataforma Zero Trust que hayas adoptado.

Zscaler afirma ser el "acceso más rápido a Internet". Pero esto es poco que más un juego de prestidigitación: el acceso es solo una parte de la ecuación; tus datos tienen que atravesar la red, y también salir cuando lleguen a su destino. Sin funcionalidades de conectividad rápidas y efectivas más allá del acceso, Zscaler es solo una plataforma SSE y no se extiende a SASE. En otras palabras, Zscaler no se ha centrado en la parte del trabajo en red de la plataforma.

La ventaja de Cloudflare One: contamos con más de 10 500 pares de interconexión, lo que mejora la capacidad. No entregamos a los clientes en el perímetro, como hace Zscaler. Puedes usar la red troncal virtual de Cloudflare para el tránsito. La red de Cloudflare enruta más de 3 billones de solicitudes al día, lo que proporciona a Argo Smart Routing una posición privilegiada para detectar la congestión en tiempo real y enrutar los paquetes IP a través de las rutas de red más rápidas y fiables.

Empezamos este blog escribiendo sobre la importancia de la funcionalidad, así que vamos a terminar aquí. Todas las ventajas de interconexión y de rendimiento demostradas carecen de importancia si no se tienen en cuenta los servicios ofrecidos. Y aunque Zscaler afirma que pueden eliminar la necesidad de los centros de datos regionales al ofrecer servicios como SWG y ZTNA, se olvidan por completo de abordar la necesidad de las organizaciones de proteger sus aplicaciones en la nube o sus servidores locales de un extremo a otro, incluyendo el tráfico entrante cuando están expuestos a Internet, mediante el uso de firewalls de aplicaciones web, equilibrio de carga, DNS autoritativo y protección contra DDoS, exactamente el ámbito donde empezó Cloudflare, y donde sigue siendo líder.

En cuatro años, hemos superado a Zscaler en lo relativo a la exhaustividad de la oferta, incluyendo una implementación más sencilla, resiliencia de la red y velocidad en la innovación. Aquí puedes leer los detalles y unirte a nosotros mientras consideramos los próximos cuatro años y más allá.

Nuestro recorrido fue similar al de muchos de nuestros clientes. No solo queríamos mejores soluciones de seguridad, sino que también las herramientas que utilizábamos dificultaban nuestro trabajo más de lo necesario. Empezamos buscando una alternativa a la conexión remota en una VPN engorrosa, pero poco después estábamos implementando soluciones Zero Trust para proteger la navegación web y el correo electrónico de nuestros usuarios. Lo siguiente que queremos hacer es mejorar la seguridad de nuestro SaaS con nuestro nuevo producto CASB.

Sabemos que empezar a usar Zero Trust puede parecer abrumador, así que esperamos que puedas aprender de nuestra propia experiencia y de las ventajas que nos proporcionó.

En 2015, todas las aplicaciones alojadas internamente en Cloudflare tenían acceso a una VPN basada en hardware. Los ingenieros en servicio encendían un cliente en su portátil, se conectaban a la VPN y entraban en Grafana. Este proceso era frustrante y lento.

Muchos de los productos que creamos son resultado directo de los desafíos a los que se enfrenta nuestro propio equipo, y Access es un ejemplo perfecto de ello. Access, que empezó como un proyecto interno en 2015, permitía que los empleados accedieran a las aplicaciones internas a través de nuestro proveedor de identidad. Empezamos con una sola aplicación detrás de Access para mejorar los tiempos de respuesta a incidencias. Los ingenieros que recibían una notificación en sus teléfonos podían pulsar en un enlace y, tras autenticarse mediante su navegador, conseguían de forma inmediata el acceso que necesitaban. En cuanto la gente empezó a trabajar con el nuevo flujo de autenticación, querían que estuviera en todas partes. Finalmente, nuestro equipo de seguridad nos obligó a migrar nuestras aplicaciones a Access, pero durante mucho tiempo fue algo completamente orgánico, pues los equipos estaban deseando utilizarlo.

Con la autenticación en nuestro perímetro de la red, pudimos dar soporte a una plantilla distribuida por todo el mundo sin la latencia de una VPN, y pudimos hacerlo de forma segura. Además, nuestro equipo está comprometido a proteger nuestras aplicaciones internas con los mecanismos de autenticación más seguros y más fáciles de usar, y la autenticación en dos fases es uno de los controles de seguridad más importantes que se pueden implementar. Con Cloudflare Access, podemos confiar en los sólidos mecanismos de autenticación en dos fases de nuestro proveedor de identidad.

No todos los segundos factores de autenticación ofrecen el mismo nivel de seguridad. Algunos métodos siguen siendo vulnerables a los ataques de tipo "Man in the middle" (MITM). Estos ataques suelen consistir en agentes maliciosos que roban las contraseñas de un solo uso, normalmente a través de tácticas de phishing, para acceder a recursos privados. Para acabar con esa posibilidad, implementamos claves de seguridad compatibles con FIDO2. FIDO2 es un protocolo de autenticación diseñado para prevenir el phishing, y lo consideramos en ese momento como una mejora de nuestra dependencia de los tokens de software.

Aunque la implementación FIDO2 puede dar problemas de compatibilidad, nos encantó la idea de mejorar nuestra postura de seguridad. Cloudflare Access nos permitió limitar el acceso a nuestros sistemas solo a FIDO2. Ahora los usuarios de Cloudflare deben utilizar sus claves de hardware para acceder a nuestras aplicaciones. La incorporación de Access no solo fue un gran avance en lo relativo a la facilidad de uso, sino que la aplicación de las claves de seguridad supuso una enorme mejora de nuestra postura de seguridad.

Unos años más tarde, en 2020, los equipos de seguridad de muchos clientes tenían problemas para ampliar los controles que habían habilitado en la oficina a sus trabajadores remotos. En respuesta, lanzamos Cloudflare Gateway, que ofrece a los clientes protección contra malware, ransomware, phishing, comando y control, Shadow IT y otros riesgos de Internet en todos los puertos y protocolos. Gateway dirige y filtra el tráfico en función de las políticas implementadas por el cliente.

Nuestro equipo de seguridad empezó con Gateway para implementar el filtrado de DNS en todas nuestras oficinas. Ya que Gateway fue creado sobre la misma red que 1.1.1.1, el solucionador de DNS más rápido del mundo, cualquier oficina actual o futura de Cloudflare tendrá filtrado de DNS sin incurrir en latencia adicional. Cada oficina se conecta al centro de datos más cercano y está protegida.

El cliente WARP de Cloudflare también fue creado sobre nuestro solucionador de DNS, 1.1.1.1. Amplía la seguridad y el rendimiento que se proporcionan en las oficinas a los dispositivos corporativos remotos. Con el cliente WARP implementado, los dispositivos de la empresa se conectan al centro de datos de Cloudflare más cercano y se enrutan a Cloudflare Gateway. Al colocarse entre el dispositivo empresarial e Internet, es segura toda la conexión del dispositivo, y ofrece también más velocidad y privacidad.

Queríamos ampliar el filtrado seguro de DNS a los teletrabajadores e implementamos el cliente WARP de Cloudflare en nuestra flota de dispositivos de puntos finales. La implementación permitió que nuestros equipos de seguridad pudieran preservar mejor nuestra privacidad al encriptar el tráfico DNS a través de DNS sobre HTTPS (DoH). Mientras tanto, Cloudflare Gateway clasifica los dominios basándose en Radar, nuestra propia plataforma de información sobre amenazas, lo que nos permite bloquear los dominios de alto riesgo y sospechosos para los usuarios de todo el mundo.

El filtrado de DNS es una herramienta útil de seguridad, pero se limita a bloquear dominios enteros. Nuestro equipo quería un instrumento más preciso para bloquear únicamente las URL maliciosas, y no todo el dominio. Debido a que Cloudflare One es una plataforma integrada, ya se había completado la mayor parte de la implementación. Todo lo que necesitábamos era añadir la CA raíz de Cloudflare a nuestros puntos finales y luego activar el filtrado de HTTP en el panel de control Zero Trust. Con esos sencillos pasos, pudimos implementar controles de bloqueo más granulares.

Además de un bloqueo más preciso, el filtrado de HTTP nos permite implementar control de inquilinos. Con el control de inquilinos, las políticas HTTP de Gateway regulan el acceso a las aplicaciones empresariales de SaaS. Las políticas se implementan con el uso de encabezados HTTP personalizados. Si el encabezado de la solicitud personalizada está presente y la solicitud se dirige a una cuenta de la organización, se concede el acceso. Si el encabezado de la solicitud está presente y la solicitud se dirige a una cuenta que no sea de la organización, como una cuenta personal, se puede bloquear la solicitud o se abrirá en un navegador aislado.

Después de proteger el tráfico de nuestros usuarios en las capas DNS y HTTP, implementamos la función de aislamiento de navegador, que permite que todo el código del navegador se ejecute en la nube en la red de Cloudflare. Esto aísla nuestros puntos finales de los ataques maliciosos y de las técnicas habituales de exfiltración de datos. Algunos productos de aislamiento remoto del navegador añaden latencia y frustran a los usuarios. La función de aislamiento de navegador de Cloudflare utiliza la potencia de nuestra red para ofrecer una experiencia inmejorable para nuestros empleados. Mejoró rápidamente nuestra postura de seguridad sin comprometer la experiencia del usuario.

Ademas, a principios de 2020, observamos un aumento en los intentos de phishing notificados por los empleados. Nuestro proveedor de correo electrónico basado en la nube tenía un potente filtro de spam, pero se quedaba corto a la hora de bloquear amenazas maliciosas y otros ataques avanzados. Al experimentar un aumento del volumen y la frecuencia de los ataques de phishing, pensamos que había llegado el momento de buscar opciones más completas para proteger el correo electrónico.

El equipo buscaba cuatro competencias principales en un proveedor: capacidad de analizar los archivos adjuntos del correo electrónico, capacidad de analizar enlaces sospechosos, protección del correo electrónico de la empresa y solidez de las API de los proveedores de correo electrónico nativos de nube. Después de probar muchos proveedores, Area 1 se convirtió en la elección clara para proteger a nuestros usuarios. Implementamos su solución a principios de 2020, y los resultados han sido fantásticos.

Debido a la abrumadora respuesta positiva al producto y el deseo de ampliar nuestra cartera de soluciones de Zero Trust, en abril de 2022 Cloudflare adquirió Area 1 Email Security. Nos ilusiona ofrecer a nuestros clientes las mismas protecciones que nosotros mismos utilizamos.

Cloudflare adquirió Vectrix en febrero de 2022. El CASB de Vectrix ofrece una función que estamos deseando añadir a Cloudflare One. La seguridad de SaaS es un problema creciente para muchos equipos de seguridad. Las herramientas de SaaS almacenan cada vez más datos empresariales confidenciales, así que los errores de configuración y el acceso externo pueden suponer una amenaza importante. No obstante, proteger estas plataformas puede suponer un importante desafío en cuestión de recursos. Las revisiones manuales en busca de errores de configuración o archivos compartidos externamente son procesos que necesitan mucho tiempo, aunque sean necesarios para muchos clientes. CASB reduce la carga de los equipos al garantizar los estándares de seguridad con el análisis de las instancias de SaaS y la identificación de las vulnerabilidades con solo unos clics.

Queremos asegurarnos de que garantizamos las mejores prácticas para la seguridad de SaaS, y como muchos de nuestros clientes, tenemos que proteger muchas aplicaciones SaaS. Siempre buscamos oportunidades para hacer que nuestros procesos sean más eficientes, así que estamos emocionados por incorporar uno de nuestros productos más nuevos de Zero Trust.

Cloudflare se enorgullece de implementar y probar sus propios productos. Nuestro equipo de seguridad trabaja directamente con el producto para probarlo primero a nivel interno. Nuestra misión es ayudar a mejorara Internet, y eso significa proporcionar información útil de nuestros equipos internos. Como principal consumidor de los productos de Cloudflare, el equipo de seguridad no solo ayuda a mantener a la empresa más segura, sino que también contribuye a crear mejores productos para nuestros clientes.

Esperamos que hayas disfrutado de la semana Cloudflare One. Nos ha encantado compartir nuestras experiencias contigo. Para ver nuestro resumen de la semana, visita Cloudflare TV.

La tecnología HTTP es una de las más antiguas que hacen posible Internet. En 1996, la seguridad y el rendimiento eran aspectos secundarios, y la encriptación la gestionaba la capa de transporte. Este modelo no se adapta a las necesidades de rendimiento actuales de Internet, y llevó a reemplazar HTTP con HTTP/2, y ahora con HTTP/3.

HTTP/3 acelera la actividad de navegación con el uso de QUIC, un protocolo de transporte moderno que siempre está encriptado por defecto. Proporciona un rendimiento más rápido, al reducir los viajes de ida y vuelta entre el usuario y el servidor web, y es más eficaz para usuarios que tengan conexiones poco fiables. Para obtener más información sobre las ventajas de rendimiento de HTTP/3, consulta nuestro blog anterior aquí.

La misión de Cloudflare es ayudar a mejorar Internet. Consideramos HTTP/3 un elemento fundamental para que Internet sea más rápido y seguro. Hemos trabajado estrechamente con el IETF para reiterar los documentos de los estándares HTTP/3 y QUIC. Estos esfuerzos, junto con los progresos realizados por los navegadores más populares, como Chrome y Firefox, para activar QUIC por defecto, han llevado a que el 25 % de todos los sitios web ahora utilicen HTTP/3, y a un análisis todavía más exhaustivo.

En los últimos años, hemos recomendado mucho HTTP/3. Primero añadimos la compatibilidad con QUIC de la capa de transporte subyacente en septiembre de 2018 y, a partir de ahí, trabajamos para añadir la compatibilidad con HTTP/3 para nuestros servicios de proxy inverso el año siguiente, en septiembre de 2019. Desde entonces, no hemos reducido nuestros esfuerzos, y hoy proporcionamos compatibilidad con la última revisión de HTTP/3, utilizando el identificador final "h3" que coincide con RFC 9114.

Aunque HTTP/3 tiene muchas ventajas, su introducción ha llevado a que los administradores que quieren filtrar e inspeccionar el tráfico HTTP en sus redes se enfrenten a una mayor complejidad de implementación y a desventajas en materia de la seguridad. HTTP/3 ofrece la conocida semántica de solicitud y respuesta de HTTP, pero el uso de QUIC cambia su aspecto y comportamiento "en el cable". Puesto que QUIC se ejecuta sobre UDP, es arquitectónicamente distinto de los protocolos heredados basados en TCP, y apenas es compatible con las puertas de enlace web seguras heredadas. Como resultado de la combinación de estos dos factores, para los administradores supone un desafío mantenerse al día acerca del panorama tecnológico en continua evolución, al mismo tiempo que se mantienen las expectativas de rendimiento de los usuarios y se garantiza la visibilidad y el control del tráfico de Internet.

Sin la adecuada compatibilidad de puerta de enlace web segura para HTTP/3, los administradores han tenido que elegir entre poner en riesgo la seguridad y/o el rendimiento para sus usuarios. Las concesiones en materia de seguridad incluyen no inspeccionar el tráfico UDP, o peor aún, renunciar a funciones de seguridad fundamentales como el análisis antivirus en línea, la prevención de pérdida de datos, el aislamiento de navegador y/o el registro del tráfico. Naturalmente, para cualquier organización preocupada por la seguridad, descartar la seguridad y la visibilidad no es un enfoque aceptable, y esto ha llevado a los administradores a desactivar proactivamente HTTP/3 en sus dispositivos de usuario final. Esto aumenta la complejidad de la implementación y sacrifica el rendimiento, ya que requiere desactivar la compatibilidad con QUIC en los navegadores web de los usuarios.

Una vez que la compatibilidad con la inspección HTTP/3 esté disponible para determinados navegadores a finales de este año, podrás activar la inspección HTTP/3 en el panel de control. Una vez iniciada la sesión en el panel de control de Zero Trust, deberás activar el redireccionamiento mediante proxy, hacer clic en la casilla correspondiente al tráfico UDP y activar el descifrado TLS en Configuración > Red > Firewall. Una vez activados estos ajustes, es posible aplicar el escaneado AV, el aislamiento remoto del navegador, DLP y el filtrado HTTP mediante las políticas HTTP a todo el tráfico HTTP redireccionado mediante proxy de tu organización.

Los administradores ya no tendrán que hacer concesiones en materia de seguridad en función de la evolución del panorama tecnológico, y podrán centrarse en la protección de su organización y de sus equipos. Cuando la inspección HTTP/3 esté disponible, nos pondremos en contacto con todos los clientes de Cloudflare One. Nos complace simplificar las implementaciones de puertas de enlace web seguras para los administradores.

La inspección del tráfico HTTP/3 estará disponible para todos los administradores de todos los tipos de planes. Si todavía no te has registrado, haz clic aquí para empezar.

La investigación de Area 1 de Cloudflare concluyó que casi el 10 % de todos los ataques maliciosos observados implicaban recolectores de credenciales, lo que pone de manifiesto que la identidad de las víctimas es el objetivo de los actores maliciosos. Mientras que los ataques de phishing habituales son bloqueados por los controles de seguridad existentes, los ataques y las cargas útiles sofisticados no tienen un patrón establecido que se pueda vincular de forma fiable con una regla de bloqueo o cuarentena. Además, debido al aumento de los ataques de phishing multicanal, las soluciones de seguridad para el correo electrónico necesitan la capacidad de detectar campañas combinadas que abarcan el correo electrónico y la entrega en la web, así como campañas diferidas que son benignas en el momento de la entrega, pero que se convierten en un arma en el momento del clic.

Cuando existen suficientes señales "difusas", la solución más eficaz es aislar el destino para garantizar la seguridad de los usuarios finales. Ahora, con la integración del Aislamiento de navegador de Cloudflare en la seguridad del correo electrónico de Area 1 de Cloudflare, estos ataques pueden detectarse y neutralizarse de forma sencilla.

¿Por qué los usuarios hacen clic en enlaces maliciosos? No es porque no hayan asistido a suficientes sesiones de formación o no sean conscientes de la seguridad. Es porque tienen 50 correos electrónicos sin leer en su bandeja de entrada, reuniones de Zoom a las que asistir y a su hijo de cuatro años cargado en los hombros. Hacen su mejor esfuerzo. Cualquier persona, incluidos los investigadores de seguridad, puede ser víctima de ataques de ingeniería social si el adversario está bien preparado.

Si aceptamos que errar es humano, el desarrollo de flujos de trabajo de seguridad plantea nuevas preguntas y objetivos:

• ¿Cómo podemos reducir, más que eliminar, la probabilidad del error humano?

• ¿Cómo podemos reducir el impacto de los errores humanos cuando se producen, en vez de si se producen?

• ¿Cómo se puede integrar la seguridad en los flujos de trabajo diarios de los usuarios?

Estas son las preguntas que teníamos en mente cuando llegamos a la conclusión de que el correo electrónico debe ser una parte fundamental de cualquier plataforma Zero Trust. Los usuarios cometen errores en el correo electrónico con la misma regularidad que en la red, a veces incluso con mayor regularidad.

Esta es una cuestión que abordan a diario los equipos de TI para equilibrar la mitigación de riesgos con la productividad de los usuarios. El equipo del Centro de operaciones de seguridad quiere que el Departamento de TI bloquee todo contenido desconocido o que plantee riesgos, mientras que la unidad de negocio quiere que el Departamento de TI permita todo lo que no sea explícitamente malo. Si el Departamento de TI decide bloquear los enlaces desconocidos o que planteen riesgos, y eso da lugar a un falso positivo, pierden tiempo añadiendo manualmente las URL a las listas de permiso, y quizá el atacante cambie después esas URL por contenido malicioso de todas formas. Si el Departamento de TI decide permitir sitios desconocidos o que planteen riesgos, en el mejor de los casos pierden tiempo recuperando los dispositivos infectados y restableciendo las credenciales de inicio de sesión, pero lo más habitual es que se ocupen de los daños causados por una fuga de datos o un bloqueo por ransomware. La simplicidad operativa de habilitar el RBI para el correo electrónico (también conocido como aislamiento de enlaces de correo electrónico) ahorra un tiempo considerable al Departamento de TI, Centro de operaciones de seguridad y unidades de negocio.

Para los clientes de Area 1 de Cloudflare, los pasos iniciales consisten en habilitar el RBI dentro de su portal:

Al activar el aislamiento de enlaces de correo electrónico, el ciclo efímero de un correo electrónico con enlaces sospechosos es el siguiente:

Paso 1: Area 1 de Cloudflare inspecciona el correo electrónico y determina que algunos enlaces de los mensajes son sospechosos o están al margen.

Paso 2: las URL y los hipervínculos sospechosos del correo electrónico se reescriben con una URL personalizada con prefijo de Area 1 de Cloudflare.

Paso 3: el correo electrónico se envía a las bandejas de entrada previstas.

Paso 4: si un usuario hace clic en el enlace del correo electrónico, Cloudflare lo redirige a un navegador remoto a través de <authdomain>.cloudflareaccess.com/browser/{{url}}.

Paso 5: el navegador remoto carga un sitio web en un servidor de la Red Global de Cloudflare y proporciona comandos de dibujo Zero Trust al punto final del navegador sin cliente del usuario**.**

Al ejecutar el código del navegador y controlar las interacciones del usuario en un servidor remoto y no en el dispositivo del usuario, se aíslan todos y cada uno de los intentos de malware y phishing, y no infectarán los dispositivos ni pondrán en riesgo a las identidades de los usuarios. Esto mejora la seguridad tanto del usuario como del punto final cuando hay riesgos desconocidos y dispositivos no gestionados, y permite a los usuarios acceder a sitios web sin tener que conectarse a una VPN o tener políticas estrictas de firewall.

RBI de Cloudflare utiliza una tecnología patentada única llamada Network Vector Rendering (NVR), que usa navegadores sin encabezados basados en Chromium en la nube, intercepta de forma transparente la salida de la capa de dibujo, transmite los comandos de dibujo de forma eficiente y segura a través de la web, y los redibuja en las ventanas de los navegadores HTML5 locales. A diferencia de las tecnologías de aislamiento de navegador heredadas, que se basaban en el empuje de píxeles o la reconstrucción del DOM, NVR está optimizada para ser escalable y segura y para la transparencia del usuario final, al tiempo que garantiza la compatibilidad general con los sitios web.

Veamos un ejemplo específico de un ataque de phishing diferido, cómo se escapa de las defensas tradicionales y cómo el aislamiento de enlaces de correo electrónico aborda la amenaza.

Conforme las empresas tratan de adoptar nuevos principios de seguridad y arquitecturas de red como Zero Trust, los adversarios no dejan de idear técnicas para eludir estos controles explotando la aplicación más utilizada y más vulnerable: el correo electrónico. El correo electrónico es un buen candidato para el riesgo debido a su ubicuidad y a la capacidad de un atacante de pasar desapercibido.

Tomemos un ejemplo de “ataque de phishing diferido” sin el aislamiento de enlaces de correo electrónico.

Preparación del atacante: semanas antes del envío del ataqueEl atacante prepara la infraestructura para el intento de phishing que se avecina. Esto puede incluir:

• Registrar un dominio

• Cifrarlo con SSL

• Configurar una autenticación de correo electrónico adecuada (SPF, DKIM, DMARC)

• Crear una página web inofensiva

Hasta ese momento, no existen pruebas del ataque, por lo que no puede ser detectado por las pasarelas de correo electrónico seguro, las soluciones basadas en la autenticación o la información sobre amenazas que se basa únicamente en señales basadas en la reputación y otras técnicas de detección deterministas.

“Envío” del ataque: domingo por la tardeEl atacante envía un correo electrónico que parece auténtico desde el dominio recién creado. Este correo electrónico incluye un enlace a la página web (todavía inofensiva). No hay nada en el correo electrónico que justifique bloquearlo o marcarlo como sospechoso. El correo electrónico llega a las bandejas de entrada previstas.

Envío del ataque: domingo por la nocheUna vez que el atacante está seguro de que todos los mensajes de correo electrónico han llegado a su destino, dirige el enlace a un destino malicioso cambiando la página web controlada por el atacante, quizás creando una página de inicio de sesión falsa para recabar credenciales.

Inicio del ataque: lunes por la mañanaCuando los usuarios comprueban sus bandejas de entrada para empezar la semana, ven el correo electrónico. Quizá no todos hagan clic en el enlace, pero algunos sí. Tal vez no todos los que hagan clic escriban sus credenciales, pero otros sí. Sin el aislamiento de enlaces de correo electrónico, el ataque tendrá éxito.

Las consecuencias del ataque solo acaban de empezar: una vez que se obtienen las credenciales de inicio de sesión de los usuarios, los atacantes pueden poner en riesgo cuentas legítimas, distribuir malware a la red de la empresa, robar información confidencial y causar muchos más daños posteriores.

La integración entre el Area 1 de Cloudflare y el Aislamiento de navegador de Cloudflare proporciona una capa crítica de protección posterior a la entrega que puede frustrar ataques similares al ejemplo de phishing diferido descrito anteriormente.

Si el atacante se prepara y ejecuta el ataque como se indica en la sección anterior, nuestro aislamiento de enlaces de correo electrónico analizaría el enlace de correo electrónico en el momento de hacer clic y realizaría una evaluación de alto nivel sobre si el usuario debería poder navegar hasta él.

Enlace seguro: se redirigirá a los usuarios al sitio de forma transparente.

Enlace malicioso: se bloquea la navegación de los usuarios.

Enlace sospechoso: se disuade a los usuarios de navegar y se les presenta una página de advertencia que les sugiere ver el enlace en un navegador aislado.

Si bien la página de advertencia fue la táctica de mitigación empleada en el ejemplo anterior, el aislamiento de enlaces de correo electrónico también ofrece a los administradores de seguridad otras opciones de mitigación personalizables, como poner la página en modo de solo lectura, restringir la descarga y carga de archivos y deshabilitar la entrada del teclado por completo en sus consolas de Cloudflare Gateway.

El aislamiento de enlaces de correo electrónico también se adapta a los flujos de trabajo existentes de los usuarios sin afectar a la productividad ni restarles tiempo con las incidencias informáticas. Dado que el Aislamiento de navegador de Cloudflare se desarrolla e implementa en la red de Cloudflare, que cuenta con ubicaciones en 270 ciudades en todo el mundo, las sesiones de navegación web se proporcionan lo más cerca posible de los usuarios, minimizando la latencia. Además, el Aislamiento de navegador de Cloudflare envía el resultado final de cada página web al usuario en lugar de limpiar la página o enviar un flujo de píxeles, reduciendo aún más la latencia sin interrumpir las aplicaciones basadas en el navegador, como el SaaS.

Los clientes actuales de Area 1 de Cloudflare y Cloudflare Gateway pueden optar a la versión beta del aislamiento de enlaces de correo electrónico. Para obtener más información e indicar tu interés, inscríbete para participar en nuestra próxima beta.

Si deseas ver qué amenazas detecta Area 1 de Cloudflare en tu tráfico de correo electrónico en directo, solicita una evaluación gratuita del riesgo de phishing aquí. Para empezar, solo necesitas cinco minutos y no afecta al flujo de correo.

En el proceso de creación de la solución DLP de Cloudflare One, hablamos con clientes de todos los tamaños y de muchos sectores. Nos centramos en conocer sus experiencias, qué productos usan y cuáles son las soluciones que echan en falta. Las respuestas mostraron importantes desafíos y frustraciones de los clientes. Nos complace ofrecer un producto que deje atrás esos problemas, y de hacerlo como parte de una solución integral Zero Trust.

Algunos clientes llevan muchos años usando soluciones de DLP en sus organizaciones. Han implementado agentes de punto de conexión, han elaborado conjuntos de reglas personalizadas y han creado canales de respuesta a incidentes. Algunos desarrollaron ellos mismos herramientas para rastrear números de tarjetas de crédito en la red corporativa, o conjuntos de reglas para rastrear cientos de miles de hashes de coincidencia exacta de datos.

Mientras tanto, otros clientes son totalmente nuevos en este mundo. Tienen equipos pequeños y rudimentarios que admiten muchas funciones informáticas y de seguridad. No cuentan con recursos de fácil acceso para asignarlos a la DLP, y no quieren quitarle prioridad a otro trabajo para empezar con esto.

Aun así, muchos nos contaban lo mismo: debido al ascenso meteórico de las herramientas SaaS, ya no se sentían seguros acerca de dónde se movían y estaban situados sus datos. La migración de los datos de los servidores corporativos a la nube supuso una pérdida de visibilidad y control. Incluso los equipos con programas de protección de datos en marcha desean mejorar su visibilidad de la red. Todos hacen los mismos tipos de pregunta:

• ¿A dónde van los datos?

• ¿Las cargas y descargas se mueven hacia y desde las instancias corporativas o personales de SaaS?

• ¿Qué aplicaciones almacenan datos confidenciales?

• ¿Quién tiene acceso a esas aplicaciones?

• ¿Podemos ver y bloquear las descargas grandes de los repositorios de archivos?

Parece que muchos clientes tienen la sensación de haberse quedado atrás por no haber resuelto estos problemas, y aun así son muchos los clientes que nos cuentan exactamente lo mismo. Sin embargo, estas dificultades no implican que se hayan quedado atrás, sino que necesitan una solución mejor. Con esta información, nos quedó claro que desarrollar un producto DLP era la opción correcta, pero ¿por qué hacerlo en Cloudflare One?

Una arquitectura de red Zero Trust está diseñada fundamentalmente para proteger tus datos. Al comprobar cada intento de acceso a una aplicación, máquina o escritorio en remoto protegido, tus datos se protegen según la identidad y el estado del dispositivo. Con el filtrado de DNS y HTTP, se protegen en función de la categoría y reputación del contenido. Al añadir un CASB basado en la API, se protegen también en función de la configuración de tus aplicaciones.

Con cada elemento de la arquitectura, tus datos se protegen en función de un nuevo identificador. Los identificadores anteriores te ayudan a entender quién accedió a los datos, a quién pertenecía el dispositivo que accedió a ellos, a dónde fueron y cómo se configuró el destino. Sin embargo, ¿qué eran los datos que se movieron?

La Prevención de pérdida de datos te permite proteger tus datos en función de sus características, o del tipo de datos que sean. Por ejemplo, se pueden identificar los datos confidenciales de varias maneras, como palabras clave, patrones o tipos de archivo. Estos indicadores te ayudan a entender la información que se transmite dentro o fuera de la red.

Con la DLP integrada en Cloudflare One, puedes combinar estos identificadores para crear reglas adaptadas a tu organización. Tienes que especificar el quién, el cómo, el dónde y el qué que satisface tus necesidades. Nuestro objetivo es proporcionar un conocimiento exhaustivo y detallado de tu red y tus datos, así como permitirte implementar la protección con facilidad.

Se están añadiendo perfiles de DLP al panel de control de Zero Trust. En estos perfiles es donde defines qué datos quieres proteger. Podrás añadir palabras clave y elaborar expresiones regulares para identificar la presencia de datos confidenciales. Cloudflare proporciona los perfiles para las detecciones habituales, como los números de tarjetas de crédito.

Después de configurar un perfil de DLP, puedes crear una política de HTTP de Cloudflare Gateway para permitir o bloquear que los datos confidenciales salgan de tu organización. Gateway analizará y escaneará tu tráfico HTTP en busca de cadenas que coincidan con las palabras clave o expresiones regulares especificadas en el perfil de DLP.

Sabemos que implementar DLP de forma integral y a escala es un desafío importante. Pero ahí es precisamente donde nosotros destacamos. Nuestra red entrega de forma segura el tráfico al 95 % de la población mundial conectada a Internet a 50 ms. También es compatible con nuestros productos líderes en el mercado, que envían y protegen el tráfico de los clientes a una velocidad y escala inimaginables. Recurrimos a una red muy potente y a nuestra experiencia en la resolución de problemas como este para abordar la Prevención de pérdida de datos, y estamos muy contentos con nuestros resultados

Vamos a lanzar una versión beta cerrada de nuestro producto de Prevención de pérdida de datos. Si estás interesado en un acceso anticipado, puedes inscribirte en la lista de espera hoy mismo rellenando este formulario.

¡Esto es solo el principio de nuestro trabajo con DLP! Ya contamos con muchos planes de crecimiento e integración con otros productos de Cloudflare One, como el Aislamiento remoto del navegador.

Area 1 diseñó una canalización de datos centrada en la identificación de amenazas de phishing nuevas y activas, que ahora complementa la categoría de phishing que está disponible actualmente en Gateway. Si cuentas con una política que haga referencia a esta categoría, ya te estás beneficiando de esta cobertura adicional ante amenazas.

Cloudflare es capaz de combinar los datos, procedimientos y técnicas que han desarrollado de forma independiente tanto el equipo de Cloudflare, como el equipo del Area 1 antes de la adquisición. Los clientes pueden beneficiarse del trabajo de ambos equipos en todo el conjunto de productos de Cloudflare.

Seleccionamos un conjunto de datos procedentes de nuestro propio tráfico de red, de fuentes OSINT y de numerosas asociaciones, y aplicamos un control de falsos positivos personalizado. Los clientes que confían en Cloudflare evitan tener que desarrollar software y la carga de trabajo operativa para distribuir y actualizar estas fuentes de información. Cloudflare se encarga de todo automáticamente, con actualizaciones frecuentes, en ocasiones cada minuto.

Cloudflare es capaz de ir más allá y trabajar para identificar proactivamente la infraestructura de phishing de múltiples maneras. Con la adquisición de Area 1, Cloudflare puede aplicar ahora el enfoque de investigación de amenazas centrado en el adversario de Area 1 en toda nuestra red. Un equipo de investigadores de amenazas rastrea a los ciberdelincuentes financiados por estados y con motivaciones de tipo financiero, las vulnerabilidades y exposiciones comunes (CVE) divulgadas recientemente y las tendencias actuales de phishing.

Cloudflare opera ahora servidores de intercambio de correo para cientos de organizaciones de todo el mundo, además de sus solucionadores de DNS, el paquete Zero Trust y servicios de red. Cada uno de estos productos genera datos que se utilizan para mejorar la seguridad de todos los productos de Cloudflare. Por ejemplo, como parte de la entrega de correo, el motor de correo lleva a cabo búsquedas de dominios, calcula posibles indicadores de phishing mediante aprendizaje automático y busca URL. Estos son datos que se pueden utilizar ahora con las soluciones de Cloudflare.

El equipo de Cloudflare Area 1 opera un conjunto de herramientas de rastreo web diseñadas para identificar páginas de phishing, detener campañas de phishing y destacar la infraestructura de los atacantes. Además, los modelos de amenazas de Cloudflare Area 1 evalúan las campañas en base a las señales recopiladas de las campañas de ciberdelincuentes, y los indicadores de riesgos asociados de estos mensajes de campaña se utilizan también para enriquecer los datos de amenazas de Cloudflare Area 1 para la detección de campañas futuras. Estas técnicas en conjunto dan una ventaja a Cloudflare Area 1 a la hora de identificar los indicadores de riesgo que muestra un atacante antes de que se produzcan sus ataques contra nuestros clientes. Como parte de este enfoque proactivo, Cloudflare Area 1 también cuenta con un equipo de investigadores de amenazas que rastrea a los ciberdelincuentes financiados por estados y con motivaciones de tipo financiero, las CVE divulgadas recientemente y las tendencias actuales de phishing. Con este proceso de investigación, los analistas añaden con regularidad indicadores de phishing en un amplio sistema de gestión de indicadores, que se pueden utilizar para nuestro producto de correo electrónico o cualquier otro producto que pueda consultarlo.

Cloudflare Area 1 también recopila información sobre amenazas de phishing durante el funcionamiento normal que lleva a cabo como servidor de intercambio de correo para cientos de organizaciones de todo el mundo. Como parte de esa función, el motor de correo realiza búsquedas de dominios, calcula los posibles indicadores de phishing mediante aprendizaje automático y busca las URL. En el caso de los correos electrónicos que se consideren maliciosos, los indicadores asociados al correo electrónico se insertan en nuestro sistema de gestión de indicadores como parte de un bucle de comentarios que se utilizará para la posterior evaluación de los mensajes.

Para admitir los productos de Cloudflare, incluidos Gateway y Page Shield, Cloudflare tiene una canalización de datos que ingiere datos de asociaciones, fuentes OSINT, además de información sobre amenazas que se ha generado de forma interna en Cloudflare. Siempre estamos trabajando para seleccionar un conjunto de información de inteligencia sobre amenazas que sea relevante para nuestros clientes y procesable en los productos que admite Cloudflare. Esta es lo que marca el camino que debemos seguir: qué datos podemos proporcionar que mejoren la seguridad de nuestros clientes sin exigirles que gestionen la complejidad de los datos, las relaciones y la configuración. Ofrecemos una variedad de categorías de amenazas a la seguridad, pero algunas de las principales áreas de enfoque incluyen:

• Distribución de malware

• Comando y control de malware y botnets

• Phishing

• Dominios nuevos y vistos recientemente

El phishing es una amenaza, independientemente de cómo entre en la organización el potencial enlace de phishing, ya sea por correo electrónico, SMS, invitación de calendario o documento compartido, o por cualquier otro medio. Por ello, la detección y el bloqueo de los dominios de phishing ha sido un área de desarrollo activo para el equipo de datos sobre amenazas de Cloudflare, casi desde que se creó.

De cara al futuro, podremos incorporar ese trabajo al proceso de detección de correos electrónicos de phishing de Cloudflare Area 1. La lista de dominios de phishing de Cloudflare puede ayudar a identificar correos electrónicos maliciosos cuando esos dominios aparecen en el remitente, los encabezados de entrega, el cuerpo del mensaje o los enlaces de un correo electrónico.

Los ciberdelincuentes han tenido una ventaja injusta durante mucho tiempo, y esa ventaja se basa en que conocen su objetivo, y en el tiempo que tienen para establecer campañas específicas contra dichos objetivos. Esa dimensión de tiempo permite a ciberdelincuentes configurar la infraestructura adecuada, realizar operaciones de reconocimiento, organizar campañas, realizar sondeos de prueba, observar sus resultados, iterar, mejorar y luego lanzar sus campañas de "producción". Este preciso elemento de tiempo nos da la oportunidad de descubrir, evaluar y filtrar de forma proactiva la infraestructura de las campañas antes de que estas alcancen un punto crítico. Pero para hacerlo con eficacia, necesitamos visibilidad y conocimiento de la actividad de las amenazas en el espacio público de la IP.

Con la amplia red de Cloudflare y su conocimiento global de los orígenes del tráfico web, DNS o correo electrónico, combinados con los conjuntos de datos de Cloudflare Area 1 de tácticas, técnicas y procedimientos de las campañas, infraestructura de propagación y modelos de amenazas, ahora estamos mejor posicionados que nunca para ayudar a las organizaciones a protegerse contra las actividades complejas de los ciberdelincuentes, y a recuperar esa ventaja que por tanto tiempo ha estado de su lado.

Si quieres ampliar Zero Trust a tu seguridad de correo electrónico para bloquear las amenazas avanzadas, contacta con tu gestor de Customer Success, o solicita una evaluación de riesgo de phishing aquí.

Si los servicios contra el phishing y de SEG se han utilizado tanto tiempo, ¿por qué las estafas de phishing siguen logrando su objetivo? De acuerdo con el principio de economía de Occam, se debe a que la SEG no se ha diseñado para proteger los entornos de correo electrónico actuales, ni es efectiva para detener de forma fiable los ataques de phishing actuales.

No obstante, si necesitas una explicación más fundamentada que la que proporciona el principio de Occam, sigue leyendo.

El cambio más destacado en el mercado del correo electrónico es también lo que hace que una SEG tradicional sea redundante: el cambio a los servicios de correo electrónico nativos de nube. Según Gartner®, se espera que, en 2025, más del 85 % de las organizaciones hayan adoptado una estrategia que priorice la nube. Las organizaciones que esperan que sus controles de seguridad les proporcionen escala, resiliencia y flexibilidad nativas de nube no lo obtendrán de los dispositivos heredados, como las SEG.

En lo que respecta específicamente al correo electrónico, Gartner® indica que "cada vez más, las funciones de seguridad avanzada del correo electrónico se están implementando como soluciones integradas de seguridad de correo electrónico de nube, en lugar de como una puerta de enlace" y, en 2023, al menos el 40 % de las organizaciones utilizarán funciones de protección integradas de los proveedores de correo electrónico de nube en lugar de una SEG. Hoy, el origen y el destino del correo electrónico puede estar en cualquier parte. Colocar una SEG delante de tu servidor Exchange es anacrónico, y poner una SEG delante de las bandejas de entrada de la nube en un entorno móvil y remoto es impracticable. Hoy, la seguridad del correo electrónico debe seguir al usuario, estar cerca de su bandeja de entrada y ser "omnipresente".

Una SEG no solo está desfasada en cuanto a su arquitectura, tampoco logra detectar el phishing avanzado ni los ataques de ingeniería social. Esto se debe a que se diseñó originalmente para detener el correo no deseado, un problema de gran volumen que requiere muestreos de ataques grandes para detenerlo y anularlo. Sin embargo, los ataques de phishing actuales son específicos, no dispersos. Su volumen es pequeño, son muy selectivos, y aprovechan nuestra confianza implícita en las comunicaciones por correo electrónico para robar dinero y datos. La detección de los modernos ataques de phishing requiere un análisis avanzado del correo electrónico que utiliza muchos recursos informáticos, así como algoritmos de detección de amenazas que una SEG no puede realizar a escala.

Cuando los administradores se encuentran ante una montaña de políticas de amenazas de correo electrónico que es necesario crear y ajustar es cuando resulta más evidente que la filosofía de detección de amenazas de una SEG es obsoleta. A diferencia de la mayoría de otros ciberataques, los ataques de phishing de correo electrónico y los ataques al correo electrónico corporativo (BEC) presentan demasiadas señales "confusas" y no es posible detectarlos exclusivamente mediante instrucciones deterministas if-then. Además, los atacantes no se quedan de brazos cruzados mientras creas tus políticas de amenazas de correo electrónico. Adaptan y modifican rápidamente sus técnicas para saltarse las reglas que acabas de crear. Confiar en los ajustes de la SEG para detener el phishing es como jugar a Whack-A-Mole habiendo amañado el juego a favor del atacante.

Para detectar el próximo ataque, las defensas tradicionales de seguridad del correo electrónico se basan en el conocimiento de las características de los ataques activos del pasado, como por ejemplo los datos de reputación y las firmas de amenazas. Por lo tanto, no pueden defenderte de forma fiable contra los modernos ataques en continua evolución.

Lo que necesitamos es una tecnología de seguridad orientada al futuro que no solo conozca las cargas útiles, los sitios web y las técnicas de phishing activo del pasado, sino que también reconozca los próximos movimientos de los ciberdelincuentes. ¿Qué sitios y cuentas están poniendo en riesgo o han decidido utilizar en los ataques futuros? ¿Qué cargas útiles y técnicas piensan utilizar en estos ataques? ¿Qué ubicaciones están tanteando y sondeando antes de un ataque?

Cloudflare Area 1 explora proactivamente Internet en busca de la infraestructura de atacantes y las campañas de phishing que se están gestando. Los rastreadores web de Area 1 centrados en las amenazas analizan dinámicamente las cargas útiles y páginas web sospechosas, y actualizan continuamente los modelos de detección a medida que las tácticas de los atacantes evolucionan. Todo ello para detener los ataques de phishing días antes de que lleguen a la bandeja de entrada.

Cuando esto se combina con más de un billón de solicitudes DNS que Cloudflare Gateway observa a diario, este corpus de información sobre amenazas permite a los clientes detener las amenazas de phishing en la fase más temprana del ciclo de ataque. Además, el uso de análisis contextuales detallados para comprender las variaciones de opinión, del tono, la expresión y el hilo permite a Area 1 comprender y distinguir entre mensajes válidos del proceso comercial y campañas de suplantación sofisticadas.

Aunque creemos firmemente en la estratificación de la seguridad, las capas no deberían ser redundantes. Una SEG duplica muchas de las funciones que ahora los clientes obtienen en el paquete de su solución de correo electrónico de nube. Area 1 se ha desarrollado para mejorar, no para duplicar, la seguridad nativa del correo electrónico, y para detener los ataques de phishing que logran superar las capas de defensa iniciales.

La mejor forma de iniciar tu proyecto de sustitución de la SEG es decidir si se trata de una sustitución directa o de una sustitución eventual que se inicia con una mejora. Aunque muchos clientes de Cloudflare Area 1 han sustituido su SEG (más información a continuación), también nos hemos encontrado casos donde los clientes prefieren ejecutar inicialmente Cloudflare Area 1 en sentido descendente de su SEG, evaluar la eficacia de ambos servicios y, a continuación, tomar una determinación más definitiva. De una u otra forma, hacemos que el proceso sea sencillo.

Cuando inicies el proyecto, es importante que participen las partes interesadas adecuadas. Como mínimo, debe participar un administrador de TI para garantizar la entrega del correo electrónico y que la productividad no se vea afectada, así como un administrador de seguridad para supervisar la eficacia de la detección. Otras partes interesadas podrían incluir tu socio de canal, en el caso de que este sea tu proceso de adquisiciones preferido, así como alguien del equipo de privacidad y conformidad para verificar una adecuada gestión de los datos.

A continuación, debes tomar una decisión acerca de la arquitectura de implementación de Cloudflare Area 1 que prefieres. Cloudflare Area 1 se puede implementar como un registro MX, sobre las API, e incluso ejecutar también en una implementación multimodo. Recomendamos implementar Cloudflare Area 1 como el registro MX para la protección más efectiva contra las amenazas externas, pero el servicio se adapta a tu entorno en función de tu lógica empresarial y tus necesidades específicas.

La preparación final implica trazar tu flujo de correo electrónico. Si tienes varios dominios, identifica a dónde se enrutan los correos electrónicos de cada uno de tus dominios. Comprueba tus distintas capas de enrutamiento (p. ej. ¿hay agentes de transferencia de correo (MTA) que retransmitan los mensajes entrantes?). Comprender bien las capas SMTP lógicas y físicas de la organización garantizará el enrutamiento correcto de los mensajes. Comenta qué tráfico de correo electrónico debe explorar Cloudflare Area 1 (norte/sur, este/oeste, ambos) y dónde encaja con tus políticas de correo electrónico existentes.

Paso 1: implementa la protección del correo electrónico

Estos son los pasos generales que debes seguir si Cloudflare Area 1 está configurado como un registro MX (tiempo estimado: aprox. 30 minutos):

• Configura el servicio en sentido descendente para aceptar el correo de Cloudflare Area 1.

• Asegúrate de que las IP de salida de Cloudflare Area 1 no tengan limitación de velocidad ni estén bloqueadas, ya que esto afectaría a la entrega de mensajes.

• Si el servidor de correo electrónico es local, actualiza las reglas de firewall para permitir que Cloudflare Area 1 realice la entrega a estos sistemas.

• Configura las reglas de corrección (p. ej. poner en cuarentena, añadir asunto o prefijo del cuerpo del mensaje, etc.).

• Prueba el flujo de mensajes inyectando mensajes en Cloudflare Area 1 para confirmar que la entrega se realiza correctamente (nuestro equipo puede ayudarte con este paso).

• Actualiza los registros MX para que apunten a Cloudflare Area 1.

A continuación, encontrarás los pasos que debes seguir si Cloudflare Area 1 se implementa en sentido descendente desde una solución de seguridad del correo electrónico existente (tiempo estimado: aprox. 30 minutos):

• Configura los saltos de retroceso adecuados en Cloudflare Area 1, para que pueda detectar la dirección IP del remitente original.

• Si el servidor de correo electrónico es local, actualiza las reglas de firewall para permitir que Cloudflare Area 1 realice la entrega al servidor de correo electrónico.

• Configura las reglas de corrección (p. ej. poner en cuarentena, añadir asunto o prefijo del cuerpo del mensaje, etc.).

• Prueba el flujo de mensajes inyectando mensajes en Cloudflare Area 1 para confirmar que la entrega se realiza correctamente (nuestro equipo puede ayudarte con este paso).

• Actualiza las rutas de entrega de tu SEG para que entregue todo el correo a Cloudflare Area 1, en lugar de hacerlo a los servidores de correo electrónico.

Paso 2: integra DNS

Una de las tareas más comunes posteriores al correo electrónico que realizan los clientes es integrar Cloudflare Area 1 con su servicio DNS. Si eres cliente de Cloudflare Gateway, tenemos buenas noticias. Ahora Cloudflare Area 1 utiliza Cloudflare Gateway como su DNS recursivo para proteger a los usuarios finales de forma que no puedan acceder a sitios de phishing y maliciosos al hacer clic en enlaces de correo electrónico o al navegar por la web.

Paso 3: realiza la integración con los servicios de supervisión y corrección de la seguridad en sentido descendente

Los informes detallados y personalizables de Cloudflare Area 1 proporcionan a simple vista visibilidad de las amenazas. Con la integración de los SIEM mediante nuestras sólidas API, puedes correlacionar fácilmente las detecciones de Cloudflare Area 1 con los sucesos de la red, los puntos finales y otras herramientas de seguridad para una gestión de incidentes simplificada.

Aunque Cloudflare Area 1 proporciona funciones integradas de corrección y retracción de mensajes para que los clientes puedan responder a las amenazas directamente desde el panel de control de Cloudflare Area 1, muchas organizaciones deciden integrar también herramientas de orquestación para tener tácticas de respuesta personalizadas. Muchos clientes aprovechan nuestros enlaces de API para integrar servicios SOAR para gestionar los procesos de respuesta en su organización.

¿Cómo sabrás que tu proyecto de sustitución de la SEG ha tenido éxito y el impacto deseado? Recomendamos medir las métricas correspondientes a la eficacia de la detección y la simplicidad operativa.

En cuanto a la detección, la métrica que obviamente debemos medir es el número y el tipo de ataques de phishing bloqueados antes y después del proyecto. ¿Se han bloqueado nuevos tipos de ataques de phishing que no veías antes? ¿Tienes visibilidad de campañas que llegan a varios buzones? Otra métrica basada en la detección que debemos tener en cuenta es el número de falsos positivos.

En cuanto al aspecto operativo, es imprescindible que la productividad del correo electrónico no resulte afectada. Un buen indicador es medir el número de incidencias informáticas relacionadas con la entrega de correo electrónico. La disponibilidad y el tiempo activo del servicio de seguridad del correo electrónico es otro elemento clave que debemos vigilar.

Para terminar, y quizás lo más importante, debes medir cuánto tiempo dedica tu equipo de seguridad a la seguridad del correo electrónico. Con suerte, mucho menos que antes. Sabemos que una SEG es una implementación de servicio cuyo mantenimiento continuo es complicado. Si con Cloudflare Area 1 tu equipo tiene más tiempo para dedicarse a otros problemas urgentes de seguridad, esto es tan importante como detener el propio phishing.

El motivo por el que articulamos aquí un plan de sustitución de la SEG es porque muchos de nuestros clientes ya lo han hecho, y estamos contentos con los resultados.

Por ejemplo, una empresa aseguradora global de la lista Fortune 50 que da servicio a 90 millones de clientes en más de 60 países llegó a la conclusión de que su SEG era insuficiente para detener los ataques de phishing. En concreto, el proceso de búsqueda del phishing no detectado una vez que había superado la SEG y había llegado a la bandeja de entrada era engorroso. Necesitaban un servicio de seguridad del correo electrónico que pudiera detectar estos ataques de phishing y admitir una arquitectura híbrida con buzones locales y en la nube.

Tras la implementación de Cloudflare Area 1 en sentido descendente de sus capas de Microsoft 365 y SEG, nuestro cliente estuvo protegido contra más de 14 000 amenazas de phishing durante el primer mes. Ninguno de estos mensajes de phishing llegó a la bandeja de entrada de ningún usuario. Una integración de un solo paso con la infraestructura de correo electrónico existente significaba que los problemas operativos y de mantenimiento eran prácticamente inexistentes. La retracción de mensajes automatizada y la protección posterior a la entrega de Cloudflare Area 1 también permitieron a la empresa aseguradora buscar y corregir fácilmente el phishing que no se hubiera detectado.

Si te interesa hablar con alguno de nuestros clientes que han mejorado o sustituido su SEG con Cloudflare Area 1, ponte en contacto con tu equipo de cuenta para saber más. Si quieres ver Cloudflare Area 1 en acción, regístrate aquí para solicitar una evaluación gratuita del riesgo de phishing.

La sustitución de una SEG es un proyecto importante que debes encajar en tu recorrido Zero Trust. Para ver un resumen completo de Cloudflare One Week y las novedades, conéctate a nuestro seminario web.

-

1Comunicado de prensa de Gartner, "Gartner Says Cloud Will Be the Centerpiece of New Digital Experiences", 11 de noviembre de 20212Gartner, "Market Guide for Email Security", 7 de octubre de 2021, Mark Harris, Peter Firstbrook, Ravisha Chugh y Mario de BoerGARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved.

Esa premisa se trasladó también a la forma en que desarrollamos los sistemas informáticos. Casi todos se basaban en el hecho de que trabajábamos desde un lugar fijo.

Y sin embargo, aquí estamos. Las tendencias que en principio surgieron tímidamente —usuarios fuera de la oficina, trabajo remoto o BYOD, entre otras— se transformaron en un tsunami casi de la noche a la mañana. Los usuarios trabajar desde cualquier lugar con cualquier dispositivo móvil o de escritorio disponible, incluidos los dispositivos personales. Por su parte, las aplicaciones se alojan en centros de datos, nubes públicas y proveedores de alojamiento SaaS. Y, además, las tareas se completan cada vez más en un navegador. Todo ello aumenta la carga en las redes corporativas.

Si bien la forma de trabajar ha cambiado, las redes corporativas y los modelos de seguridad que permiten este trabajo deben realizar esfuerzos considerables para adaptarse. A menudo siguen dependiendo de un perímetro corporativo que permite el movimiento lateral una vez que un usuario o dispositivo está presente en la red. Las VPN siguen siendo un punto crítico en este modelo, que tuneliza el tráfico de sus usuarios hacia el perímetro corporativo, donde la gente rara vez trabaja. Se siguen utilizando líneas MPLS y otras herramientas de redes privadas para extender el perímetro de una organización a otras oficinas, donde la gente apenas va.

Y no es solo que la instalación de todos estos elementos sea cara. Las VPN, las líneas MPLS y otras soluciones perimetrales conllevan pérdida de rendimiento, aumentan los costes de mantenimiento y carecen de herramientas de seguridad modernas. Los atacantes saben cómo explotar sus debilidades. Muchos de los ataques más conocidos de los últimos años tienen su origen en el acceso no autorizado a la red y el posterior movimiento lateral.

Son problemas bien conocidos por todos. Sorprendentemente, la respuesta a estos retos también está ampliamente consensuada en este momento: cambiar a una arquitectura Zero Trust. Entonces, ¿qué es lo que frena a la gente? Según sostienen algunos, se trata más que nada de ¿cómo lo hacemos? Lo que subyace es la preocupación. Que sí, aunque hay muchos riesgos y problemas asociados con el "viejo mundo", prefieren lo malo conocido que lo bueno por conocer, es decir, la preocupación, el cambio y el coste asociado al avance hacia un modelo Zero Trust.

Esto, más que nada, es lo que queremos cambiar en Cloudflare One Week.

Zero Trust no tiene por qué ser difícil. Puede ser una transformación por etapas. Puedes mostrar los beneficios del nuevo modelo a tu organización, para que la transición se produzca a un ritmo que sea cómodo. En resumen: Zero Trust puede permitir a tu organización hacer más y hacerlo mejor, y todo ello acompañado de un ahorro de costes.

Te damos la bienvenida a Cloudflare One Week.

Aunque existe un amplio reconocimiento de las limitaciones del modelo perimetral, un tema recurrente en cuanto al modelo Zero Trust es: ¿cómo se relacionan todos estos conceptos de sustitución entre sí? ¿Cuál de ellos debería seguir?

Una gran parte de nuestros esfuerzos esta semana se centra en hacer que el objetivo de una arquitectura Zero Trust sea accesible y comprensible. Todos estos términos se utilizan, a veces indistintamente. Hemos invertido tiempo en comprender y desarrollar los productos para conseguir una solución completa de Zero Trust.

Pero no queremos que solo confíes en nosotros.  

Creemos tan firmemente en la arquitectura Zero Trust que hemos trabajado con expertos en seguridad para elaborar una guía agnóstica en lo que a proveedores se refiere para implementar Zero Trust. Incluso si una empresa no utiliza Cloudflare, creemos que Zero Trust y SASE son el futuro para todas las empresas, independientemente del proveedor que utilicen. Aquí tienes una guía completa para descubrir el mundo Zero Trust.

Por otro lado, también hemos asignado todos nuestros productos en este ámbito a los conceptos anteriores, lo que te ayudará a entender cómo encajan todas las piezas a lo largo de esta semana.

Cloudflare no fue pionero en el ámbito de los servicios para aplicaciones, ni en la entrega de contenidos, o la seguridad web. Sin embargo, hay una razón por la que los analistas nos reconocen como líderes en este ámbito.

Es porque nuestro ritmo de innovación es sencillamente inigualable.

Tampoco fuimos pioneros en lo que respecta a Zero Trust, pero en solo unos años, en Cloudflare One, hemos desarrollado la oferta de SASE más completa del mercado.

Las soluciones Zero Trust de Cloudflare One incluyen: acceso a la red Zero Trust, puerta de enlace web segura, agente de seguridad de acceso a la nube (CASB), prevención de pérdida de datos, aislamiento remoto del navegador, firewall como servicio y seguridad del correo electrónico. Cada control de seguridad se configura a través de un único panel de control y se puede implementar como código utilizando nuestra API o Terraform.

Nadie más lo hace, y te lo demostraremos en el transcurso de esta semana.

Cloudflare One se desarrolló sobre la red global de Cloudflare. Pasamos más de una década creando esta red para respaldar nuestro negocio global de CDN y seguridad para aplicaciones. La red se extiende por más de 250 ciudades, 100 países y está a 50 ms del 95 % de la población mundial conectada a Internet. Desde el primer día, desarrollamos nuestra red para implementar tecnología adicional en la misma red, incluido Cloudflare One. Esto nos permite ofrecer uno de los perímetros de servicio más eficaces, fiables e interconectados del mercado.

La escala y el alcance de nuestra red también tienen otras ventajas a la hora de implementar una solución SASE. Facilitamos la conexión al perímetro de servicio de Cloudflare a través de un amplio conjunto de accesos directos. Estos accesos directos permiten a los usuarios, dispositivos, centros de datos y oficinas conectarse a Cloudflare en cualquier parte del mundo. Los accesos directos van desde una SD-WAN a gran escala hasta un cliente ligero en los dispositivos de los usuarios.

Tenemos previsto demostrar esta semana que somos el proveedor de soluciones Zero Trust más eficaz.

Si has estado pensando en los modelos Zero Trust o SASE, Cloudflare One Week es el foro para demostrar por qué Cloudflare One es la oferta de SASE más completa del mercado con el mejor rendimiento, y por qué seguirá mejorando. A lo largo de la semana anunciaremos nuevas funciones, haremos comparativas con competidores, y te mostraremos lo fácil que es empezar.