Seguimos trabajando para hacer frente a los nuevos desafíos, y las Innovation Weeks, como la Security Week, nos brindan una valiosa oportunidad de compartir nuestro punto de vista y de relacionarnos con la comunidad de Internet en general. La misión de Cloudflare es ayudar a mejorar Internet. Queremos ayudar a salvaguardar Internet ante la llegada de los superordenadores cuánticos, proteger el medio de subsistencia de los creadores de contenido contra la extracción no autorizada de datos de la IA, concienciar sobre las últimas amenazas en Internet y encontrar nuevas formas de reducir la reutilización de contraseñas en riesgo. Resolver estos desafíos requerirá la colaboración de toda la comunidad. Agradecemos a todos los que han colaborado con nosotros en estos temas a través de las redes sociales, que han contribuido a nuestros repositorios de código abierto y que se han puesto en contacto con nosotros a través de nuestro programa de socios tecnológicos para trabajar con nosotros en los temas más importantes para ellos. Para nosotros, esa es la mejor parte.

Aquí tienes un resumen de los anuncios de esta semana:

Para obtener más información sobre muchos de los fantásticos anuncios de la Security Week, echa un vistazo a nuestra programación de Cloudflare TV, donde nuestro equipo ofrece aún más detalles sobre nuestras últimas novedades. 

Damos las gracias a todos los que os habéis tomado el tiempo de leer las publicaciones del blog de la Security Week de Cloudflare o de hablar con nosotros sobre estos temas a través de las redes sociales. Nuestra próxima semana de la innovación, la Developer Week, es en abril, así que está a la vuelta de la esquina. ¡Te esperamos!

Este anuncio nos lleva a la plataforma SASE de Cloudflare, Cloudflare One, que utilizan los equipos informáticos y de seguridad de las empresas para gestionar la seguridad de sus usuarios, sus aplicaciones y sus herramientas de terceros, todo en un solo lugar.

A partir de hoy, los usuarios de Cloudflare One pueden utilizar el producto CASB (el agente de seguridad de acceso a la nube) para integrar y analizar Amazon Web Services (AWS) S3 y Google Cloud Storage (GCS), en busca de posibles problemas relacionados con la postura de seguridad y la prevención de pérdida de datos (DLP). Crea una cuenta gratuita para comprobarlo.

Mediante el análisis tanto puntual como continuo, los usuarios pueden identificar los errores de configuración en la gestión de identidad y acceso (IAM), los buckets y las configuraciones de objetos, así como detectar información confidencial (p. ej., números de la seguridad social, números de tarjetas de crédito o cualquier otro patrón que utilice expresiones regulares) en los objetos de almacenamiento en la nube.

En los últimos años, nuestros clientes, sobre todo los equipos de informática y seguridad, nos han expresado su reconocimiento por la simplicidad y la eficacia de nuestra solución CASB como producto de seguridad SaaS. El gran número de integraciones con las que es compatible, su facilidad de configuración y su rapidez para identificar problemas críticos en las plataformas SaaS más populares, como los archivos compartidos públicamente en Microsoft 365 y los datos confidenciales expuestos en Google Workspace, la han convertido en la opción preferida de muchos.

Sin embargo, conforme interactuamos con los clientes, una cosa era evidente: los riesgos de los datos en reposo no supervisados o expuestos van mucho más allá de los entornos SaaS. La información confidencial, ya sea propiedad intelectual, datos de clientes o identificadores personales, puede causar estragos en la reputación de una organización y en sus obligaciones para con sus clientes si cae en las manos equivocadas. Para muchos de nuestros clientes, la seguridad de los datos almacenados en proveedores de nube como AWS y GCP es incluso más importante que la seguridad de los datos en sus herramientas SaaS.

Por este motivo, hemos ampliado Cloudflare CASB para incluir la funcionalidad de prevención de pérdida de datos (DLP) en la nube, que permite a los usuarios analizar los objetos en buckets de Amazon S3 y Google Cloud Storage en busca de coincidencias con datos confidenciales​.

Con la solución de prevención de perdida de datos (DLP) de Cloudflare, puedes elegir entre perfiles de detección predefinidos que buscan tipos de datos comunes (como números de la seguridad social o números de tarjetas de crédito) o bien crear tus propios perfiles personalizados utilizando expresiones regulares. En cuanto se detecta un objeto que coincide con un perfil de DLP, puedes acceder a información más detallada, comprender el contexto del archivo, ver a quién pertenece y mucho más. Estas funciones proporcionan la información necesaria para proteger rápidamente los datos y evitar la exposición en tiempo real.

Al igual que con todas las integraciones de CASB, esta nueva funcionalidad también incluye funciones de gestión de la postura de seguridad. Esto significa que tanto si utilizas AWS como GCP, te ayudaremos a identificar los errores de configuración y otros problemas de la seguridad en la nube que podrían dejar tus datos vulnerables, como buckets accesibles públicamente o que tengan desactivadas configuraciones de registro esenciales, claves de acceso que necesiten rotación o usuarios sin autenticación multifactor (MFA). Todo ello está incluido.

Las soluciones CASB y DLP de Cloudflare son fáciles de usar por defecto, por lo que puedes empezar a utilizarlas rápida y fácilmente. También son muy configurables, ya que te ofrecen la flexibilidad de ajustar los perfiles de análisis para adaptarlos a tus necesidades específicas.

Por ejemplo, puedes ajustar qué buckets de almacenamiento o qué tipos de archivo quieres analizar, e incluso analizar solo una muestra de los objetos, eligiendo el porcentaje que deseas​. El análisis también se ejecuta en tu propio entorno de nube, por lo que tus datos nunca salen de tu infraestructura​. Este enfoque garantiza la seguridad de tu almacenamiento en la nube y la gestión de tus costes, al mismo tiempo que te permite adaptar la solución a los requisitos específicos de conformidad y seguridad de tu organización.

De cara al futuro, nuestra hoja de ruta también incluye añadir compatibilidad con otros entornos de almacenamiento en la nube, como Azure Blob Storage y Cloudflare R2, y ampliar así aún más nuestra estrategia integral de seguridad multinube. ¡No te lo pierdas!

Desde el principio, sabíamos que para ofrecer capacidades de DLP en los entornos de nube era necesario un diseño eficiente y escalable que permitiera la detección en tiempo real de la exposición de datos confidenciales.

Desde el principio tomamos la decisión de utilizar un enfoque de arquitectura sin servidor para garantizar la eficiencia y la escalabilidad de la detección de datos confidenciales. Así es como funciona:

• Cuenta de proceso: todo el proceso se ejecuta en una cuenta en la nube propiedad de tu organización (conocida como cuenta de proceso). Este diseño garantiza que tus datos no salen de los límites de tu entorno, evitando costosas tarifas de salida de la nube. La cuenta de proceso se puede iniciar en menos de 15 minutos mediante una plantilla Terraform proporcionada.

• Función de controlador: cada minuto, una función de controlador ligera y sin servidor en tu entorno de nube se comunica con las API de Cloudflare, obteniendo las últimas configuraciones de DLP y los perfiles de seguridad de tu cuenta de Cloudflare One.

• Proceso de rastreador: el controlador activa una tarea de detección de objetos, que procesa una segunda función sin servidor (conocida como rastreador). El rastreador consulta las cuentas de almacenamiento en la nube, como AWS S3 o Google Cloud Storage, a través de la API para identificar los nuevos objetos. En la cuenta de proceso se utiliza Redis para rastrear qué objetos aún no se han evaluado.

• Análisis de datos confidenciales: los nuevos objetos detectados se envían a través de una cola a una tercera función sin servidor, el explorador. Esta función descarga los objetos y transmite su contenido al motor DLP en la cuenta de proceso, que busca coincidencias con los perfiles DLP predefinidos o personalizados.

• Generación y alertas de hallazgos: si se encuentra una coincidencia de DLP, los metadatos sobre el objeto, como el contexto y los detalles de propiedad, se publican en una cola. Estos datos los ingiere un servicio alojado en Cloudflare y se presentan en el panel de control de Cloudflare como hallazgos, lo que ofrece a los equipos de seguridad la visibilidad necesaria para tomar rápidamente las medidas necesarias.

El proceso de DLP garantiza que los datos confidenciales nunca salen de tu entorno en la nube, un enfoque que prioriza la privacidad. Toda la comunicación entre la cuenta de proceso y las API de Cloudflare la inicia el controlador, lo que significa también que no es necesario realizar ninguna configuración adicional para permitir el tráfico de entrada.

Para empezar, ponte en contacto con tu equipo de cuenta para obtener más información sobre esta nueva funcionalidad de seguridad de datos y sobre nuestra hoja de ruta. Si quieres probarla por ti mismo, puedes iniciar sesión en el panel de control de Cloudflare One (si no tienes una cuenta, crea una gratis aquí) y accede a la página de CASB para configurar tu primera integración.

"Cloudflare es una gran opción para los clientes que desean gestionar una plataforma de protección de las aplicaciones web unificada y fácil de usar que siga innovando".

En esta evaluación, Forrester ha evaluado a 10 proveedores de firewall de aplicaciones web (WAF) en función de 22 criterios, incluida la seguridad y la visión del producto. Creemos que este reconocimiento se debe a nuestra inversión constante en nuestra oferta de productos. Descarga una copia gratuita del informe aquí.

Desde que presentamos nuestro primer WAF en 2013, Cloudflare lo ha transformado en una eficaz plataforma de seguridad de las aplicaciones de nivel empresarial. Nuestro conjunto de soluciones, totalmente integrado, incluye el WAF, la mitigación de bots, la seguridad de las API, la protección del lado cliente y la mitigación de DDoS, todo ello desarrollado en nuestra amplia red global. La IA y el aprendizaje automático nos permiten ofrecer una seguridad líder en el sector, al mismo tiempo que mejoramos el rendimiento de las aplicaciones gracias a nuestras soluciones de entrega y optimización de contenido.

Según el informe de Forrester, "Cloudflare destaca por sus funciones que ayudan a los clientes a trabajar de forma más eficiente". A diferencia de otras soluciones del mercado, el WAF, la seguridad de las API, la detección de bots, la seguridad del lado cliente y la protección contra DDoS de Cloudflare están integrados de forma nativa en una única plataforma, que se ejecuta en un motor unificado. Nuestra solución integrada ofrece una experiencia del usuario eficaz y permite la detección avanzada de amenazas en diversos vectores para satisfacer los requisitos de seguridad más exigentes.

La evaluación de Forrester de las soluciones de firewall de aplicaciones web es una de las más completas del sector. Creemos que este informe destaca la plataforma de nube global integrada de Cloudflare y nuestra capacidad para ofrecer seguridad de nivel empresarial sin añadir complejidad. No solo ofrecemos un WAF, sino un conjunto de herramientas de seguridad flexibles y personalizables diseñado para responder a tus desafíos específicos relacionados con la seguridad de las aplicaciones.

Cloudflare lidera continuamente el mercado de WAF gracias a nuestra visión estratégica y al alcance de nuestras funciones. Centramos nuestro enfoque en la innovación constante, ofreciendo funciones de seguridad líderes en el sector y garantizando una experiencia de gestión eficaz con procesos y herramientas empresariales como la infraestructura como código (IaC) y DevOps. Nuestro ritmo predecible de lanzamientos de funciones importantes, impulsadas por iniciativas anuales como la Security Week y la Semana aniversario, garantiza que los clientes siempre tienen acceso a los últimos avances en seguridad.

Creemos que Forrester también ha destacado las amplias funciones de seguridad de Cloudflare, con un reconocimiento especial de las mejoras significativas en nuestras soluciones de seguridad de las API.

En el informe, Cloudflare ha recibido las puntuaciones más altas posibles en 15 de los 22 criterios. Esto refuerza, en nuestra opinión, nuestro compromiso de ofrecer la protección de aplicaciones web más avanzada, flexible y fácil de usar del sector. Algunos de los principales criterios son:

• Modelos de detección: modelos avanzados de IA y aprendizaje automático que evolucionan continuamente para detectar las nuevas amenazas.

• Protección contra DDoS a la capa 7: mitigación líder en el sector de ataques sofisticados a la capa de aplicación.

• Creación y modificación de reglas: experiencia de creación de reglas sencilla y fácil de usar, que se propaga en cuestión de segundos a nivel global.

• Interfaz de usuario de gestión: una interfaz de usuario intuitiva y eficiente que simplifica la gestión de la seguridad.

• Seguridad del producto: una arquitectura eficaz que garantiza una seguridad de nivel empresarial.

• Compatibilidad con la infraestructura como código: integración eficaz con los flujos de trabajo de DevOps para la aplicación automatizada de políticas de seguridad.

• Innovación: un enfoque de la seguridad con visión de futuro, que continuamente traspasa los límites de lo posible.

En primer lugar, el WAF de Cloudflare va más allá de las protecciones tradicionales basadas en reglas, ya que ofrece un conjunto integral de mecanismos de detección para identificar ataques y vulnerabilidades en el tráfico web y de las API, al mismo tiempo que protege los entornos de los clientes. Utilizamos la IA y el aprendizaje automático para detectar las amenazas, que incluyen, entre otras, ataques, tráfico automatizado, anomalías y código JavaScript en riesgo. Nuestra protección contra DDoS a la capa de aplicación, líder del sector, relega los ataques volumétricos al pasado.

En segundo lugar, Cloudflare también ha logrado avances significativos en la seguridad de las API. Nuestro WAF puede complementarse con otras funciones, como la detección de API, la validación de esquemas y la mitigación de secuencias, la detección volumétrica y la autenticación JWT. 

En tercer lugar, Cloudflare simplifica la gestión de la seguridad con un panel de control intuitivo y fácil de usar, al mismo tiempo que ofrece configuraciones más potentes para los profesionales avanzados. Todas las funciones son compatibles con Terraform, por lo que los equipos pueden gestionar toda la plataforma de Cloudflare como código. Con Security Analytics, los clientes se benefician de una visión integral de todo el tráfico, mitigado o no, y pueden ejecutar escenarios hipotéticos para probar las nuevas reglas antes de su implementación. Esta capacidad de análisis garantiza que las empresas puedan adaptar dinámicamente su postura de seguridad al mismo tiempo que garantizan un alto rendimiento. Para que la gestión de la seguridad sea aún más eficaz, nuestro agente de IA, basado en el procesamiento del lenguaje natural (NLP), ayuda a los usuarios a elaborar y perfeccionar reglas personalizadas y a crear eficaces visualizaciones en nuestro motor de análisis.

Estamos seguros de que el informe de Forrester valida lo que nuestros clientes ya saben: Cloudflare es un proveedor líder de WAF, que ofrece seguridad, innovación y facilidad de uso inigualables. A medida que las amenazas siguen evolucionando, seguimos comprometidos a ampliar los límites de la seguridad web para proteger a las organizaciones de todo el mundo.

Si buscas un firewall de aplicaciones web eficaz, escalable y fácil de gestionar, Cloudflare es la mejor opción para proteger tus aplicaciones, tus API y tu infraestructura.

Obtén más información sobre el WAF de Cloudflare creando una cuenta hoy mismo y comprueba por qué Forrester nos ha reconocido como empresa líder en el mercado. 

Forrester no respalda a ninguna empresa, producto, marca o servicio incluido en sus publicaciones de investigación, ni aconseja a ninguna persona seleccionar los productos o servicios de una empresa o marca exclusivamente en función de las calificaciones incluidas en dichas publicaciones. La información se basa en los mejores recursos disponibles. Las opiniones reflejan los criterios en ese momento y están sujetas a cambios. Si deseas más información, lee sobre la objetividad de Forrester aquí.

Para ayudarte a resolver estos desafíos, nos complace lanzar nuestra plataforma de eventos de amenazas para los clientes de Cloudforce One. Cada día, Cloudflare bloquea miles de millones de ciberamenazas. Esta nueva plataforma contiene datos contextuales sobre las amenazas que supervisamos y mitigamos en la red de Cloudflare, y está diseñada para proporcionar a los profesionales de la seguridad y a los responsables de la toma de decisiones información útil desde una perspectiva global. 

De media, procesamos 71 millones de solicitudes HTTP por segundo y 44 millones de consultas DNS por segundo. Este volumen de tráfico nos proporciona información valiosa y una visión integral de las amenazas actuales (en tiempo real). La nueva plataforma de eventos de amenazas aprovecha la información sobre este tráfico para ofrecer una visión integral y en tiempo real de la actividad de las amenazas que se producen en Internet. Esto permite a los clientes de Cloudforce One proteger mejor sus activos y responder más eficazmente a las amenazas emergentes.

El gran volumen de las actividades de amenazas observadas en la red de Cloudflare sobrecargaría a cualquier analista de sistemas o SOC. Por este motivo, organizamos esta actividad en una secuencia de eventos que incluyen no solo indicadores de riesgo (IOC), sino también el contexto, lo que facilita la adopción de medidas basadas en los datos únicos de Cloudflare. Para empezar, exponemos los eventos relacionados con los ataques de denegación de servicio (DOS) observados en nuestra red, junto con las operaciones de amenazas avanzadas identificadas por nuestro equipo de información de Cloudforce One, como la diversidad de herramientas, técnicas y procedimientos utilizados en las amenazas de las que estamos haciendo un seguimiento. Asignamos los eventos al marco MITRE ATT&CK y a las etapas de la cadena de eliminación de seguridad cibernética. En el futuro, añadiremos eventos relacionados con el tráfico bloqueado por nuestro firewall de aplicaciones web (WAF), Zero Trust Gateway, Zero Trust Email Security Business Email Compromise y muchos otros conjuntos de datos propios de Cloudflare. Juntos, estos eventos proporcionarán a nuestros clientes una visión detallada de la actividad de las amenazas que se producen en Internet.

Cada evento de nuestra lista de eventos de amenazas resume la actividad de amenaza específica que hemos observado, de forma similar a un objeto de avistamiento STIX2, y proporciona información contextual en su vista resumida, detallada y mediante la asignación a las etapas MITRE ATT&Ck y KillChain. Para ver una entrada de ejemplo, consulta la documentación de la API.

Nuestro objetivo es ayudar a los clientes a comprender mejor el panorama de las amenazas proporcionándoles información clave que les permita investigar y abordar cuestiones generales y específicas sobre las amenazas contra su organización. Por ejemplo:

• ¿Quiénes lanzan ataques contra mi vertical de negocio?

• ¿Quiénes lanzan ataques contra mi país?

• ¿Qué indicadores puedo utilizar para bloquear los ataques contra mis verticales?

• ¿Qué ha estado haciendo un ciberdelincuente en la cadena de eliminación de seguridad cibernética durante un periodo de tiempo?

Cada evento tiene un identificador único que lo vincula con la actividad de amenaza identificada, lo que permite a nuestros analistas de la información sobre amenazas de Cloudforce One proporcionar contexto adicional en las investigaciones posteriores.

Decidimos utilizar la plataforma para desarrolladores de Cloudflare para desarrollar la plataforma de eventos de amenazas, ya que nos permitía aprovechar la versatilidad y la perfecta integración de Cloudflare Workers. En esencia, la plataforma es un Cloudflare Worker que utiliza Durable Objects respaldado por SQLite para almacenar los eventos observados en la red de Cloudflare. Optamos por utilizar Durable Objects en lugar de D1, la solución de base de datos SQL sin servidor de Cloudflare, porque nos permite crear dinámicamente tablas SQL donde almacenar conjuntos de datos personalizables de forma única. Este método de almacenamiento de los conjuntos de datos permite que los eventos de amenazas se distribuyan en toda nuestra red, lo que nos ofrece resiliencia ante los picos de datos que podrían estar correlacionados con la naturaleza impredecible de los ataques en Internet. También nos permite controlar los eventos según la fuente de datos, compartir un subconjunto de los conjuntos de datos con socios de confianza o restringir el acceso solo a los usuarios autorizados.  Por último, los metadatos de cada evento de amenaza individual se almacenan en Durable Object KV para que podamos almacenar los datos contextuales más allá de nuestros campos fijos de búsqueda. Estos datos pueden incluir desde el número de solicitudes por segundo en el caso de nuestros eventos de denegación de servicio hasta información que permita a los analistas de Cloudforce One vincular el evento a la actividad de amenaza exacta para una investigación más detallada.

Los clientes de Cloudforce One pueden acceder a los eventos de amenazas a través del panel de control de Cloudflare en el Centro de seguridad o mediante la API de eventos de amenazas de Cloudforce One. Ambos exponen el flujo de actividad de amenaza que se produce en Internet tal y como lo ve Cloudflare, y se pueden personalizar mediante filtros definidos por el usuario. 

En el panel de control de Cloudflare, los usuarios tienen acceso a una vista cronológica de las acciones del atacante, diseñada para responder a preguntas estratégicas, así como a una tabla de eventos más granular para acceder a información más detallada sobre el ataque. Este enfoque garantiza que los usuarios tengan la información más relevante al alcance de su mano.

La tabla de eventos es una vista detallada del Centro de seguridad donde los usuarios pueden acceder a información más detallada sobre la actividad de amenaza específica filtrada según varios criterios. Aquí es donde los usuarios pueden explorar eventos de amenaza específicos y campañas de ciberdelincuentes utilizando la información del tráfico de Cloudflare. Y lo que es más importante, esta tabla proporcionará a nuestros usuarios indicadores de riesgo prácticos y un resumen de los eventos para que puedan proteger adecuadamente sus servicios. Todos los datos disponibles en nuestra tabla de eventos son igualmente accesibles a través de la API de eventos de amenazas de Cloudforce One. 

Para mostrar la eficacia de los eventos de amenazas, analicemos un caso real:

Los chats filtrados recientemente de la organización criminal Black Basta expusieron detalles sobre sus víctimas, sus métodos y sus compras de infraestructura. Aunque no podemos confirmar si los chats filtrados fueron manipulados de alguna manera, pudimos verificar fácilmente la infraestructura mencionada en los chats. Como resultado, esta información sobre amenazas ahora está disponible como eventos en los eventos de amenazas, junto con un contexto adicional único de Cloudflare. 

Los analistas que buscan dominios, hosts y muestras de archivos utilizados por Black Basta pueden aprovechar los eventos de amenazas para obtener valiosa información sobre las operaciones de estos ciberdelincuentes. Por ejemplo, en la interfaz de usuario de eventos de amenazas, un usuario puede filtrar la columna "Atacante" seleccionando "BlackBasta" en el menú desplegable, como se muestra en la imagen siguiente. Esto proporciona una lista organizada de direcciones IP verificadas, dominios y hash de archivos para una investigación más detallada. Para obtener información más detallada sobre la visibilidad única de Cloudflare sobre la actividad de amenaza de Black Basta, consulta nuestra publicación El error de Black Basta: explotación de los chats filtrados de la organización criminal.

Nuestros clientes afrontan infinidad de ciberamenazas que pueden interrumpir sus operaciones y poner en riesgo sus datos confidenciales. Los ciberdelincuentes son cada vez más sofisticados, por lo que la necesidad de tener información sobre amenazas relevante y a tiempo es mayor que nunca. Por este motivo, presentamos los eventos de amenazas, que proporcionan información más detallada sobre estas amenazas. 

La plataforma de eventos de amenazas tiene como objetivo llenar este vacío ofreciendo una visión más detallada y contextualizada de la actividad de amenaza en curso. Esta función permite a los analistas acceder por su cuenta a la información sobre los incidentes y analizarlos mediante filtros personalizables, por lo que pueden identificar patrones y responder de forma más eficaz. Al proporcionar acceso a los datos sobre amenazas en tiempo real, ayudamos a las organizaciones a tomar mejores decisiones sobre sus estrategias de seguridad.

Para validar el valor de nuestra plataforma de eventos de amenazas, un equipo de información sobre amenazas de la lista Fortune 20 la puso a prueba. Realizaron un análisis comparativo con otras 110 fuentes de información sobre amenazas, y consideraron a Cloudflare como la principal fuente de información sobre amenazas. Concluyeron que somos únicos en el campo de la información sobre amenazas. Todavía es pronto, pero los primeros comentarios que hemos recibido confirman que nuestra información no solo es única, sino que también ofrece un valor excepcional a los responsables de la ciberseguridad.

Si bien los clientes de Cloudforce One ya tienen acceso a nuestra API y a nuestro panel de control, lo que les permite integrar perfectamente la información sobre amenazas en sus sistemas existentes, pronto también tendrán acceso a más visualizaciones y análisis de los eventos de amenazas que les permitirán comprender mejor sus hallazgos e informar sobre ellos. Esta próxima interfaz de usuario incluirá visualizaciones cronológicas mejoradas de los ataques, resúmenes de las campañas y gráficos de los ataques, que proporcionarán información aún más detallada sobre las amenazas que afronta tu organización. Además, añadiremos la capacidad de integración con las plataformas SIEM existentes y compartiremos los indicadores en todos los sistemas.

Aquí puedes obtener más información sobre la investigación de la información sobre amenazas que publica nuestro equipo, o bien puedes ponerte en contacto con tu equipo de cuenta para saber cómo aprovechar nuestros nuevos eventos de amenazas para mejorar tu postura de ciberseguridad. 

Para respaldar las necesidades relacionadas tanto con la continuidad como con la seguridad de las actividades empresariales, "la seguridad debe pasar de reactiva a predictiva". Garantizar una postura de seguridad adecuada implica supervisar y reforzar tus defensas de seguridad para identificar los riesgos, asegurar el cumplimiento normativo y protegerte contra las amenazas en constante evolución. Con nuestras funciones más recientes, ahora puedes utilizar Cloudflare para una postura de seguridad adecuada en tus aplicaciones SaaS y web. Esto responde a la pregunta final (y diaria) de cualquier equipo de seguridad: ¿Hasta qué punto están protegidos nuestros activos y documentos?

Una postura de seguridad predictiva se basa en los siguientes componentes clave:

• Detección e inventario en tiempo real de todos tus activos y documentos

• Detección continua de las amenazas y evaluación continua de los riesgos en función de los activos

• Sugerencias sobre la prioridad de las correcciones para mejorar tu protección

Hoy compartimos cómo hemos desarrollado estos componentes clave en las aplicaciones SaaS y web, y cómo puedes utilizarlos para gestionar la postura de seguridad de tu empresa.

Independientemente de las aplicaciones que hayas conectado a la red global de Cloudflare, Cloudflare analiza activa y periódicamente los riesgos y los errores de configuración asociados a cada una de ellas. La información sobre los riesgos y los errores de configuración identificados se muestran en el panel de control del Centro de seguridad.

La información se agrupa según la gravedad, el tipo de riesgo y la solución de Cloudflare correspondiente, y te ofrece diversas perspectivas para centrarte en aquello que más te interese. Cuando corresponde, se proporciona una solución con un solo clic para los tipos de información seleccionados, como establecer la la versión mínima de TLS en 1.2, que es lo que recomienda PCI DSS. Esta simplicidad es valorada muy positivamente por los clientes que gestionan un conjunto cada vez mayor de activos implementados en toda la organización.

Para acelerar aún más la resolución, recientemente hemos añadido el control de acceso basado en roles (RBAC) a la página Información sobre seguridad en el panel de control de Cloudflare. Ahora, cada profesional de la seguridad tiene acceso a una vista depurada de la información relevante según sus responsabilidades. Un usuario con una función administrativa (un CSO, por ejemplo) puede ver y acceder a toda la información.

Además de la información de seguridad de toda la cuenta, también proporcionamos información general sobre la postura de seguridad que más se aproxime a las configuraciones de seguridad correspondientes de tus aplicaciones web y SaaS. Analicemos cada uno de ellos.

Sin una gestión centralizada de la postura de seguridad, las aplicaciones SaaS pueden parecer el "salvaje oeste" de la seguridad. Contienen una gran cantidad de información confidencial: archivos, bases de datos, espacios de trabajo, diseños, facturas o cualquier recurso que necesite la operativa de tu empresa, pero el control se limita a la configuración del proveedor, lo que te ofrece menos visibilidad y menos opciones de personalización. Además, los miembros del equipo crean, actualizan y eliminan constantemente el contenido que puede causar desviaciones de la configuración y la exposición de los datos, como compartir archivos públicamente, añadir información de identificación personal a bases de datos no conformes o dar acceso a integraciones de terceros. Con Cloudflare, tienes visibilidad de todo tu conjunto de aplicaciones SaaS en un solo panel de control.

Desde la página Información de seguridad de toda la cuenta, puedes consultar la información sobre posibles problemas de seguridad de SaaS:

Puedes elegir detallar más con el agente de seguridad de acceso a la nube (CASB) para una revisión exhaustiva de los errores de configuración, los riesgos y los incumplimientos de las prácticas recomendadas en todo tu conjunto de aplicaciones SaaS. Puedes identificar una gran cantidad de información de seguridad que incluye, entre otros:

• Archivos disponibles públicamente o compartidos externamente

• Aplicaciones de terceros con acceso de lectura o edición

• Acceso de usuarios desconocidos o anónimos

• Bases de datos con credenciales expuestas

• Usuarios sin autenticación en dos fases

• Cuentas de usuario inactivas

También puedes explorar la página Hallazgos de la postura de seguridad, que facilita la búsqueda y la navegación por los documentos almacenados en las aplicaciones SaaS.

Además, puedes crear políticas para evitar desviaciones de la configuración en tu entorno. Las políticas basadas en la prevención ayudan a garantizar una configuración segura y el cumplimiento de las normas, al mismo tiempo que reducen la fatiga de alertas para los equipos de operaciones de seguridad, y estas políticas pueden evitar el movimiento inapropiado o la exfiltración de datos confidenciales. La unificación de los controles y la visibilidad en todos los entornos facilita la protección de las clases de datos regulados, el mantenimiento de registros de auditoría detallados mediante registros y la mejora de la postura de seguridad para reducir el riesgo de fugas.

Para proporcionar información sobre la postura de seguridad de SaaS a nuestros clientes es necesario recopilar grandes cantidades de datos de una amplia gama de plataformas. Para garantizar la seguridad de todos los documentos alojados en tus aplicaciones SaaS (archivos, diseños, etc.), debemos recopilar información sobre su configuración (¿se comparten públicamente?¿aplicaciones de terceros tienen acceso?¿está activada la autenticación multifactor (MFA)? 

Anteriormente realizábamos esta tarea con los rastreadores, que extraían los datos de las API de SaaS. Sin embargo, cuando trabajábamos con conjuntos de datos más grandes teníamos problemas relacionados con los límites de velocidad de los proveedores de SaaS. Esto nos obligaba a trabajar por lotes y a ampliar y acotar el análisis según lo permitieran los proveedores. Esto generaba hallazgos obsoletos y hacía que la corrección fuera engorrosa y poco clara. Por ejemplo, brevemente después de que se eliminaran los permisos, Cloudflare informaba de que se seguía compartiendo públicamente un archivo, lo que generaba confusión para al cliente.

Para solucionar este problema, hemos actualizado nuestro proceso de recopilación de datos para que sea dinámico y en tiempo real, y para que reaccione a los cambios en tu entorno en cuanto se produzcan, ya sea un nuevo hallazgo de seguridad, un activo actualizado o una alerta crítica de un proveedor. Empezamos con nuestros hallazgos de la postura de seguridad y la detección de activos de Microsoft, que te ofrecen información en tiempo real sobre las configuraciones de tu centro de administración de Microsoft, OneDrive, Outlook y SharePoint. En el futuro, ampliaremos rápidamente la compatibilidad a otros proveedores de SaaS.

Cloudflare Workers sirve como punto de entrada para los webhooks de proveedores, y gestiona las notificaciones de cambio de activos de servicios externos. El flujo de trabajo se desarrolla de la siguiente manera:

• Cliente de escucha de webhooks: un Worker inicial actúa como un cliente de escucha de webhooks y recibe los mensajes de cambio de activos de los proveedores.

• Almacenamiento de datos y puesta en cola: al recibir un mensaje, el Worker carga la carga útil sin procesar de la notificación de cambio en Cloudflare R2 para su persistencia, y la publica en una cola de Cloudflare dedicada a los cambios de activos sin procesar.

• Worker de transformación: un segundo Worker, vinculado como consumidor a la cola de cambios de activos sin procesar, procesa los mensajes entrantes. Este Worker transforma los datos sin procesar específicos del proveedor a un formato genérico adecuado para CASB. A continuación, los datos transformados:

  • Se almacenan en Cloudflare R2 para futuras consultas.

  • Se publican en otra cola de Cloudflare, designada para mensajes transformados.

Una vez que los mensajes transformados llegan a la capa CASB, se someten a un procesamiento adicional:

• Consumidor de sondeos: CASB tiene un consumidor que sondea la cola de mensajes transformados. Al recibir un mensaje, determina el controlador relevante necesario para su procesamiento.

• Ejecución del rastreador: el controlador asigna el mensaje a un rastreador apropiado, que interactúa con la API del proveedor para obtener los detalles más actualizados de los activos.

• Almacenamiento de datos: los datos de activos recuperados se almacenan en la base de datos de CASB, lo que garantiza su accesibilidad para las comprobaciones de seguridad y de cumplimiento normativo.

Con esta mejora, ahora procesamos entre 10 y 20 actualizaciones de Microsoft por segundo, o entre 864 000 y 1,72 millones de actualizaciones al día, lo que ofrece a los clientes una visibilidad increíblemente rápida de su entorno. No te pierdas la ampliación a otros proveedores de SaaS en los próximos meses. 

Un desafío exclusivo de la seguridad de las aplicaciones web es que no hay una solución única para todos. Una gestión de la postura de seguridad en función de los activos reduce la distancia entre una solución de seguridad universal y las necesidades empresariales específicas, y ofrece recomendaciones personalizadas para que los equipos de seguridad protejan lo que realmente importa.

A partir de hoy, todos los clientes de Cloudflare tienen acceso a la página Información general sobre seguridad, una nueva página de destino personalizada para cada uno de tus dominios incorporados. Esta página agrega y prioriza las sugerencias de seguridad en todas tus aplicaciones web:

1. Cualquier ataque (en curso) detectado que requiera atención inmediata

2. Disposición (mitigada, entregada por Cloudflare, entregada por origen) de todo el tráfico redireccionado mediante proxy durante los últimos 7 días

3. Resumen de los módulos de seguridad activos actualmente que detectan amenazas

4. Sugerencias sobre cómo mejorar tu postura de seguridad con una guía detallada

5. Y un vistazo a tus reglas de seguridad más activas y actualizadas recientemente

Estas sugerencias de seguridad personalizadas se muestran en función de tu perfil de tráfico y de las necesidades de tu empresa, y esto es posible gracias a la identificación de tus activos web redireccionados mediante proxy.

Muchas aplicaciones web, independientemente de su sector o caso de uso, requieren una funcionalidad similar: la identificación del usuario, la aceptación de la información de pago, etc. Al identificar los activos que proporcionan esta funcionalidad, podemos desarrollar y ejecutar la detección de amenazas específicas para su protección integral.

Por ejemplo, el tráfico de bots dirigido a páginas de marketing no tiene las mismas repercusiones para la empresa que ese mismo tráfico dirigido a las páginas de inicio de sesión. Tus materiales de marketing podrían sufrir la apropiación de contenido, que puede que quieras o no permitir, mientras que el relleno de credenciales en tu página de inicio de sesión merece atención inmediata.

Los activos web se describen mediante una lista de puntos finales; y el etiquetado de cada uno de ellos define sus objetivos empresariales. Un ejemplo sencillo pueden ser las solicitudes POST a la ruta /portal/login, que probablemente describe una API para la autenticación de usuarios. En cambio, las solicitudes GET a la ruta /portal/login indican la página web de inicio de sesión real.

Para la descripción de los objetivos empresariales de los puntos finales entran en juego las etiquetas. Las solicitudes POST al punto final /portal/login que da servicio a los usuarios finales y al punto final /api/admin/login utilizado por los empleados se pueden etiquetar con la misma etiqueta gestionada, cf-log-in, lo que permite a Cloudflare saber que se espera el envío de los nombres de usuario y las contraseñas a estos puntos finales.

Los clientes de API Shield ya pueden utilizar el etiquetado de puntos finales. A principios del segundo trimestre de 2025, añadiremos funciones de descubrimiento y sugerencia de etiquetas, empezando con tres etiquetas ( cf-log-in, cf-sign-up y cf-rss-feed). Todos los demás clientes pueden añadir manualmente estas etiquetas a los puntos finales guardados. Un ejemplo, que se explica a continuación, es evitar la utilización de correos electrónicos desechables durante el registro. 

Los clientes nos han comentado que, con el creciente entusiasmo en torno a la IA generativa, necesitan ayuda para proteger esta nueva tecnología sin obstaculizar la innovación. La capacidad de descubrir servicios basados en LLM permite ajustar los controles de seguridad que son relevantes para esta tecnología en concreto, como inspeccionar las instrucciones, limitar el porcentaje de instrucciones en función del uso de token, etc. En otra publicación del blog de la Security Week explicaremos cómo desarrollamos nuestra solución Firewall for IA y cómo puedes proteger fácilmente tus cargas de trabajo de IA generativa.

La detección del fraude de cuentas, que abarca múltiples vectores de ataque, es otra área clave en la que estamos centrados en 2025.

En muchas páginas de inicio de sesión y de registro se suele utilizar una solución CAPTCHA a fin de permitir el paso solo a los usuarios humanos, suponiendo que los bots son los únicos que realizan acciones no deseadas. Dejando de lado el hecho de que hoy en día la IA puede resolver fácilmente la mayoría de los desafíos CAPTCHA visuales, un enfoque de este tipo no puede resolver eficazmente la causa raíz de la mayoría de los vectores de fraude de cuentas. Por ejemplo, los usuarios que utilizan correos electrónicos desechables para registrar cuentas de un solo uso se benefician de las promociones del registro.

Para resolver este problema de registro fraudulento, se podría implementar una regla de seguridad actualmente en desarrollo como la siguiente, con el objetivo de bloquear todos los intentos que utilicen correos electrónicos desechables como identificador de usuario, sea el solicitante automatizado o no. Todos los puntos finales existentes o futuros con la etiqueta cf-log-in y cf-sign-up están protegidos por esta única regla, ya que ambos requieren la identificación del usuario.

Nuestra solución de detección de amenazas en función del caso de uso, en rápida expansión, se ejecuta por defecto, desde el primer momento en que incorporas tu tráfico a Cloudflare. Los resultados de la detección, disponibles al instante, se pueden consultar mediante el análisis de seguridad, lo que te ayuda a tomar decisiones mejores y más rápido.

Las API tienen su propio conjunto de riesgos y vulnerabilidades, y hoy Cloudflare ofrece siete nuevos análisis de riesgos a través de la gestión de la postura de seguridad de API. Esta nueva función de API Shield te ayuda a reducir el riesgo al identificar los problemas de seguridad y solucionarlos antes de que se produzcan ataques a las API. Dado que las API suelen estar formadas por muchos servicios de backend distintos, los equipos de seguridad deben identificar qué servicio de backend es vulnerable para que los equipos de desarrollo puedan solucionar los problemas identificados.

Nuestros nuevos análisis de riesgos de gestión de la postura de seguridad de API hacen exactamente eso: los usuarios pueden identificar rápidamente qué puntos finales de la API están en riesgo ante una serie de vulnerabilidades, como la exposición de datos confidenciales, el estado de autenticación, los ataques de error de autorización a nivel de objeto (BOLA) y muchas más.

La postura de autenticación es un análisis de riesgos que verás en el nuevo sistema. Para empezar, nos centramos en ella porque los datos confidenciales están en riesgo cuando se supone que se aplica la autenticación de la API, pero esta en realidad no funciona. La postura de autenticación ayuda a los clientes a identificar los errores de configuración para las API y alerta de su presencia. Para ello, se analizan las solicitudes correctas enviadas a la API y se anota su estado de autenticación. API Shield analiza el tráfico a diario y etiqueta los puntos finales de API donde falta la autenticación o esta es mixta para revisarlos posteriormente.

Los clientes que han configurado los ID de sesión en API Shield pueden encontrar las nuevas etiquetas de análisis de riesgos y los detalles de autenticación por punto final en API Shield. Los equipos de seguridad pueden proporcionar esta información a sus equipos de desarrollo para corregir el error de autenticación.

Hoy lanzamos los análisis de la postura de autenticación, los datos confidenciales, las API desprotegidas, los ataques BOLA y el análisis de anomalías para el rendimiento de las API en cuanto a errores, latencia y tamaño de la respuesta.

Para una buena postura de seguridad en un entorno en rápida evolución se requieren soluciones innovadoras que puedan transformar la complejidad en simplicidad. Nuestro primer paso para respaldar los esfuerzos de nuestros clientes para garantizar una postura de seguridad adecuada es combinar la capacidad de evaluación continua de las amenazas y los riesgos en los entornos informáticos públicos y privados a través de una única plataforma.

Para mejorar aún más la relevancia de la información sobre seguridad y las sugerencias proporcionadas y ayudarte a priorizar mejor tus acciones, estamos estudiando la posibilidad de integrar la visión global de Cloudflare del panorama de amenazas. Esto te ofrece perspectivas adicionales, como cuáles representan las mayores amenazas para tu sector y cuáles son los objetivos de los atacantes en este momento. No te pierdas las novedades que lanzaremos este mismo año.

Si aún no lo has hecho, incorpora hoy mismo tus aplicaciones web y SaaS a Cloudflare para obtener información instantánea sobre cómo mejorar la postura de seguridad de tu empresa.

Durante el último año, descubrimos y mitigamos el mayor ataque DDoS jamás registrado en la historia de Internet, en tres ocasiones distintas, lo que subraya los esfuerzos rápidos y persistentes de los ciberdelincuentes. Hemos ayudado a salvaguardar el mayor año de elecciones en todo el mundo, en las que más de la mitad de la población mundial tenía derecho de voto, al mismo tiempo que hemos visto cómo las tensiones geopolíticas y la guerra se reflejaban en el entorno digital.

2025 ya promete seguir el mismo camino, y se estima que este año los ciberataques costarán a la economía mundial 10,5 billones de dólares. Mientras aumenta el rápido avance de la IA y las tecnologías emergentes, y los ciberdelincuentes muestran cada vez una mayor agilidad y creatividad, el panorama de la seguridad sigue evolucionando drásticamente. Las organizaciones afrontan ahora un mayor volumen de ataques y la llegada de amenazas más complejas que tienen consecuencias en el mundo real, como los ciberataques patrocinados por los estados y los ataques a infraestructuras críticas. 

Mi trabajo es proteger a Cloudflare como organización y ayudar a nuestros clientes a ir un paso por delante de los ciberdelincuentes. Si bien en Cloudflare cada semana es una semana dedicada a la seguridad, ha llegado el momento del lanzamiento: ¡de eso se tratan las Semanas de la innovación! ¡Te damos la bienvenida a Security Week 2025!

Como director de seguridad, tengo el privilegio de colaborar con responsables de seguridad de talla mundial que se enfrentan al dinámico panorama normativo y de las amenazas. Gracias a fructíferos intercambios en foros como el Foro Económico Mundial en Davos, RSA y Black Hat, he conocido perspectivas de gran utilidad sobre las dificultades comunes que nos encontramos al abordar las necesidades de seguridad actuales:

• Complejidad: la complejidad se ha convertido en el enemigo de la seguridad. Los equipos tienen dificultades relacionadas con las pilas tecnológicas fragmentadas, los entornos multinube y la continua falta de profesionales de la seguridad. El conocimiento de la situación es limitado, los sistemas dispares aumentan la sobrecarga operativa y la capacidad de modernización supone un desafío.

• Inteligencia artificial: la IA no solo ofrece oportunidades, sino también riesgos. Las organizaciones desean beneficiarse de la IA lo antes posible, y la empiezan a utilizar sin tener tiempo de formar a sus equipos de trabajo sobre cómo mitigar los riesgos específicos que plantea. Se pide a los equipos de seguridad que protejan los modelos de IA para proteger los datos confidenciales y respaldar la estabilidad operativa, todo ello con presupuestos y recursos limitados.

• Puntos ciegos de la seguridad: la superficie de ataque sigue ampliándose. Con el trabajo remoto, la migración a la nube y la aceleración de la transformación digital, los equipos de seguridad tienen dificultades para mantener la visibilidad en entornos cada vez más distribuidos. Esta expansión ha creado puntos ciegos que sofisticados ciberdelincuentes pueden aprovechar rápidamente.

• Proveedores de confianza: los incidentes de seguridad en la cadena de suministro aumentan año tras año. Recientes incidentes de gran repercusión han demostrado cómo las vulnerabilidades de los componentes de terceros pueden propagarse en cascada por el ecosistema digital. Los equipos de seguridad deben tener en cuenta los riesgos que van mucho más allá de su perímetro inmediato, extendiéndose a todas las dependencias de su pila tecnológica.

• Velocidad de detección: se sigue tardando demasiado tiempo en detectar una amenaza en el entorno. A pesar de las inversiones en tecnologías de supervisión y detección, el tiempo medio de permanencia de los atacantes sigue superando los objetivos del sector. Los responsables de seguridad expresan su frustración porque sofisticados ciberdelincuentes pueden operar dentro de las redes sin ser detectados durante largos periodos de tiempo.

Lo que está claro en la comunidad de la seguridad es que el enfoque tradicional de añadir soluciones específicas no es sostenible. Los responsables de seguridad necesitan plataformas integradas que reduzcan la complejidad y ofrezcan protección y visibilidad integrales. Precisamente por ese motivo me incorporé a Cloudflare hace casi dos años: para ayudar a crear soluciones innovadoras para el panorama de amenazas presente y futuro, no para el panorama de amenazas de hace cinco años.

Durante la próxima semana, presentaremos innovaciones que ayudarán a los profesionales de la seguridad a resolver los desafíos que afrontan a diario. Como responsable de la organización de seguridad de Cloudflare, y Cliente Zero, nuestro equipo ha influido en el lanzamiento de las actualizaciones de productos que tendrán lugar esta semana.

Aquí tienes un avance de lo que puedes esperar esta semana:

La informática cuántica cambiará para siempre la seguridad en Internet, sobre todo en el ámbito de la criptografía, que es la forma de proteger las comunicaciones y la información a través de canales como Internet.

A medida que la computación cuántica continúa evolucionando, el trabajo de investigación y desarrollo de la criptografía avanza en paralelo. Confiamos en que con los esfuerzos conjuntos entre el NIST, Microsoft, Cloudflare y otras empresas de computación se logrará una solución sólida y basada en estándares. 

Cloudflare anunciará los avances de su solución Zero Trust nativa de nube y segura desde el punto de vista cuántico, la primera de este tipo. Esto garantiza una seguridad del tráfico de la red corporativa preparada para el futuro y que nuestros clientes pueden adoptar fácilmente. Las actualizaciones que compartirá nuestro equipo de producto redefinirán cómo las empresas y los particulares afrontarán nuestro panorama poscuántico en evolución.

Los programas de seguridad eficaces deben ir varios pasos por delante de las amenazas emergentes. La información sobre amenazas disponible para la mayoría de los equipos de seguridad no tiene contexto, por lo que es difícil reaccionar en consecuencia. 

Esta semana lanzamos nuestra plataforma de eventos de amenazas, que proporciona a nuestros clientes datos de la información sobre amenazas en tiempo real. Gracias al gran alcance de nuestra red, los clientes tendrán una visión integral de las ciberamenazas basada en los ataques que se producen en Internet. 

Este producto permitirá a los usuarios obtener ellos mismos información contextual sobre los ataques que se producen en Internet, mejorando su capacidad para ajustar proactivamente sus defensas y responder a las amenazas emergentes. Como profesionales de la seguridad, no basta con detener las amenazas en la puerta de acceso, tenemos que anticiparnos al siguiente vector. La fuente de eventos de amenazas proporciona esa capa adicional de análisis forense para darnos esa ventaja, analizando quién, cómo y por qué está detrás de cada ataque. Es como realizar una autopsia a las amenazas que neutralizamos, para descubrir patrones, tácticas y posibles debilidades en nuestras defensas que los datos sin procesar por sí solos podrían pasar por alto.

No resulta ninguna sorpresa que la IA sea el principal tema de conversación. La IA es un tema común en todos los sectores, y la principal preocupación es la protección y la seguridad de nuestras inversiones. Como empresa líder en el suministro de infraestructura para el entrenamiento y la inferencia de la IA, nuestros equipos de ingeniería y productos han estado trabajando arduamente para desarrollar una forma de proteger nuestros propios modelos, datos y aplicaciones de IA, así como los de nuestros clientes.

Esta semana, nuestro equipo de producto compartirá cómo nuestros usuarios pueden obtener un mayor control sobre sus datos con nuestro nuevo Firewall for IA y las capacidades mejoradas para nuestro AI Gateway relacionado. El mundo ha pasado de centrarse en la creación de modelos a su implementación activa, y necesitas protegerte contra la explotación de tus datos por parte de terceros para entrenar sus propios sistemas de IA generativa. 

Además, proporcionaremos a los equipos de seguridad visibilidad y protección en todas las aplicaciones web y empresariales desde una única plataforma unificada. Esta nueva función puede identificar la ubicación de todas las aplicaciones en tu organización, comprender las amenazas potenciales correspondientes y proporcionar recomendaciones para la reducción de riesgos.

Más allá de las nuevas herramientas y funciones, la Security Week 2025 representa nuestro compromiso con nuestra misión de ayudar a mejorar Internet.

Lo que distingue a Cloudflare es nuestra posición única en la intersección entre la seguridad y la innovación. Las soluciones que presentamos esta semana no son solo respuestas a las amenazas actuales. Son innovaciones con visión de futuro que se anticipan a los desafíos del mañana. Reflejan nuestra perspectiva de que la seguridad debe evolucionar para pasar de ser reactiva a predictiva, de compleja a intuitiva, y de aislada a integrada.

Las Semanas de la Innovación se han convertido en la piedra angular de nuestra forma de conectar con nuestra comunidad en Cloudflare. Para mí, cada Security Week aporta energía y perspectivas renovadas. Las conversaciones con los clientes, los profesionales de la seguridad y los líderes del sector redefinen continuamente nuestra perspectiva de lo que es posible.

Te invito a que interactúes con nosotros durante toda esta semana, ya sea mediante las demostraciones en directo, los análisis técnicos o las conversaciones directas con nuestro equipo. Espero que salgas no solo con nuevas herramientas, sino con una visión más clara de cómo podemos crear colectivamente una experiencia de Internet más segura para todos.

El futuro de la seguridad no consiste en construir muros más altos, sino en crear ecosistemas más inteligentes. Construyamos ese futuro juntos.

Los próximos 12 meses tienen el potencial de redefinir el panorama político mundial: en 2024 se celebran elecciones en más de 80 países, mientras que las nuevas tecnologías, como la IA, cautivan nuestra imaginación y plantean nuevos desafíos de seguridad.

En este contexto, el papel de los responsables de seguridad de la información es más importante que nunca. Grant Bourzikas, director de seguridad de la información en Cloudflare, compartió su opinión sobre cuáles son los mayores desafíos que afronta actualmente el sector de la seguridad en la publicación del blog que inauguró la Security Week.

La semana pasada, anunciamos una serie de nuevos productos y funciones que responden a lo que consideramos que son los desafíos más importantes para los responsables de seguridad de la información en todo el mundo. Hemos lanzado funciones que abarcan toda la cartera de productos de Cloudflare, desde la seguridad de las aplicaciones hasta la seguridad de los usuarios y la infraestructura en la nube. También hemos publicado algunas historias sobre cómo adoptamos un enfoque de "cliente cero" al utilizar los servicios de Cloudflare para gestionar la seguridad en Cloudflare.

Esperamos que estas historias te resulten interesantes y que te entusiasmen los nuevos productos de Cloudflare. En caso de que te hayas perdido alguno de estos anuncios, aquí tienes un resumen de la Security Week:

.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-f50w{background-color:#F90;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-zb5k{color:#15C;text-align:left;vertical-align:top} .tg .tg-zb5k a{border-bottom: 0} .tg .tg-0lax{text-align:left;vertical-align:top}

Puesto

Extracto

Cloudflare anuncia Firewall for AI

Cloudflare ha anunciado el desarrollo de Firewall para IA, una capa de protección que puede implementarse delante de modelos de lenguaje de gran tamaño (LLM) para identificar los intentos de abuso y los ataques.

IA defensiva: marco de Cloudflare para proteger contra las amenazas de nueva generación

La IA defensiva es el marco que Cloudflare utiliza al integrar sistemas inteligentes en sus soluciones. Los modelos de IA de Cloudflare analizan los patrones de tráfico de los clientes, a fin de proporcionar a la organización una estrategia de defensa personalizada y exclusiva para su entorno.

Cloudflare lanza AI Assistant para los análisis de seguridad

Hemos lanzado un asistente de lenguaje natural como parte de Security Analytics. Ahora es más fácil que nunca beneficiarse de información útil acerca de tus aplicaciones explorando los eventos de registro y de seguridad mediante la nueva interfaz de consultas en lenguaje natural.

Disipamos el miedo a la IA generativa: cómo Cloudflare protege las bandejas de entrada contra el phishing creado con IA

Los ciberdelincuentes están usando la IA generativa para que los ataques de phishing parezcan mucho más convincentes. Descubre cómo los sistemas de seguridad del correo electrónico de Cloudflare pueden ir más allá de la detección del fraude de con el uso de modelos avanzados de aprendizaje automático.

.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-f50w{background-color:#F90;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-zb5k{color:#15C;text-align:left;text-decoration:underline;vertical-align:top} .tg .tg-zb5k a{border-bottom: 0} .tg .tg-0lax{text-align:left;vertical-align:top}

Puesto

Extracto

Magic Cloud Networking simplifica la seguridad, la conectividad y la gestión de las nubes públicas

Descubre Magic Cloud Networking, un nuevo conjunto de capacidades para visualizar y automatizar las redes en la nube con el fin de ofrecer a nuestros clientes una conexión segura, fácil y eficaz a los entornos de nube pública.

Protege tus activos expuestos con nuestro Centro de seguridad: resumen para los CISO

El Centro de seguridad incluye ahora nuevas herramientas para abordar un desafío común: garantizar una implementación completa de los productos de Cloudflare en toda tu infraestructura. Benefíciate de información precisa sobre dónde y cómo optimizar tu postura de seguridad.

Mejoramos el servicio DLP con dos funciones muy solicitadas: el reconocimiento óptico de caracteres (OCR) y la detección de código fuente

Cloudflare One admite ahora el reconocimiento óptico de caracteres y detecta el código fuente como parte de su servicio de prevención de pérdida de datos. Estas dos características facilitan a las organizaciones la protección de sus datos confidenciales y reducen los riesgos de violación.

Novedad: Puntuación de riesgo del usuario basada en el comportamiento en Cloudflare One

Presentamos la puntuación de riesgo del usuario como parte de Cloudflare One, un nuevo conjunto de capacidades para detectar el riesgo en función del comportamiento del usuario, para que puedas mejorar tu postura de seguridad en toda tu organización.

Elimina las vulnerabilidades de las VPN con Cloudflare One

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) ha publicado una directiva de emergencia debido a las vulnerabilidades en las soluciones Ivanti Connect Secure y Policy Secure. En esta publicación, analizamos las tácticas de los actores de amenazas que explotan estas vulnerabilidades y cómo Cloudflare One puede mitigar estos riesgos.

Zero Trust WARP: creación de túneles con MASQUE

En este blog analizamos la incorporación de MASQUE a Zero Trust WARP y cómo los clientes de Cloudflare One se beneficiarán de este moderno protocolo.

Reúne tus cookies con Page Shield Cookie Monitor

La protección de la privacidad en línea empieza por saber qué cookies utilizan tus sitios web. Nuestra solución de seguridad del lado del cliente, Page Shield, amplía la supervisión transparente a las cookies HTTP.

Detección de protocolos con Cloudflare Gateway

Cloudflare Secure Web Gateway admite ahora la detección, el registro y el filtrado de protocolos de red mediante la carga útil de paquetes sin necesidad de inspección.

Novedad: Solicitudes de información (RFI) y requerimientos prioritarios de inteligencia (PIR) para los equipos de información sobre amenazas

Nuestro centro de seguridad incluye ahora solicitudes de información y requerimientos prioritarios de inteligencia. Estas funciones también están disponibles a través de la API y los clientes de Cloudforce One ya pueden empezar a utilizarlas para mejorar los análisis de seguridad.

.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-f50w{background-color:#F90;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-zb5k{color:#15C;text-align:left;text-decoration:underline;vertical-align:top} .tg .tg-zb5k a{border-bottom: 0} .tg .tg-0lax{text-align:left;vertical-align:top}

Puesto

Extracto

Log Explorer supervisa los eventos de seguridad sin almacenamiento de terceros

Con la eficiencia conjunta de Security Analytics y Log Explorer, los equipos de seguridad pueden analizar, investigar y supervisar los registros de forma nativa en Cloudflare. De esta forma, conseguimos reducir el tiempo de resolución y el coste total de propiedad, ya que eliminamos la necesidad de sistemas de registro de terceros.

Facilitamos la migración de Netskope y Zscaler a Cloudflare con el lanzamiento de Deskope y la ampliación del programa Descaler

Cloudflare amplía el programa Descaler a los socios de prestación de servicios autorizados (ASDP). Además, lanzamos Deskope, un nuevo conjunto de herramientas para ayudar a migrar a los clientes existentes de Netskope a Cloudflare One.

Protección de las API con la validación de JWT

Los clientes de Cloudflare ya pueden proteger sus API contra los ataques por fallos de autenticación mediante la validación de los tokens web JSON entrantes con API Gateway.

Simplificamos la forma en la que las empresas se conectan a Cloudflare con Express Cloudflare Network Interconnect

Express Cloudflare Network Interconnect acelera y simplifica la conexión de tu red a Cloudflare. Ahora los clientes pueden solicitar Express CNI directamente desde el panel de control de Cloudflare.

Cloudflare da respuesta a la preocupación de los clientes de VeloCloud por las soluciones SASE

La inestabilidad del mercado de SASE está llevando a muchos clientes a buscar ayuda. Estamos poniendo de nuestra parte para ayudar a los clientes de VeloCloud que se están viendo afectados por los cambios en las estrategias.

Supervisión gratuita del flujo de red para todos los clientes Enterprise

Anunciamos una versión gratuita del producto de supervisión de flujos de red de Cloudflare, Magic Network Monitoring. Ya está disponible para todos los clientes del plan Enterprise.

Creación de sitios web seguros: guía sobre Cloudflare Pages y el complemento Turnstile

Aprende a utilizar Cloudflare Pages y Turnstile para implementar tu sitio web de forma rápida y sencilla, al tiempo que lo proteges de los bots, sin afectar la experiencia del usuario.

Disponibilidad general de WAF Content Scanning para la protección contra malware de archivos

Anunciamos la disponibilidad general de WAF Content Scanning, nuestra solución para proteger tus aplicaciones web y API del malware a través del análisis de archivos en tránsito.

Novedad: Solicitudes de información (RFI) y requerimientos prioritarios de inteligencia (PIR) para los equipos de información sobre amenazas

Nuestro centro de seguridad incluye ahora solicitudes de información y requerimientos prioritarios de inteligencia. Estas funciones también están disponibles a través de la API y los clientes de Cloudforce One ya pueden empezar a utilizarlas para mejorar los análisis de seguridad.

.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-f50w{background-color:#F90;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-zb5k{color:#15C;text-align:left;text-decoration:underline;vertical-align:top} .tg .tg-zb5k a{border-bottom: 0} .tg .tg-0lax{text-align:left;vertical-align:top}

Puesto

Extracto

Cloudflare protege la democracia mundial contra las amenazas de la tecnología emergente en la época de elecciones de 2024

En Cloudflare, apoyamos activamente a los protagonistas de los procesos electorales con herramientas de seguridad, rendimiento y fiabilidad para ayudar a facilitar el proceso democrático.

Cómo entender el laberinto de Magecart: lección aprendida de un sitio web afectado por Magecart

Descubre cómo un sofisticado ataque Magecart estaba detrás de una campaña contra sitios web de comercio electrónico. Este incidente subraya la necesidad crítica de una postura de seguridad sólida en el lado del cliente.

URL Scanner de Cloudflare, descubre nuevas funciones y lo que hay detrás de este desarrollo

Descubre la API mejorada de URL Scanner, ahora integrada con el portal de investigación del centro de seguridad. Benefíciate de análisis privados, capturas de pantalla multidispositivo y de una integración eficaz dentro del ecosistema de Cloudflare.

Transformamos la industria con los principios de seguridad por diseño de la CISA

Las cuestiones de seguridad deben ser una parte integral del diseño de software, no algo que deba dejarse al azar. Descubre cómo Cloudflare se adhiere a los principios de seguridad por diseño de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras para cambiar el sector.

El estado de la red de Internet poscuántica

Casi el 2 % de todas las conexiones TLS 1.3 establecidas con Cloudflare están protegidas con criptografía poscuántica. En esta entrada del blog evaluamos la situación en la que nos encontramos a principios de 2024, qué podemos esperar para los próximos años y qué puedes hacer hoy.

Advanced DNS Protection: mitigación de ataques DDoS sofisticados contra el DNS

Descubre el sistema Advanced DNS Protection, un sólido mecanismo de defensa diseñado para proteger contra los ataques DDoS más sofisticados al DNS.

.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-f50w{background-color:#F90;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-zb5k{color:#15C;text-align:left;text-decoration:underline;vertical-align:top} .tg .tg-zb5k a{border-bottom: 0} .tg .tg-0lax{text-align:left;vertical-align:top}

Puesto

Extracto

Ajustes de seguridad del kernel de Linux que todo el mundo debería considerar adoptar

Esta publicación muestra algunas de las funciones del kernel de Linux, que nos están ayudando a mantener nuestros sistemas de producción más seguros. Analizaremos cómo funcionan y por qué tú también deberías considerar activarlas.

Nuestras soluciones nos protegen: nuestro recorrido Zero Trust

Analizamos la implementación de Zero Trust en Cloudflare manteniendo la privacidad del usuario.

Security Week 2024: Novedad sobre el rendimiento de la red

Cloudflare es el proveedor más rápido en lo que respecta al tiempo de conexión del percentil 95 en el 44 % de las redes de todo el mundo. Analicemos los datos y hablemos de cómo lo hacemos.

Cómo sacamos partido al caos en las oficinas de Cloudflare

Esta publicación analiza las nuevas fuentes de "caos" añadidas a LavaRand y cómo puedes utilizar ese caos sacándole partido en tu próxima aplicación.

Lanzamiento: información de la seguridad del correo electrónico en Cloudflare Radar

La nueva sección sobre seguridad del correo electrónico en Cloudflare Radar proporciona información sobre las últimas tendencias en torno a las amenazas que se encuentran en el correo electrónico malicioso, en las fuentes de spam y en el correo electrónico malintencionado, y sobre la adopción de tecnologías diseñadas para evitar el abuso del correo electrónico.

Gracias por acompañarnos esta semana. Permanece atento a nuestra próxima Semana de la Innovación a principios de abril, que estará dedicada a la comunidad de desarrolladores.

Security Analytics te permite analizar todo tu tráfico HTTP en un solo lugar, proporcionándote la óptica de seguridad que necesitas para identificar lo más importante y tomar medidas para resolverlo: el tráfico potencialmente malicioso que no ha sido mitigado. Security Analytics incluye vistas integradas (como las estadísticas principales) y filtros rápidos en contexto, en un diseño de página intuitivo que permite una exploración y validación rápidas.

Para impulsar nuestros completos paneles de control de análisis con un rendimiento de consulta rápido, hemos implementado el muestreo de datos utilizando análisis de velocidad adaptativa de bits (ABR). Esto resulta muy adecuado para proporcionar vistas agregadas de alto nivel de los datos. Sin embargo, muchos usuarios avanzados de Security Analytics nos han comentado que a veces necesitan acceder a una vista más granular de los datos: necesitan los registros.

Los registros proporcionan una visibilidad esencial de las operaciones de los sistemas informáticos actuales. Los ingenieros y los analistas de los centros de operaciones de seguridad (SOC) utilizan los registros a diario para solucionar problemas, identificar e investigar incidentes de seguridad y ajustar el rendimiento, la fiabilidad y la seguridad de sus aplicaciones y su infraestructura. Las soluciones de supervisión o las métricas tradicionales ofrecen datos agregados o estadísticos que pueden utilizarse para identificar tendencias. Las métricas son muy útiles para identificar QUÉ ha ocurrido, pero carecen de eventos detallados que ayuden a los ingenieros a descubrir POR QUÉ ha ocurrido. Los ingenieros y los analistas de los SOC dependen de los datos de registro sin procesar para responder a distintas preguntas:

• ¿Cuál es la causa de este aumento de los errores 403?

• ¿A qué datos ha accedido esta dirección IP?

• ¿Cuál ha sido la experiencia de este usuario específico con su sesión?

Tradicionalmente, estos ingenieros y analistas reunían un conjunto de diversas herramientas de supervisión para capturar los registros y obtener esta visibilidad. Puesto que cada vez más organizaciones utilizan varias nubes, o un entorno híbrido con herramientas y arquitectura tanto en la nube como locales, es fundamental disponer de una plataforma unificada para recuperar la visibilidad de este entorno cada vez más complejo.  Cuando cada vez más empresas adoptan una arquitectura nativa de nube, consideramos la conectividad cloud de Cloudflare como una parte integral de su estrategia de rendimiento y seguridad.

Log Explorer ofrece una opción más económica para el almacenamiento y la exploración de tus datos de registro en Cloudflare. Hasta hoy, hemos ofrecido la posibilidad de exportar los registros a costosas herramientas de terceros. Ahora, con Log Explorer, puedes explorar rápida y fácilmente tus datos de registro sin salir del panel de control de Cloudflare.

Ya seas un ingeniero del SOC que investiga posibles incidentes, o un responsable del cumplimiento con requisitos específicos de retención de registros, Log Explorer es la opción ideal para ti. Almacena tus registros de Cloudflare durante un periodo de tiempo ilimitado y personalizable, de forma que están accesibles de forma nativa desde el panel de control de Cloudflare. Admite estas funciones:

• Buscar en tus registros de eventos de seguridad o solicitudes HTTP

• Filtrar por cualquier campo y una serie de operadores estándar

• Cambiar entre el modo de filtro básico o la interfaz de consulta SQL

• Seleccionar los campos para mostrar

• Ver los eventos de registro en formato tabular

• Buscar los registros de solicitudes HTTP asociados a un Id. de rayo

Como analista del SOC, tu trabajo consiste en supervisar y responder a las amenazas y a los incidentes en la red de tu organización. Con Security Analytics, y ahora con Log Explorer, puedes identificar las anomalías y realizar una investigación forense, todo en un mismo lugar.

Veamos un ejemplo para mostrar esto en la práctica:

En el panel de control de Security Analytics, puedes ver en el panel Insights que hay tráfico que se ha etiquetado como probablemente correspondiente a un ataque, pero que no se ha mitigado.

Con un clic en el botón de filtro puedes reducir el número de solicitudes para acotar tu investigación.

En la vista de registros muestreados, puedes observar que la mayoría de estas solicitudes proceden de una dirección IP de cliente común.

También puedes ver que Cloudflare ha marcado todas estas solicitudes como tráfico de bots. Con esta información, puedes elaborar una regla WAF para bloquear todo el tráfico procedente de esta dirección IP, o bien para bloquear todo el tráfico que tenga una puntuación de bot inferior a 10.

Supongamos que el equipo responsable del cumplimiento quiere reunir documentación sobre el alcance y la repercusión de este ataque. Podemos detallar más en los registros durante este periodo de tiempo para ver todo a lo que este atacante ha intentado acceder.

En primer lugar, podemos utilizar Log Explorer para consultar las solicitudes HTTP procedentes de la dirección IP sospechosa durante el intervalo de tiempo del pico observado en Security Analytics.

También podemos revisar si el atacante ha podido exfiltrar datos. Para ello, añadimos el campo OriginResponseBytes y actualizamos la consulta para que muestre las solicitudes con OriginResponseBytes > 0. Los resultados muestran que no se han exfiltrado datos.

Con el acceso a los registros completos mediante Log Explorer, ahora puedes realizar una búsqueda de solicitudes específicas.

Un error 403 se produce cuando se bloquea la solicitud de un usuario a un sitio determinado. Los productos de seguridad de Cloudflare utilizan elementos como la reputación de IP y WAF Attack Score basados en tecnologías de aprendizaje automático con el fin de evaluar si una determinada solicitud HTTP es maliciosa. Esto es extremadamente eficaz, pero a veces las solicitudes se marcan erróneamente como maliciosas y se bloquean.

En estas situaciones, ahora podemos utilizar Log Explorer para identificar estas solicitudes y por qué se han bloqueado, y a continuación ajustar las reglas WAF pertinentes en consecuencia.

O bien, si te interesa rastrear una solicitud concreta por Id. de rayo (RayID, un identificador que se asigna a cada solicitud que pasa por Cloudflare) puedes hacerlo mediante Log Explorer con una sola consulta.

Ten en cuenta que la cláusula LIMIT se incluye por defecto en la consulta, pero no afecta a las consultas RayID, ya que RayID es único y sólo se devolvería un registro al utilizar el campo de filtro RayID.

Con Log Explorer, hemos desarrollado una plataforma de almacenamiento de registros a largo plazo de tipo append-only sobre Cloudflare R2. Log Explorer utiliza el protocolo Delta Lake, un marco de almacenamiento de código abierto para desarrollar bases de datos de alto rendimiento conpatibles con ACID sobre un almacén de objetos en la nube. En otras palabras, Log Explorer combina un sistema de almacenamiento grande y rentable, Cloudflare R2, con las ventajas de su sólida coherencia y su alto rendimiento. Además, Log Explorer te proporciona una interfaz SQL para tus registros de Cloudflare.

Cada conjunto de datos de Log Explorer se almacena a nivel de cada cliente, igual que Cloudflare D1, de forma que tus datos no se mezclan con los de otros clientes. En el futuro, este modelo de almacenamiento de cliente único te permitirá crear tus propias políticas de retención y decidir en qué regiones quieres almacenar tus datos.

A nivel interno, los conjuntos de datos de cada cliente se almacenan como tablas Delta en buckets R2. Una tabla Delta es un formato de almacenamiento que organiza objetos Apache Parquet en directorios utilizando la convención de nomenclatura de las particiones de Hive. Fundamentalmente, las tablas Delta emparejan estos objetos de almacenamiento con un registro de transacciones de tipo append-only que incluye puntos de verificación. Este diseño permite que Log Explorer admita múltiples escritores con concurrencia optimista.

Muchos de los productos que desarrolla Cloudflare son un resultado directo de los desafíos que nuestro propio equipo trata de abordar. Log Explorer es un ejemplo perfecto de esta cultura de dogfooding. Las escrituras concurrentes optimistas requieren actualizaciones atómicas en el almacén de objetos subyacente, y considerando nuestras necesidades, R2 ha añadido una operación PutIfAbsent con fuerte coherencia. ¡Gracias, R2! La operación atómica diferencia a Log Explorer de las soluciones Delta Lake basadas en S3 de Amazon Web Services, que incurren en la carga operativa de utilizar un almacén externo para sincronizar las escrituras.

Log Explorer está escrito en el lenguaje de programación Rust utilizando bibliotecas de código abierto, como delta-rs, una implementación Rust nativa del protocolo Delta Lake, y Apache Arrow DataFusion, un motor de consulta muy rápido y extensible. En Cloudflare, Rust se ha convertido en una opción popular para el desarrollo de nuevos productos, debido a sus ventajas en seguridad y rendimiento.

Sabemos que los registros de seguridad de las aplicaciones son sólo una pieza del rompecabezas que permite comprender lo que sucede en tu entorno. Permanece atento a nuestros futuros desarrollos, como una integración más estrecha y fluida entre Analytics y Log Explorer, la incorporación de más conjuntos de datos, incluidos los registros Zero Trust, la posibilidad de definir periodos de retención personalizados y las alertas personalizadas integradas.

Utiliza el enlace de comentarios para contarnos qué te parece Log Explorer y qué otras cosas te facilitarían tu trabajo.

¡Nos encantaría saber de ti! Si te interesa unirte a nuestro programa Beta, rellena este formulario y un miembro de nuestro equipo se pondrá en contacto contigo.

El precio definitivo se establecerá antes de la disponibilidad general del producto.

Descubre más noticias, anuncios y debates que invitan a la reflexión. Consulta la página de Security Week.

La entropía procedente de nuestra pared de lámparas de lava de San Francisco lleva mucho tiempo desempeñando un papel en el carácter aleatorio que protege las conexiones establecidas mediante Cloudflare.

Lámparas de lava con cera fluida.

Los servidores de Cloudflare gestionan en conjunto más de 55 millones de solicitudes HTTP por segundo, la gran mayoría de las cuales están protegidas mediante el protocolo TLS para garantizar su autenticidad y confidencialidad. A nivel técnico, los protocolos criptográficos como TLS requieren una fuente subyacente de aleatoriedad segura; de lo contrario, las garantías de seguridad se desmoronan.

La aleatoriedad segura utilizada en criptografía debe ser indistinguible, en términos computaciones, de la aleatoriedad "verdadera". Para ello, debe superar pruebas estadísticas de aleatoriedad, y el resultado debe ser impredecible para cualquier adversario limitado por el cálculo, independientemente del número de resultados anteriores que ya haya visto este adversario. La forma típica de conseguirlo es tomar una "semilla" aleatoria e introducirla en un generador de números pseudoaleatorios criptográficamente seguro (Cryptographically Secure PseudoRandom Number Generator, CSPRNG) que puede producir un flujo básicamente infinito de bytes impredecibles previa solicitud. Las propiedades de un CSPRNG garantizan que todos los resultados sean prácticamente indistinguibles de los resultados verdaderamente aleatorios para cualquiera que no conozca su estado interno. Sin embargo, todo esto depende de tener una semilla aleatoria segura para empezar. Consulta esta publicación para obtener más detalles sobre la aleatoriedad real frente a la pseudoaleatoriedad, y esta publicación para ver algunos ejemplos de lo que puede ir mal con una aleatoriedad no segura.

Durante muchos años, los servidores de Cloudflare han dependido de fuentes locales de entropía (como el momento preciso de la llegada de paquetes o de eventos de teclado) para alimentar sus reservas de entropía. Aunque no hay ninguna razón para creer que las fuentes locales de entropía de esos servidores no sean seguras o puedan verse fácilmente en riesgo, queríamos protegernos contra esa eventualidad. Nuestra solución fue crear un sistema en el que nuestros servidores pudieran refrescar periódicamente sus reservas de entropía con elementos verdaderamente aleatorios procedentes de una fuente externa.

Esto nos lleva a LavaRand. Durante mucho tiempo, "Lavarand" ha sido el nombre que se ha dado a los sistemas utilizados para la generación de elementos aleatorios (en primer lugar por Silicon Graphics en 1997). Cloudflare lanzó su instanciación de un sistema LavaRand en 2017. Este sistema recoge entropía que genera la pared de lámparas de lava de nuestra oficina de San Francisco y hace que esté disponible través de una API interna. A continuación, nuestros servidores consultan periódicamente la API para recuperar datos aleatorios frescos de LavaRand e incorporarlos a sus reservas de entropía. Puedes considerar las contribuciones de LavaRand como un condimento que se añade a la mezcla de las reservas de entropía. (Para conocer más detalles técnicos, lee nuestra publicación anterior del blog).

Lámparas de lava en la oficina de Cloudflare en San Francisco.

Nuestras lámparas de lava de San Francisco llevan años trabajando incansablemente para suministrar entropía fresca a nuestros sistemas, ¡pero ahora tienen hermanos en todo el mundo que les ayudan en su tarea! La variedad de fuentes de entropía que se encuentran en nuestras oficinas y que proceden de ellas ha seguido el crecimiento de Cloudflare. El equipo Places de Cloudflare trabaja duramente para garantizar que nuestras oficinas reflejen los diversos aspectos de nuestros valores y nuestra cultura. Varias de nuestras oficinas más grandes incluyen instalaciones de sistemas físicos de entropía, y son estas instalaciones las que nos hemos esforzado por incorporar a LavaRand con el tiempo. El atractivo tangible y emocionante de estos sistemas reside en que se basan en mecanismos físicos que consideramos intuitivamente aleatorios. Las bolas de "lava" que flotan dentro de las lámparas (las gotas más calientes suben, mientras que las gotas más frías se hunden) nos llaman la atención, del mismo modo que otros sistemas dinámicos impredecibles (y a menudo bellos) captan nuestro interés.

Los visitantes de nuestra oficina de Londres pueden ver un pared de péndulos dobles cuyas bellas oscilaciones se traducen en otra fuente de entropía para LavaRand y para la reserva de aleatoriedad de la que se benefician los servidores de Cloudflare.

Primer plano de la instalación de péndulos dobles de la oficina de Cloudflare en Londres.

Para el ojo inexperto, las sombras de los soportes de los péndulos y las proyectadas por los brazos giratorios en la pared trasera podrían parecer caóticas. Si es así, ¡esta instalación debería considerarse un gran éxito! Las diferentes condiciones de luz y esas sombras se suman al caos que se capta de esta fuente de entropía.

Instalación de los péndulos en la oficina de Cloudflare en Londres con condiciones de luz cambiantes.

De hecho, incluso con estos brazos restringidos al movimiento en dos dimensiones, la trayectoria trazada por los brazos es hipnotizantemente variada, y puede demostrarse que es matemáticamente caótica. Incluso si olvidamos la resistencia del aire, la temperatura y el entorno, y suponemos que la mutación es completamente determinista, el movimiento resultante a largo plazo sigue siendo difícil de predecir. En concreto, el sistema es muy sensible a las condiciones iniciales. Este estado inicial (es decir, cómo se pone en movimiento), asociado a un comportamiento determinista, produce una trayectoria única que se traza hasta la detención del péndulo y hasta que el sistema vuelve a ser puesto en movimiento por un empleado de Cloudflare en Londres.

La nueva y magnífica oficina de Cloudflare en Austin, Texas, ha celebrado recientemente el primer aniversario de su apertura. Esta oficina aporta su propia contribución a la entropía física: una instalación de móviles arcoíris translúcidos suspendida sobre la entrada de la oficina de Cloudflare en el centro de Austin. Al girar sobre sí mismos, reflejan la luz cambiante y proyectan dibujos de colores en las paredes que los rodean. La visualización de los móviles colgantes y sus sombras son muy sensibles a un entorno físico que incluye la apertura y cierre de puertas, los cambios de climatización y la luz ambiental. La escena hipnótica y cambiante de este sistema caótico se captura periódicamente y se introduce en el flujo de aleatoriedad de LavaRand.

Instalación de móviles arcoíris en la oficina de Cloudflare en Austin.

Incorporamos las nuevas fuentes de caos de oficina al sistema LavaRand (que sigue llamándose LavaRand a pesar de incluir mucho más que lámparas de lava) del mismo modo que las lámparas de lava existentes, que ya hemos descrito anteriormente en detalle.

Para resumir, a intervalos repetidos, una cámara capta una imagen del estado actual de la instalación de aleatoriedad. Puesto que el sistema subyacente es realmente aleatorio, la imagen generada tiene un carácter verdaderamente aleatorio. Incluso las sombras y las condiciones cambiantes de la luz contribuyen a generar algo único e impredecible. Hay otro secreto que deberíamos compartir: a un nivel básico, los sensores de imágenes del mundo real suelen ser una fuente de ruido suficiente como para que incluso las imágenes captadas sin quitar la tapa del objetivo puedan funcionar bien como fuente de entropía. Consideramos que este ruido añadido es una adición serendípica al bello movimiento caótico de estas instalaciones.

Primer plano de los móviles arcoíris colgados en la oficina de Cloudflare en Austin.

Una vez que tenemos una imagen fija que capta el estado de la instalación de aleatoriedad en un momento determinado, calculamos una representación compacta (un hash) de la imagen para obtener un resultado de tamaño fijo de bytes verdaderamente aleatorios.

Proceso de conversión de instalaciones de entropía física en cadenas de bytes aleatorios.

A continuación, los bytes aleatorios se utilizan como entrada (junto con la semilla anterior y cierta aleatoriedad de las fuentes de entropía locales del sistema) en una función de derivación de clave (KDF) para calcular una nueva semilla de aleatoriedad que se introduce en un generador de números pseudoaleatorios criptográficamente seguro (CSPRNG) que puede producir un flujo básicamente infinito de bytes impredecibles previa solicitud. Las propiedades de un CSPRNG garantizan que todos los resultados sean prácticamente indistinguibles de los resultados verdaderamente aleatorios para cualquiera que no conozca su estado interno. A continuación, LavaRand expone este flujo de aleatoriedad mediante una sencilla API interna en la que los clientes pueden solicitar nuevos elementos aleatorios.

seed = KDF(new image || previous seed || system randomness)
rng = CSPRNG(seed)
…
rand1 = rng.random()
rand2 = rng.random()

Las aplicaciones suelen utilizar elementos aleatorios de una de estas dos variantes: privada y pública.

La aleatoriedad privada se utiliza para generar contraseñas, claves criptográficas, identificadores de usuario y otros valores que siempre deben mantenerse en secreto. Como hemos descrito anteriormente, nuestros servidores solicitan periódicamente nuevos elementos aleatorios privados a LavaRand para ayudar a actualizar sus reservas de entropía. Por ello, ¡la aleatoriedad de LavaRand está básicamente disponible para el mundo exterior! Una forma sencilla de que los desarrolladores accedan a la aleatoriedad privada de LavaRand es utilizar la función getRandomValues de la API Web Crypto de Cloudflare Worker, o utilizar un elemento aleatorio ya creado, como por ejemplo csprng.xyz (source).

La aleatoriedad pública consta de valores aleatorios impredecibles e imparciales que se ponen a disposición de todo el mundo una vez que se publican, y por este motivo no deben utilizarse para generar claves criptográficas. Los números ganadores de la lotería y el lanzamiento de la moneda al comienzo de un acontecimiento deportivo son algunos ejemplos de valores aleatorios públicos. Una moneda de dos caras no sería una fuente imparcial e impredecible de entropía y tendría repercusiones importantes en el mundo de las apuestas deportivas.

Además de ser impredecible e imparcial, también es deseable que la aleatoriedad pública sea digna de confianza, para que los consumidores de la aleatoriedad tengan la seguridad de que los valores se han producido fielmente. Poca gente compraría lotería si creyera que el número ganador va a ser elegido de forma injusta. De hecho, se conocen casos de delitos cometidos por miembros del personal que han subvertido la aleatoriedad pública en beneficio propio, como el de un empleado de la lotería del Estado que cooptó el generador de números aleatorios de la lotería para que sus amigos y familiares ganaran millones de dólares.

Uno de los principales problemas de la aleatoriedad pública es que es necesario confiar en la autoridad que produce los resultados aleatorios. El hecho de confiar en una autoridad conocida como el NIST puede ser suficiente para muchas aplicaciones, pero podría ser problemático para otras (especialmente para las aplicaciones en las que la descentralización es importante).

Para ayudar a resolver este problema de confianza, Cloudflare se asoció en 2019 con otras siete organizaciones independientes y distribuidas geográficamente para formar la Liga de la Entropía a fin de lanzar una baliza de aleatoriedad pública utilizando el protocolo drand (pronunciado di-rand). Cada organización contribuye con su propia fuente única de aleatoriedad a la reserva conjunta de entropía utilizada para sembrar la red drand, y Cloudflare utiliza la aleatoriedad de LavaRand, por supuesto.

Aunque la Liga de la Entropía empezó como una red experimental, con la orientación y el apoyo del equipo de drand en Protocol Labs, se ha convertido en un servicio básico de Internet fiable y listo para la producción, en el que confían aplicaciones que van desde el almacenamiento distribuido de archivos a los videojuegos en línea, pasando por las pruebas con fecha y hora  y la encriptación temporizada (de la que hablaremos más abajo). La Liga de la Entropía también ha crecido, y ahora hay 18 organizaciones de cuatro continentes que participan en la red drand.

Cada una de las balizas de aleatoriedad de la Liga de la Entropía funciona con parámetros distintos, como la frecuencia con que se producen los valores aleatorios y si la aleatoriedad está encadenada (más detalles a continuación). Tienen dos propiedades importantes que contribuyen a su fiabilidad: son descentralizadas y verificables. La descentralización garantiza que uno o dos actores maliciosos no puedan subvertir o sesgar la baliza de aleatoriedad, y la verificabilidad permite que cualquiera compruebe que los valores aleatorios se producen según el protocolo drand y con la participación de un umbral (al menos la mitad, pero normalmente más) de los participantes en la red drand. Así, con cada nuevo miembro, la confianza y fiabilidad de la red drand sigue aumentando.

A continuación te presentamos una breve descripción general de cómo drand consigue estas propiedades utilizando la generación de claves distribuidas y las firmas de umbral. Si deseas información más detallada, consulta nuestra publicación anterior del blog y algunas de las excelentes publicaciones del equipo de drand.

Durante la configuración inicial de una baliza drand, los nodos de la red ejecutan un protocolo de generación de claves distribuidas (DKG) basado en el esquema de compromiso de Pedersen, cuyo resultado es que cada nodo posee una "parte" (un par de claves) de una clave de grupo distribuida, que se mantiene fija durante la vida de la baliza. Para utilizar la clave secreta de grupo con algún fin útil, como firmar un mensaje, al menos un umbral de nodos de la red (por ejemplo, 7 de 9) deben participar en la construcción de una firma de umbral BLS. A continuación se muestra la información de grupo de la baliza quicknet ubicada en la red principal drand de la Liga de la Entropía:

(El valor hexadecimal 52db9b... en la URL anterior es el hash de la configuración de la baliza. Visita https://drand.cloudflare.com/chains para ver todas las balizas admitidas por los nodos drand de nuestra red principal).

curl -s https://drand.cloudflare.com/52db9ba70e0cc0f6eaf7803dd07447a1f5477735fd3f661792ba94600c84e971/info | jq
{
  "public_key": "83cf0f2896adee7eb8b5f01fcad3912212c437e0073e911fb90022d3e760183c8c4b450b6a0a6c3ac6a5776a2d1064510d1fec758c921cc22b0e17e63aaf4bcb5ed66304de9cf809bd274ca73bab4af5a6e9c76a4bc09e76eae8991ef5ece45a",
  "period": 3,
  "genesis_time": 1692803367,
  "hash": "52db9ba70e0cc0f6eaf7803dd07447a1f5477735fd3f661792ba94600c84e971",
  "groupHash": "f477d5c89f21a17c863a7f937c6a6d15859414d2be09cd448d4279af331c5d3e",
  "schemeID": "bls-unchained-g1-rfc9380",
  "metadata": {
    "beaconID": "quicknet"
  }
}

Los nodos de la red están configurados para trabajar juntos periódicamente (cada 3 s en el caso de quicknet) a fin de producir una firma sobre algún mensaje acordado, como el número de ronda actual y la firma de la ronda anterior (más información a continuación). Cada nodo utiliza su parte de la clave de grupo para producir una firma parcial sobre el mensaje de la ronda actual, y la difunde a otros nodos de la red. Una vez que un nodo tiene suficientes firmas parciales, puede agregarlas para generar una firma de grupo para la ronda determinada.

La firma de grupo de una ronda es la aleatoriedad (en el resultado anterior, el valor de la aleatoriedad es simplemente el hash sha256 de la firma, para las aplicaciones que prefieran un resultado más corto y de tamaño fijo). La firma es impredecible de antemano siempre que un número suficiente (al menos una mayoría, pero puede configurarse para que sea mayor) de los nodos de la red drand sean honestos y no se confabulen. Además, cualquiera puede validar la firma de una ronda determinada utilizando la clave pública de grupo de la baliza. Se recomienda que los desarrolladores utilicen las librerías de cliente drand o la CLI para realizar la verificación de cada valor obtenido de la baliza.

curl -s https://drand.cloudflare.com/52db9ba70e0cc0f6eaf7803dd07447a1f5477735fd3f661792ba94600c84e971/public/13335 | jq
{
  "round": 13335,
  "randomness": "f4eb2e59448d155b1bc34337f2a4160ac5005429644ba61134779a8b8c6087b6",
  "signature": "a38ab268d58c04ce2d22b8317e4b66ecda5fa8841c7215bf7733af8dbaed6c5e7d8d60b77817294a64b891f719bc1b40"
}

Cuando la Liga de la Entropía lanzó su primera generación de balizas drand en 2019, el mensaje por ronda sobre el que se calculaba la firma del grupo incluía la firma de la ronda anterior. Esto crea una cadena de rondas de aleatoriedad hasta la primera ronda de "génesis". La aleatoriedad encadenada proporciona algunas propiedades interesantes para las balizas de aleatoriedad de fuente única, y se incluye como requisito en la especificación del NIST para balizas de aleatoriedad públicas interoperables.

Sin embargo, en 2022 el equipo de drand introdujo la noción de aleatoriedad no encadenada, en la que el mensaje a firmar es predecible y no depende de ninguna aleatoriedad de rondas anteriores, y demostró que proporciona las mismas garantías de seguridad que la aleatoriedad encadenada para la red drand (ambas requieren un umbral honesto de nodos). En la implementación de la aleatoriedad no encadenada en la quicknet, el mensaje a firmar consiste simplemente en el número de ronda.

La aleatoriedad no encadenada ofrece eficaces propiedades y mejoras de la facilidad de uso. En términos de usabilidad, un consumidor de la baliza de aleatoriedad no necesita reconstruir la cadena completa de aleatoriedad hasta la ronda de génesis para validar completamente una ronda concreta: la única información necesaria es el número de ronda actual y la clave pública del grupo. Esto ofrece mucha más flexibilidad al cliente, ya que puede elegir con qué frecuencia consume rondas de aleatoriedad sin necesidad de seguir continuamente la cadena de aleatoriedad.

# chained randomness
signature = group_sign(round || previous_signature)

# unchained randomness
signature = group_sign(round)

Puesto que los mensajes a firmar se conocen de antemano (ya que son sólo el número de ronda), la aleatoriedad no encadenada también desbloquea una nueva propiedad especialmente útil: la encriptación temporizada (timelock).

Péndulos dobles giratorios.

La encriptación temporizada (o "liberación temporizada") es un método para encriptar un mensaje de modo que no se pueda desencriptar hasta que haya transcurrido un plazo determinado. Dos enfoques básicos de la encriptación temporizada descritos por Rivest, Shamir y Wagner:

- Utilizar "problemas temporizados", es decir, problemas de cálculo que no puedan resolverse sin hacer funcionar un ordenador de forma continua durante al menos cierto tiempo.

- Utilizar agentes de confianza que prometan no revelar cierta información hasta una fecha determinada.

La utilización de agentes de confianza plantea el problema evidente de garantizar que los agentes sean dignos de confianza. Para atenuar este problema, pueden utilizarse diversos enfoques relativos a la compartición de secretos.

La red drand es un grupo de agentes independientes que utilizan la compartición de secretos para ser dignos de confianza, y el principio de tener "cierta información" que no debe revelarse hasta una fecha determinada ¡se parece mucho a la aleatoriedad por ronda! A continuación describimos cómo puede implementarse la encriptación temporizada sobre una red drand con aleatoriedad no encadenada, y terminamos con una demostración práctica. Aunque no profundizamos en los grupos bilineales y la criptografía basada en emparejamientos que hacen esto posible, si te interesa te animamos a leer la publicación tlock: Practical Timelock Encryption from Threshold BLS, de Nicolas Gailly, Kelsey Melissaris y Yolan Romailler.

En primer lugar, identifica la ronda de aleatoriedad que, una vez revelada, permitirá descifrar tu mensaje con encriptación temporizada. Una observación importante es que, dado que las redes drand producen aleatoriedad a intervalos fijos, cada ronda de una baliza drand está estrechamente ligada a una marca de tiempo específica (módulo de pequeños retardos de la red para producir realmente la baliza) que puede calcularse fácilmente tomando la marca de tiempo de génesis de la baliza y añadiendo a continuación el número de ronda multiplicado por el periodo de la baliza.

Una vez decidida la ronda, las propiedades de los grupos bilineales te permiten encriptar tu mensaje a alguna ronda con la clave pública de grupo de la baliza drand.

Después de que los nodos de la red drand cooperen para obtener la aleatoriedad de la ronda (en realidad, sólo la firma del número de ronda utilizando la clave secreta de grupo de la baliza), cualquiera puede descifrar el texto cifrado (aquí es donde interviene la magia de los grupos bilineales).

Para que resulte práctico, el mensaje temporizado es en realidad la clave secreta de un esquema simétrico. Esto significa que encriptamos el mensaje con una clave simétrica y encriptamos esta clave con una clave temporal, a fin de permitir un descifrado en el futuro.

ciphertext = EncryptToRound(msg, round, beacon_public_key)

Ahora, para una demostración práctica de la encriptación temporizada, utilizamos una herramienta que uno de nuestros propios ingenieros desarrolló sobre Cloudflare Workers. El código fuente está disponible públicamente si quieres echar un vistazo a su funcionamiento.

random = Randomness(round)
message = Decrypt(ciphertext,random)

Esperamos que hayas disfrutado revisitando la historia de LavaRand tanto como nosotros, y que te sientas inspirado para visitar una de las oficinas de Cloudflare en el futuro para ver de primera mano las instalaciones de aleatoriedad, y para utilizar la aleatoriedad pública verificable y la encriptación temporizada de drand en tu próximo proyecto.

# 1. Create a file
echo "A message from the past to the future..." > original.txt

# 2. Get the drand round 1 minute into the future (20 rounds) 
BEACON="52db9ba70e0cc0f6eaf7803dd07447a1f5477735fd3f661792ba94600c84e971"
ROUND=$(curl "https://drand.cloudflare.com/$BEACON/public/latest" | jq ".round+20")

# 3. Encrypt and require that round number
curl -X POST --data-binary @original.txt --output encrypted.pem https://tlock-worker.crypto-team.workers.dev/encrypt/$ROUND

# 4. Try to decrypt it (and only succeed 20 rounds x 3s later)
curl -X POST --data-binary @encrypted.pem --fail --show-error https://tlock-worker.crypto-team.workers.dev/decrypt

El caos lo exige la encriptación que protege Internet. LavaRand en Cloudflare seguirá convirtiendo la belleza caótica de nuestro mundo físico en un flujo de aleatoriedad (incluso después de añadir nuevas fuentes) para que le podamos encontrar nuevos usos que nosotros, los exploradores (al igual que ese caracol), ni siquiera hemos aún imaginado.

Y contempló el cielo, el mar, la tierra, las olas, las cuevas y la arena dorada. Miró y miró, asombrado por todo ello. Y le dijo a la ballena: "Me siento tan pequeño".

Un caracol sobre una ballena.

Descubre más noticias, anuncios y debates que invitan a la reflexión. Consulta la página de Security Week.

En Cloudflare, llevamos siete años apoyando los procesos electorales de los gobiernos estatales y locales de forma gratuita. En vista de las próximas elecciones en todo el mundo, recordamos lo importantes que son nuestros servicios para garantizar la fiabilidad y seguridad de la información electoral frente a quienes pretenden desestabilizar estos procesos. Por desgracia, los problemas a los que se enfrentan los funcionarios electorales para garantizar la seguridad de las elecciones no han hecho más que complicarse y requieren facilitar el intercambio de información, el desarrollo de capacidades y los esfuerzos conjuntos para proteger los procesos democráticos.

En Cloudflare, apoyamos a los protagonistas de los procesos electorales con herramientas de seguridad, rendimiento y fiabilidad para ayudar a facilitar el proceso democrático. Con los proyectos Cloudflare Impact, hemos encontrado una forma de proteger a aquellos que desempeñan un papel importante en los procesos electorales y prepararlos mejor para lo inesperado. El desarrollo de nuestros proyectos Impact, que protegen más de 2900 dominios hoy día, nos ha permitido aprender la mejor manera de proteger a los grupos vulnerables en línea.

Durante la Security Week, queremos ofrecer una visión de cómo estamos organizando grupos de trabajo para las elecciones de todo el mundo en 2024, y explorar las nuevas tendencias de las amenazas.

Las administraciones estatales y locales desempeñan un papel fundamental en diversos aspectos del proceso electoral, ya que garantizan que las elecciones se celebren de forma justa, segura y eficaz. Estos aspectos abarcan desde la inscripción de los votantes hasta la presentación de candidaturas, la instalación de centros electorales, la distribución de papeletas, la tabulación de los votantes y la comunicación de los resultados electorales.

Si algo hemos aprendido de los últimos siete años, es que los funcionarios electorales tienen aún más trabajo cuando se trata de celebrar elecciones libres y justas. Es probable que los países que celebren sus comicios este año se enfrenten a amenazas complicadas, como la manipulación de los votantes o actos de violencia física, entre otros. Por desgracia, en muchos países, los funcionarios han provocado la ira de algunos políticos y votantes porque los resultados no eran de su agrado, y muchos de ellos han sufrido amenazas de muerte, acoso en línea y malos tratos. En abril de 2023, el Brennan Center reveló que el 45 % de los funcionarios electorales locales afirmaba temer por la seguridad de sus colegas.

Cuando se trata de salvaguardar la infraestructura en línea, es necesario proteger los sistemas de registro de votantes, garantizar la integridad de la información relacionada con las elecciones y planificar una respuesta eficaz ante incidentes, ya que las amenazas en línea son cada vez más sofisticadas. Por ejemplo, en los tres meses previos a las elecciones legislativas estadounidenses de 2022, Cloudflare evitó unos 150 000 correos electrónicos de phishing dirigidos a funcionarios de campaña.

El principio básico que impulsa nuestro trabajo en los procesos electorales es la idea de que el acceso a una información electoral precisa, facilitada por los gobiernos estatales y locales, es fundamental para el correcto funcionamiento de la democracia. Nos consideramos una de las piezas de un rompecabezas mayor en lo que respecta a la protección de los procesos electorales.

La protección de las entidades electorales es una tarea titánica, y las asociaciones con una amplia gama de funciones y conocimientos se imponen en este sentido. Hemos visto cómo grupos como la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) han mejorado su papel a la hora de intensificar los esfuerzos de seguridad electoral a lo largo de los últimos años. Gobiernos, organizaciones y empresas privadas se han asociado para brindar a los funcionarios electorales las herramientas y los conocimientos sobre las mejores formas de proteger el proceso democrático.  

En 2020, nos asociamos con la Fundación Internacional para Sistemas Electorales (IFES) para encontrar la forma de ampliar nuestros sistemas de protección a los organismos de gestión electoral fuera de Estados Unidos. Esta asociación nos ha permitido proporcionar nuestros servicios de nivel empresarial a seis organismos de gestión electoral, entre ellos la Comisión electoral central de Kosovo, la Comisión electoral estatal de Macedonia del Norte y muchos organismos electorales locales de Canadá.

"Cloudflare facilita su tecnología al Comité electoral estatal (SEC) de Macedonia del Norte, y sus herramientas nos ayudan a garantizar que los resultados de las elecciones anticipadas sean accesibles para la población en general, promoviendo así la visibilidad y la transparencia". Vladislav Bidikov, miembro del grupo de trabajo sobre ciberseguridad, Comisión electoral estatal de Macedonia del Norte        

Si nos fijamos en las tendencias de Internet durante las elecciones, vemos que el tráfico de Internet de varios países suele disminuir durante el día, cuando la gente va a los centros de votación. Así ocurrió en Francia y Brasil en 2022, por ejemplo. Tras el cierre de los centros electorales, el tráfico suele aumentar, cuando los ciudadanos se interesan por los resultados, un foco de atención que también comparten los canales de TV tradicionales.

Indonesia, un país con más de 200 millones de votantes (y una población de 275 millones de personas) y más de 17 000 islas, celebró elecciones generales el miércoles 14 de febrero. Ese día, el tráfico diario descendió un 5 % en comparación con la semana anterior. El tráfico por hora durante el día descendió hasta un 15 % entre las 08:00 y las 13:00 hr. (hora de Indonesia occidental, donde vive la mayoría de la población), cuando estaban abiertos los centros electorales. El tráfico fue inferior al de la semana anterior durante ese día, y solo repuntó al día siguiente.

Por otra parte, el uso de dispositivos móviles alcanzó su punto más alto en lo que va de año el 14 de febrero, cuando representó el 77 % de todas las solicitudes del país.

En Pakistán se celebraron elecciones generales el 8 de febrero. Ese día, nuestros datos muestran una interrupción que comenzó hacia las 02:00 hr. UTC, recuperándose después de las 15:00 hr. El corte de Internet afectó a las redes móviles y fue censurado por Amnistía Internacional.

Las redes móviles de Telenor (AS24499), Jazz (AS45669) y Zong (AS59257) se vieron afectadas. El siguiente gráfico muestra la red Telenor:

Además, la plataforma de medios sociales X experimentó una interrupción a escala nacional tras las protestas desencadenadas por las acusaciones de fraude electoral en las elecciones generales. En cuanto a los cortes de Internet, observamos que las interrupciones totales representan el tipo más grave de desconexión de Internet, pero las limitaciones en el uso de las redes sociales y la aplicación de mensajería, especialmente durante las elecciones, también suponen grandes obstáculos. Muchas de estas plataformas se han convertido en indispensables para los periodistas y los medios de comunicación, ya que son un canal importante para conectar con el público, compartir y divulgar sus contenidos y comunicarse de forma segura con sus fuentes.

Hemos detallado el trabajo que hemos hecho durante numerosos procesos electorales en Estados Unidos, incluida la forma en la que protegimos las elecciones de 2020 en tiempos de incertidumbre. Mientras nos preparamos para las elecciones de 2024, seguiremos colaborando con expertos sobre la mejor forma de prestar nuestros servicios. El año pasado, realizamos un análisis sobre las amenazas a los grupos electorales. Entre los aspectos más destacados figuran:

A principios de este año, realizamos una serie de seminarios web destinados a gobiernos estatales y locales en el marco del proyecto Athenian, con el fin de identificar recomendaciones de configuración y proporcionar lecciones aprendidas durante los comicios de mitad de periodo en 2020 y 2022 en Estados Unidos. Tratamos temas como la prevención de los ataques para modificar la apariencia de sitios web, y repasamos los elementos de la lista de comprobación de seguridad, como la verificación de las fechas de caducidad del dominio y del certificado SSL. Nos complace informar de que gran parte de este trabajo por ayudar a los gobiernos estatales y locales en las configuraciones para asegurarse de que están aprovechando al máximo nuestros productos gratuitos ha sido fructífero. De hecho, más del 92 % de los dominios del proyecto utilizó nuestros servicios de proxy para proteger su sitio web. Pero aún nos queda mucho camino por recorrer. Hemos descubierto que la autenticación en dos fases sigue siendo un problema y animamos encarecidamente a los participantes a que la activen para proteger las cuentas y la información confidencial.

Antes de las elecciones, entidades electorales más grandes, como secretarios de estado, organizaciones sin ánimo de lucro que ayudan a los funcionarios electorales, y organismos gubernamentales, han solicitado nuestra experiencia sobre la manera de asegurar un mejor apoyo a los grupos electorales más pequeños.

Para ayudar a preparar las elecciones generales de 2024 en Estados Unidos, queríamos entender las preocupaciones de los gobiernos estatales y locales protegidos por el proyecto Athenian en términos de amenaza a la seguridad en línea. Enviamos una breve encuesta a los participantes y esto es lo que descubrimos:

• La mayoría de los participantes cree que el uso de herramientas de IA generativa tendrá un impacto significativo en las elecciones de 2024.

• El 80 % de los participantes encuestados indica que su equipo ha sufrido un ataque de phishing por correo electrónico en el último año.

• La confianza y la reputación son la mayor preocupación cuando se trata de un ciberataque, pero los procesos electorales les siguen de cerca en segundo lugar.

Preguntamos a los participantes qué desearían que la gente entendiera más sobre sus esfuerzos en materia de seguridad y fiabilidad electoral, y la respuesta de uno de los condados nos llamó la atención. Parafraseando, manifestaron que los funcionarios electorales son también ciudadanos y residentes en sus comunidades, y se esfuerzan por tener unas elecciones seguras y justas. Estamos deseando saber más sobre la amenaza a estos grupos y sobre cómo nuestros productos pueden ayudarles a mantener sus datos internos a salvo de los ataques.

El supermartes en Estados Unidos, que es una jornada electoral en la que varios estados, entre otros California, Alabama, Iowa y Carolina del Norte, acuden a las urnas simultáneamente, se considera a menudo un punto de inflexión crítico en el proceso de las primarias presidenciales.

El 6 de marzo, la CISA informó de que no se había producido ninguna amenaza digital creíble en el supermartes, para alivio de muchos expertos en seguridad. Estos comentarios se produjeron después de que Meta informara de una interrupción que provocó que muchos usuarios no pudieran acceder a Facebook, Messenger e Instagram en Estados Unidos..

Durante el supermartes, tuvimos la oportunidad de comprobar de primera mano las ventajas de tener acceso a servicios gratuitos de ciberseguridad para una serie de grupos electorales. Nos complace informar de que, durante este tiempo, no observamos ningún ciberataque importante contra estos grupos. Como parte de ello, queremos compartir información actualizada sobre las tendencias que hemos detectado contra los grupos electorales que protegemos para identificar los tipos de ataques a los que se enfrentan con la esperanza de ofrecerles mayor protección en línea.

En el marco del proyecto Athenian, protegemos más de 400 sitios web de gobiernos estatales y locales en 32 estados en los que se celebran elecciones. Identificamos 100 sitios web en los 16 estados que celebran elecciones en el supermartes y observamos un aumento considerable del tráfico después del lunes 4 de marzo.

En lo que respecta al tráfico automatizado a estos sitios web, la siguiente figura muestra que observamos que el tráfico clasificado como tráfico de bots mantuvo un patrón relativamente estable entre el 26 de febrero y el 5 de marzo. El tráfico de bots describe cualquier tráfico no humano a un sitio web o una aplicación, y es importante señalar que no todo el tráfico de bots es malicioso. El tráfico de bots legítimo incluye actividades como la indexación en motores de búsqueda, mientras que el tráfico de bots malicioso está diseñado para participar en actividades fraudulentas como el spam, la apropiación de contenidos para uso no autorizado o el lanzamiento de ataques de denegación de servicio distribuido (DDoS).

El 5 de marzo, se apreció claramente un aumento del tráfico "humano", con un incremento significativo a partir de las 05:00 hr. EST, que disminuyó hacia las 23:00 hr. Esto es típico de lo que vemos en los procesos electorales, ya que mucha gente visita estos sitios web para identificar los lugares de su centro electoral o ver los resultados electorales actualizados.

En el supermartes, Cloudflare mitigó más de 18,9 millones de solicitudes el 5 de marzo contra gobiernos estatales y locales en el marco del proyecto Athenian.

En 2020, nos asociamos con Defending Digital Campaigns, una organización sin ánimo de lucro dedicada a proporcionar recursos y asistencia de ciberseguridad a campañas y comités políticos en Estados Unidos. Gracias a esta asociación, hemos podido proporcionar más de 3 millones de dólares en productos de Cloudflare. Para este análisis, identificamos 49 sitios web protegidos por Cloudflare for Campaigns que se encuentran en los estados que celebraron elecciones durante el supermartes. En total, protegemos 97 sitios web de campañas y 27 sitios web de partidos políticos.

El tráfico global a estos sitios web se mantuvo bastante constante durante la segunda quincena de febrero y principios de marzo, pero empezó a aumentar el fin de semana anterior al supermartes, como muestra la siguiente figura. Se observaron picos a las 23:00 hr. EST el 4 de marzo y a las 20:00 hr. EST el 5 de marzo.

Hemos observado que estos sitios web protegidos por Cloudflare for Campaigns experimentan un tráfico de bots bajo y constante, aunque el volumen aumentó ligeramente durante los primeros días de marzo. Sin embargo, la figura siguiente muestra que el aumento global del tráfico comentado anteriormente estuvo impulsado por un incremento significativo del tráfico de solicitudes identificadas como procedentes de usuarios reales (es decir, "humanos").

La mayor parte del tráfico se dirigió a partidos políticos protegidos por el proyecto en estos estados del supermartes, y el 53 % se dirigió a la página web de estos partidos.

Cloudflare protege más de 65 propiedades de Internet en Estados Unidos que trabajan en una serie de temas relacionados con el derecho al voto y la promoción de elecciones libres y justas. El supermartes dio lugar a un pico de tráfico considerable en estos sitios web en torno a las 09:00 hr. EST, de 3,22 millones de solicitudes, que superó con creces el récord anterior de 1,56 millones de solicitudes el 20 de febrero a las 11:00 hr. EST, más del doble.

Se determinó que este pico procedía del tráfico de usuarios (no de bots) y estaba causado por una única zona relacionada con una organización no partidista sin ánimo de lucro que proporciona guías electorales en línea a todos los estados, incluidos formularios de registro de votantes. La organización está protegida por el proyecto Galileo desde 2017. Su tráfico de solicitudes experimentó un aumento del 1360 % entre las 07:00 y las 09:00 hr. EST. Este es un claro ejemplo de la importancia de acceder a herramientas de ciberseguridad antes de un acontecimiento importante, ya que los picos de tráfico pueden ser impredecibles.

Conforme nos vamos acercando al ciclo electoral de 2024, Cloudflare está preparada para ayudar a los funcionarios electorales, los grupos de defensa del derecho al voto, las campañas políticas y las partes implicadas en las elecciones.

Teniendo en cuenta que estamos ante un año repleto de elecciones y la atención mundial en lo que respecta a la seguridad electoral, la participación de profesionales expertos es esencial para salvaguardar el proceso democrático. La colaboración continua con las partes interesadas en los procesos electorales nos permitirá seguir desarrollando estrategias para proteger eficazmente la infraestructura web y los equipos internos. Seguimos comprometidos en proteger los recursos durante todo el proceso electoral y fomentar la confianza en las instituciones democráticas de todo el mundo.

Queremos garantizar que todos los grupos que trabajan para promover la democracia en todo el mundo dispongan de las herramientas que necesitan para mantenerse seguros en Internet. Si trabajas en procesos electorales y necesitas nuestra ayuda, solicítala en https://www.cloudflare.com/election-security.

Descubre más noticias, anuncios y debates que invitan a la reflexión. Consulta la página de Security Week .

Nuestros sistemas actuales han detectado y mitigado con éxito los ataques DDoS "más sencillos" contra el DNS, pero han tenido problemas con los más complejos. El sistema Advanced DNS Protection es capaz de subsanar esta carencia con el uso de nuevas técnicas que mostraremos en esta entrada del blog.

Advanced DNS Protection está actualmente en fase beta y está disponible para todos los clientes de Magic Transit sin coste adicional. Sigue leyendo para saber más sobre los ataques DDoS al DNS, cómo funciona el nuevo sistema y las próximas funciones.

Si te interesa, regístrate para saber más sobre cómo podemos ayudarte a garantizar la protección, la disponibilidad y la eficacia de tus servidores DNS.

Los ataques de denegación de servicio distribuido (DDoS) son un tipo de ciberataque cuyo objetivo es interrumpir y desactivar sitios web y otros servicios en línea. Cuando los ataques DDoS logran su objetivo de desconectar sitios web, pueden conllevar importantes pérdidas de ingresos y daños a la reputación.

Distribución de los tipos de ataques DDoS en 2023

Una forma habitual de interrumpir y desconectar un sitio web es inundar sus servidores con más tráfico del que pueden admitir. Esto se conoce como un ataque de inundación HTTP. Es un tipo de ataque DDoS que se dirige directamente al sitio web con una avalancha de solicitudes HTTP. Según nuestro último informe de tendencias DDoS, en 2023 nuestros sistemas mitigaron automáticamente 5,2 millones de ataques DDoS HTTP, lo que representa el 37 % de todos los ataques DDoS.

Esquema de un ataque de inundación HTTP

Sin embargo, hay otra forma de interrumpir sitios web, a través de un ataque indirecto. En lugar de inundar los servidores del sitio web, el ciberdelincuente inunda los servidores DNS. Si el servidor DNS se ve desbordado con más consultas de las que puede procesar, falla la traducción del nombre de host a dirección IP y el sitio web experimenta una interrupción infligida indirectamente porque el servidor DNS no puede responder a las consultas legítimas.

Un ejemplo notable es el ataque dirigido contra Dyn, un proveedor de DNS, en octubre de 2016. Fue un ataque DDoS devastador lanzado por la botnet Mirai. Causó interrupciones en sitios importantes como Airbnb, Netflix y Amazon, y Dyn tardó un día entero en restablecer los servicios. Eso es mucho tiempo para interrupciones de servicio que pueden tener un impacto significativo en la reputación y los ingresos.

Más de siete años después, los ataques Mirai y los ataques DNS siguen siendo increíblemente comunes. En 2023, los ataques al DNS fueron el segundo tipo de ataque más común, en concreto, representaron el 33 % de todos los ataques DDoS (4,6 millones de ataques). Los ataques lanzados por variantes de la botnet Mirai fueron el quinto tipo más frecuente de ataque DDoS a a la capa de red, de hecho, representaron el 3 % de todos los ataques DDoS a la capa de red.

Esquema de un ataque de inundación de consultas DNS

La mitigación de ataques DDoS contra el DNS puede ser más fácil cuando existe un patrón recurrente en cada consulta, lo que se denomina "huella digital del ataque". Los sistemas de mitigación basados en huellas digitales pueden identificar esos patrones y luego implementar una regla de mitigación que filtre perfectamente los ataques de tráfico sin afectar al tráfico legítimo.

Por ejemplo, tomemos un escenario en el que un atacante envía una avalancha de consultas DNS a su objetivo. En este ejemplo, el atacante solo usó la dirección IP de origen aleatoria. Todos los demás campos de consulta se mantuvieron constantes. El sistema de mitigación detectó el patrón (el puerto de origen es 1024 y el dominio consultado es "example.com") y generará una regla de mitigación efímera para filtrar esas consultas.

Diagrama simplificado del concepto de huella digital de ataque

Sin embargo, hay ataques DDoS al DNS que son mucho más sofisticados y aleatorios, y carecen de un patrón de ataque aparente. Sin un patrón coherente que bloquear, resulta prácticamente imposible mitigar el ataque mediante un sistema de mitigación basado en huellas digitales. Además, aunque se detecte un patrón en un ataque sumamente aleatorio, probablemente el patrón sería tan genérico que mitigaría por error el tráfico legítimo del usuario y/o no detectaría todo el ataque.

En este ejemplo, el atacante también envió consultas al dominio consultado aleatorio en su ataque de inundación de consultas DNS. Simultáneamente, un cliente (o servidor) legítimo también está consultando "example.com". Se le asignó un número de puerto aleatorio que resultó ser 1024. El sistema de mitigación detectó un patrón (el puerto de origen es 1024 y el dominio consultado es "example.com") que solo detectó la parte del ataque que coincidía con la huella digital. El sistema de mitigación no detectó la parte del ataque que consultaba otros nombres de host. Por último, el sistema de mitigación detectó por error tráfico legítimo que parecía similar al tráfico de ataque.

Diagrama simplificado de un ataque aleatorio de inundación DNS

Este es solo un ejemplo muy sencillo de cómo la huella digital puede fallar a la hora de detener ataques DDoS aleatorios. Este reto se amplifica cuando los atacantes "blanquean" su tráfico de ataque a través de solucionadores DNS públicos de buena reputación (un solucionador DNS, también conocido como servidor DNS recursivo, es un tipo de servidor DNS que se encarga de rastrear la dirección IP de un sitio web desde varios otros servidores DNS). Esto se conoce como ataque de blanqueo de DNS.

Diagrama del proceso de resolución DNS

Durante un ataque de blanqueo de DNS, el atacante consulta subdominios de un dominio real gestionado por el servidor DNS autoritativo de la víctima. El prefijo que define el subdominio es aleatorio y nunca se utiliza más de una vez. Debido al componente de aleatoriedad, los servidores DNS recursivos nunca tendrán una respuesta en caché y tendrán que reenviar la consulta al servidor DNS autoritativo de la víctima. Entonces, el servidor DNS autoritativo recibe tal avalancha de consultas que no puede atender consultas legítimas, e incluso se bloquea por completo.

Esquema de un ataque de blanqueo de DNS

La complejidad de los ataques DDoS sofisticados al DNS reside en su naturaleza paradójica. Aunque son relativamente fáciles de detectar, mitigarlos eficazmente es bastante más difícil. Esta dificultad se deriva del hecho de que el servidor DNS autoritativo no puede limitarse a bloquear las consultas del servidor DNS recursivo, ya que estos servidores también realizan consultas legítimas. Además, el servidor DNS autoritativo no puede filtrar las consultas dirigidas al dominio objetivo porque se trata de un dominio auténtico que debe permanecer accesible.

El aumento de este tipo de ataques DDoS al DNS nos motivó a desarrollar una nueva solución, una que protegiera mejor a nuestros clientes y subsanara la carencia de los enfoques de huella digital más tradicionales. Esta solución es el sistema Advanced DNS Protection. Similar al sistema de  protección TCP avanzada, es un sistema definido por software que nosotros desarrollamos, y funciona en nuestra plataforma de mitigación con estado, flowtrackd (flow tracking daemon).

Advanced DNS Protection complementa nuestro conjunto actual de sistemas de protección contra DDoS. Siguiendo el mismo enfoque que nuestros otros sistemas de defensa DDoS, el sistema Advanced DNS Protection también es un sistema distribuido, y una instancia del mismo se ejecuta en cada servidor de Cloudflare de todo el mundo. Una vez iniciado el sistema, cada instancia puede detectar y mitigar los ataques de forma autónoma, sin necesidad de ninguna regulación centralizada. La detección y la mitigación es instantánea (cero segundos). Cada instancia también se comunica con otras instancias en otros servidores de un centro de datos. Se comunican y comparten información sobre amenazas para ofrecer una mitigación integral dentro de cada centro de datos.

Capturas de pantalla del panel de control de Cloudflare que muestran un ataque DDoS al DNS que fue mitigado por el sistema Advanced DNS Protection

Juntos, nuestros sistemas basados en huellas digitales (los conjuntos de reglas gestionadas de protección contra DDoS) y nuestros sistemas de mitigación con estado proporcionan una sólida estrategia de defensa multicapa para protegerte contra los ataques DDoS al DNS más sofisticados y aleatorios. El sistema también es personalizable, lo que permite a los clientes de Cloudflare adaptarlo a sus necesidades. Revisa nuestra documentación para obtener más información sobre las opciones de configuración.

Esquema de los sistemas de protección contra DDoS de Cloudflare

También hemos añadido nuevos puntos de datos centrados en el DNS para ayudar a los clientes a comprender mejor sus patrones de tráfico y ataques al DNS. Estos nuevos puntos de datos están disponibles en una nueva pestaña "Protección DNS" (DNS Protection) dentro del panel de análisis de red de Cloudflare. La nueva pestaña proporciona información sobre qué consultas de DNS se aprueban y se descartan, así como las características de esas consultas, incluido el nombre de dominio consultado y el tipo de registro. También puedes obtener los análisis con la API GraphQL de Cloudflare y exportar los registros a tus propios paneles de control mediante Logpush.

Para protegernos de los ataques DDoS sofisticados y sumamente aleatorios al DNS, necesitábamos decidir mejor qué consultas DNS tienen más probabilidades de ser legítimas para nuestros clientes. Sin embargo, no es fácil deducir lo que es legítimo de lo que podría formar parte de un ataque solo sobre la base del nombre de la consulta. No podemos confiar únicamente en los mecanismos de detección basados en huellas digitales, ya que a veces se producen consultas aparentemente aleatorias, como abc123.example.com, que pueden ser legítima. Lo contrario también es cierto. Una consulta para mailserver.example.com puede parecer legítima, pero puede acabar no siendo un subdominio real para un cliente.

Para colmo, nuestro servicio de mitigación basado en el enrutamiento de paquetes de capa 3, Magic Transit, utiliza el retorno de servidor directo (DSR), lo que significa que no podemos ver las respuestas del servidor DNS de origen para saber qué consultas son legítimas en última instancia.

Esquema de Magic Transit con el retorno de servidor directo (DSR)

Decidimos que la mejor forma de combatir estos ataques era crear un modelo de datos de las consultas DNS previstas de cada cliente, basándonos en un registro histórico que desarrollamos. Este modelo nos permite decidir con mayor confianza qué consultas son probablemente legítimas, y descartar las que pensemos que no lo son, protegiendo así los servidores DNS de nuestros clientes.

Esta es la base de Advanced DNS Protection. Inspecciona todas las consultas DNS enviadas a nuestros clientes de Magic Transit, y las aprueba o descarta en función del modelo de datos y de la configuración individual de cada cliente.

Para ello, cada servidor de nuestra red global envía continuamente determinados datos relacionados con el DNS, como el tipo de consulta (por ejemplo, el registro A) y los dominios consultados (pero no el origen de la consulta), a nuestro centro de datos central, donde calculamos de forma periódica los perfiles de tráfico de consultas DNS de cada cliente. Esos perfiles se distribuyen por nuestra red mundial, donde se consultan para ayudarnos a decidir con más confianza y precisión qué consultas son buenas y cuáles son malas. Descartamos las consultas malas y autorizamos las buenas, teniendo en cuenta la tolerancia del cliente a las consultas DNS inesperadas en función de sus configuraciones.

Durante el desarrollo de este sistema, nos enfrentamos a varios desafíos técnicos específicos:

Procesamos decenas de millones de consultas DNS al día en nuestra red global para nuestros clientes de Magic Transit, sin contar el conjunto de otros productos DNS de Cloudflare, y utilizamos los datos relacionados con DNS mencionados anteriormente para crear perfiles de tráfico de consultas personalizados. El análisis de este tipo de datos requiere un tratamiento preciso de nuestras canalizaciones de datos. Para la creación de estos perfiles de tráfico, utilizamos tecnologías de muestreo en escritura y de tasa de bits adaptable para escribir y leer los datos necesarios, respectivamente. De esta forma, nos aseguramos de que capturamos los datos con gran precisión al tiempo que protegemos nuestra infraestructura de datos, y descartamos la información que pudiera afectar la privacidad de los usuarios finales.

Algunos de nuestros clientes realizan decenas de millones de consultas DNS al día. El almacenamiento de esta cantidad de datos sería prohibitivamente cara, así como su distribución en un formato sin comprimir. Para resolver este desafío, decidimos utilizar un filtro Bloom de recuento para el perfil de tráfico de cada cliente. Se trata de una estructura de datos probabilística que nos permite almacenar y distribuir de forma concisa el perfil DNS de cada cliente, y luego consultarlo eficazmente en el tiempo de procesamiento del paquete.

De vez en cuando, necesitamos volver a calcular y redistribuir el perfil de tráfico DNS de cada cliente entre nuestro centro de datos y cada uno de nuestros servidores. Utilizamos nuestro propio servicio de almacenamiento R2 para simplificar enormemente esta tarea. Con las sugerencias regionales y el dominio personalizado activados, habilitamos el almacenamiento en caché y utilizamos solo un grupo de buckets R2. Cada vez que necesitamos actualizar la vista global de los modelos de datos de clientes en todos nuestros servidores perimetrales, el 98 % de los bits transferidos se sirven desde la caché.

Cuando se implementan nuevos nombres de dominio, nuestros modelos de datos no los conocerán de inmediato, porque nunca antes se han visto consultas con esos nombres. Esta y otras razones de posibles falsos positivos nos obligan a incorporar cierta tolerancia al sistema para permitir consultas potencialmente legítimas. Lo hacemos aprovechando los algoritmos del bucket de token. Los clientes pueden configurar el tamaño de los buckets de token cambiando los niveles de sensibilidad del sistema Advanced DNS Protection. Cuanto menor sea la sensibilidad, mayor será el bucket de token, y viceversa. Un bucket de token más grande proporciona más tolerancia a las consultas DNS inesperadas y a las consultas DNS esperadas que se desvían del perfil. Un nivel de sensibilidad alto se traduce en un bucket de token más pequeño y un enfoque más estricto.

Al fin y al cabo, estos son los tipos de desafíos que Cloudflare resuelve de forma excelente. Nuestros clientes confían en nosotros para gestionar su tráfico y garantizar la protección, la disponibilidad y la eficacia de sus propiedades de Internet. Nos tomamos esa confianza muy en serio.

El sistema Advanced DNS Protection aprovecha nuestra infraestructura global y nuestras capacidades de procesamiento de datos junto con algoritmos y estructuras de datos inteligentes para proteger a nuestros clientes.

Si aún no eres cliente de Cloudflare y deseas proteger tu servidor DNS ponte en contacto con nosotros. Los clientes de Cloudflare pueden activar los nuevos sistemas poniéndose en contacto con su equipo de cuentas o con el equipo de soporte de Cloudflare.

Las nubes públicas ofrecen a las organizaciones una infraestructura informática escalable y a la carta, sin los gastos y los recargos que conllevan la gestión de su propio centro de datos. La red en la nube es fundamental para las aplicaciones que han migrado a la nube, pero su gestión es complicada sin un software de automatización, especialmente cuando se opera a escala en varias cuentas en la nube. Magic Cloud Networking utiliza conceptos conocidos para proporcionar una única interfaz que controla y unifica las capacidades de red nativas de numerosos proveedores de nube a fin de crear redes de nube fiables, rentables y seguras.

El enfoque de Nefeli respecto a las redes multinube resuelve el problema relacionado con el desarrollo y el funcionamiento de las redes integrales dentro y entre nubes públicas, permitiendo a las organizaciones aprovechar de forma segura la aplicación que abarca cualquier combinación de recursos internos y externos. La incorporación de la tecnología de Nefeli facilitará más que nunca a nuestros clientes la conexión y la protección de sus usuarios, redes privadas y aplicaciones.

En comparación con la red tradicional de un centro de datos local, la red en la nube promete simplicidad:

• Gran parte de la complejidad de las redes físicas se omite a los usuarios porque las capas física y de ethernet no forman parte del servicio de red expuesto por el proveedor de nube.

• Hay menos protocolos de plano de control. En su lugar, los proveedores de nube ofrecen una red sencilla definida por software (SDN) totalmente programable mediante API.

• Hay capacidad, menor y mayor, disponible al instante y a la carta, que pagas por uso.

Sin embargo, esa promesa aún no se ha cumplido plenamente. Nuestros clientes han descrito varias razones por las que las redes en la nube son difíciles:

• Escasa visibilidad integral: el uso de herramientas de visibilidad de la red en la nube es difícil y existen silos incluso dentro de un mismo proveedor de nube que impiden la supervisión y la resolución de problemas de extremo a extremo.

• Avanzan a un ritmo mayor: los enfoques tradicionales de gestión informática son incompatibles con la promesa de la nube: implementación instantánea disponible bajo demanda. Es necesario sustituir los conocidos procedimientos de ClickOps y basados en CLI (interfaz de línea de comando) por la automatización para satisfacer las necesidades de las empresas.

• Tecnología diferente: la transición que llevan a cabo las arquitecturas de red establecidas en entornos locales a una nube pública no es sencilla. La falta de protocolos de plano de control avanzado y de capa de ethernet era crítica en muchos diseños de red.

• Nuevos modelos de costes: los modelos de costes dinámicos de la nube pública, basados en el pago por uso, no son compatibles con los enfoques establecidos en torno a circuitos de coste fijo y amortización de 5 años. A menudo, las soluciones de red suelen desarrollarse con limitaciones financieras y, en consecuencia, tienen sentido otros enfoques arquitectónicos en la nube.

• Nuevos riesgos de seguridad: la protección de las nubes públicas con un modelo real Zero Trust y mínimo privilegio exige procesos operativos maduros y automatización, así como conocimiento de las políticas específicas de la nube y los controles IAM.

• Multiproveedor: a menudo, las redes empresariales han utilizado la contratación de un único proveedor para facilitar la interoperabilidad, la eficacia operativa y la contratación y formación específicas. Operar una red que se extiende más allá de una única nube, a otras nubes o entornos locales, es un escenario multiproveedor.

Nefeli consideró todos estos problemas y los conflictos entre las distintas perspectivas de los clientes para identificar dónde debía resolverse el problema.

Piensa en un sistema ferroviario. Para funcionar eficazmente, necesita tres capas clave:

• Vías y trenes

• Señales electrónicas

• Una empresa para gestionar el sistema y vender entradas

Un sistema ferroviario con buenas vías, trenes y señalizaciones podría seguir funcionando por debajo de su pleno potencial porque sus agentes son incapaces de seguir el ritmo de la demanda de pasajeros. El resultado es que los pasajeros no pueden planear itinerarios ni comprar billetes.

La empresa ferroviaria elimina los cuellos de botella en el flujo de procesos simplificando los horarios y los precios, dotando a los agentes de mejores sistemas de reserva e instalando máquinas expendedoras de billetes automatizadas. Ahora se puede aprovechar al máximo la misma infraestructura rápida y fiable de vías, trenes y señalizaciones.

En las redes, existe un conjunto análogo de tres capas, denominadas planos de red:

• Plano de datos: las rutas de red que transportan datos (en forma de paquetes) desde el origen al destino.

• Plano de control: los protocolos y la lógica que modifican la forma de dirigir el paquete en el plano de datos.

• Plano de gestión: las interfaces de configuración y la supervisión del plano de datos y del plano de control.

En las redes de nube pública, estas capas se relacionan con:

• Plano de datos en la nube: las instalaciones y los dispositivos se exponen a los usuarios como servicios de nube privada virtual (VPC) o red virtual (VNet) que incluyen subredes, tablas inteligentes, grupos de seguridad/lista de control de acceso y servicios adicionales como equilibradores de carga y puertas de enlace VPN.

• Plano de control en la nube: en lugar de protocolos distribuidos, el plano de control en la nube es una red definida por software (SDN) que, por ejemplo, programa tablas de rutas estáticas. (El uso de los protocolos del plano de control tradicional, como el protocolo BGP para comunicarse con redes externas, y el protocolo ARP para comunicarse con máquinas virtuales es limitado).

• Plano de gestión en la nube: una interfaz administrativa con una IU y una API que permite al administrador configurar completamente los planos de datos y control. También proporciona diversas funciones de supervisión y registro que se pueden activar e integrar con sistemas de terceros.

Como en nuestro ejemplo del tren, la mayoría de los problemas que experimentan nuestros clientes con las redes en la nube se encuentran en la tercera capa: el plano de gestión.

Nefeli simplifica, unifica y automatiza la gestión y las operaciones de la red en la nube.

Un enfoque común para abordar los problemas de gestión en las redes en la nube es incorporar funciones de red virtual (VNF), que son máquinas virtuales (VM) que reenvían los paquetes para reemplazar los desarrollos nativos del plano de datos en la nube. Algunas VNF son enrutadores, firewalls o equilibradores de carga que se han transferido desde los dispositivos de hardware de un proveedor de redes tradicional, mientras que otras son proxies basados en software, a menudo desarrollados sobre proyectos de código abierto como NGINX o Envoy. Como las VNF imitan a sus homólogas físicas, los equipos informáticos podrían seguir utilizando herramientas de gestión conocidas. Sin embargo, las VNF tienen desventajas:

• Las máquinas virtuales no tienen hardware de red personalizado, por lo que dependen de la potencia de procesamiento bruta. La máquina virtual se dimensiona para el pico de carga previsto y suele funcionar de forma interrumpida (24/7). Esto conlleva un elevado coste de procesamiento, independientemente de la utilización real.

• La alta disponibilidad depende de una configuración de red frágil, costosa y compleja.

• La incorporación de servicios, la configuración para poner una VNF en el flujo del paquete, a menudo impone rutas de paquete que incurren en cargos adicionales por ancho de banda.

• Las VNF suelen tener una licencia similar a la de sus homólogas locales y son caras.

• Las VNF imponen una compatibilidad obligada a las empresas y potencialmente las excluyen de beneficiarse de las mejoras en las soluciones de plano de datos en la nube.

Por estas razones, las empresas se están alejando de las soluciones basadas en VNF y buscan cada vez más confiar en las capacidades de red nativas de sus proveedores de servicios en la nube. La red integrada en la nube pública es flexible, eficaz, sólida y tiene un precio por uso, con opciones de alta disponibilidad integradas y respaldadas por el acuerdo de nivel de servicio del proveedor de la nube.

En nuestro ejemplo del tren, las vías y los trenes son adecuados. Asimismo, el plano de datos de la red en la nube dispone de una alta capacidad. El cambio del plano de datos para resolver los problemas del plano de gestión es un enfoque equivocado. Para que esto funcione a escala, las organizaciones necesitan una solución que trabaje junto con las capacidades de red nativas de los proveedores de servicios en la nube.

Nefeli aprovecha los desarrollos nativos del plano de datos de la nube en lugar de VNF de terceros.

El equipo de Nefeli se ha unido a Cloudflare para integrar la funcionalidad de gestión de redes en la nube con Cloudflare One. Esta capacidad se denomina Magic Cloud Networking y con ella las empresas pueden utilizar el panel de control y la API de Cloudflare para gestionar sus redes en nubes públicas y conectarse con Cloudflare One.

Al igual que los proveedores de trenes se centran solo en completar los trayectos en su propia red, los proveedores de servicios en la nube ofrecen conectividad de red y herramientas dentro de una única cuenta en la nube. Muchas grandes empresas tienen cientos de cuentas en varios proveedores nube. En una red integral, esto crea silos de red inconexos que plantean riesgos y llevan aparejadas ineficiencias operativas.

Imagina que estás intentando organizar un viaje en tren por Europa, y ninguna compañía ferroviaria presta servicio tanto en tu origen como en tu destino. Sabes que todos ofrecen el mismo servicio básico: un asiento en un tren. Sin embargo, la organización de tu viaje es difícil porque implica numerosos trenes operados por diferentes compañías con sus propios horarios y tarifas de billetes, ¡y todo ello en diferentes idiomas!

Magic Cloud Networking es como una agencia de viajes en línea que combina numerosas opciones de transporte, ofrece la capacidad de reservar numerosos billetes, facilita los cambios después de la reserva y, además, ofrece actualizaciones del estado del viaje.

A través del panel de control de Cloudflare, puedes descubrir todos tus recursos de red en cuentas y proveedores de nube y visualizar tu red integral en una única interfaz. Una vez que Magic Cloud Networking identifica tus redes, puedes desarrollar una red escalable mediante un flujo de trabajo sencillo y totalmente automatizado.

El inventario de recursos muestra toda la configuración en una interfaz de usuario única y receptiva

Las nubes públicas se utilizan para ofrecer aplicaciones y servicios. Cada proveedor de nube ofrece una pila componible de bloques de creación modulares (recursos) que empiezan con la base de una cuenta de facturación y luego añaden controles de seguridad. La siguiente capa fundamental, para aplicaciones basadas en el servidor, es la red VPC. Se desarrollan recursos adicionales sobre la base de red de la VPC hasta que dispongas de infraestructura informática, de almacenamiento y de red para alojar la aplicación y los datos de la empresa. Incluso las arquitecturas relativamente sencillas pueden estar compuestas por cientos de recursos.

El problema es que estos recursos exponen abstracciones que son diferentes de los bloques de creación que utilizarías para desarrollar un servicio localmente. Las abstracciones difieren entre los proveedores de nube, y forman un web de dependencias con reglas complejas sobre cómo se realizan los cambios de configuración (reglas que difieren entre los tipos de recursos y los proveedores de nube). Por ejemplo, supongamos que creo 100 máquinas virtuales y las conecto a una red que utiliza una dirección IP. ¿Puedo hacer cambios en la dirección IP de la red mientras las máquinas virtuales están utilizando la red? Depende.

Magic Cloud Networking gestiona estas diferencias y complejidades por ti. Configura creaciones nativas de nube como puertas de enlace VPN, rutas y grupos de seguridad para conectar de forma segura tu red VPC en la nube a Cloudflare One sin tener que aprender las fórmulas de cada nube para crear hubs y conexiones VPN.

Volviendo a nuestro ejemplo del sistema ferroviario, ¿qué ocurre si el personal de mantenimiento del ferrocarril encuentra un fallo peligroso en la vía férrea? Colocan manualmente la señal de parada para evitar que los trenes que vienen en dirección contraria utilicen el tramo de vía defectuoso. Entonces, ¿qué pasa si, por una desafortunada coincidencia, la oficina de programación cambia el horario de las señales, y las configuran a distancia, lo que anula la medida de seguridad adoptada por el equipo de mantenimiento? Ahora hay un problema que nadie conoce y la raíz del problema es que varias autoridades pueden cambiar las señales a través de diferentes interfaces sin coordinación.

El mismo problema existe en las redes en la nube. Los cambios de configuración son realizados por diferentes equipos que utilizan diferentes interfaces de automatización y configuración en un abanico de funciones como facturación, soporte, seguridad, redes, firewalls, base de datos y desarrollo de aplicaciones.

Una vez implementada tu red, Magic Cloud Networking supervisa su configuración y estado, permitiéndote confiar en que la seguridad y la conectividad que pusiste en marcha ayer siguen vigentes hoy. Monitorea los recursos en la nube de los que es responsable, revirtiendo automáticamente el desfase si se modifican fuera de banda, al tiempo que te permite gestionar otros recursos, como buckets de almacenamiento y servidores de aplicación, con otras herramientas de automatización. Y, si cambias de red, Cloudflare se encarga de la gestión de rutas, incorporando y retirando rutas globalmente a través de Cloudflare y de todas las redes de proveedores de nube conectadas.

Magic Cloud Networking es totalmente programable mediante API, y se puede integrar en el conjunto de herramientas de automatización existentes.

La interfaz avisa cuando la infraestructura de red de la nube se aleja del propósito

Estamos encantados de anunciar la incorporación de Magic Cloud Networking como otro paso fundamental para cumplir la promesa de la conectividad cloud. Esta solución es el primer paso para permitir a los clientes integrar Cloudflare de manera eficaz con su nube pública de manera que puedan conectarse y permanecer conectados de forma segura, y beneficiarse de la flexibilidad y el ahorro de costes sobre la marcha.

Únete a nosotros en este recorrido y consigue acceso anticipado. Obtén más información y regístrate hoy mismo aquí.

Los servicios de interconexión proporcionan una conexión privada que te permite conectar directamente tus redes a otras redes como Internet, proveedores de servicios en la nube y otras empresas. Esta conexión privada ofrece una mejor conectividad que la conexión a través de Internet, y reduce la exposición a amenazas comunes como los ataques de denegación de servicio distribuido (DDoS).

El coste es un aspecto importante a considerar a la hora de evaluar cualquier proveedor de servicios de interconexión. El coste de una interconexión suele constar de una tarifa fija por puerto, según la capacidad (velocidad) del puerto, y la cantidad variable de datos transferidos. Algunos proveedores de nube también añaden complejos cargos por ancho de banda interregional.

Estas son otras consideraciones importantes a tener en cuenta:

• ¿Cuánta capacidad se necesita?

• ¿Hay costes variables o fijos asociados al puerto?

• ¿Está el proveedor ubicado en las mismas instalaciones de coubicación que mi empresa?

• ¿Tiene capacidad para escalar con mi infraestructura de red?

• ¿Puedes prever tus costes sin sorpresas indeseadas?

• ¿Qué otros productos y servicios ofrece el proveedor?

Cloudflare no cobra ninguna tarifa por puerto para Cloudflare Network Interconnect, ni tampoco por el ancho de banda interregional. Utilizar CNI con productos como Magic Transit y Magic WAN puede incluso reducir el gasto en ancho de banda con los proveedores de acceso a Internet. Por ejemplo, puedes enviar el tráfico que ha limpiado Magic Transit a tu centro de datos con un CNI en lugar de a través de tu conexión a Internet, reduciendo la cantidad de ancho de banda por la que pagarías a un proveedor de acceso a Internet.

Para subrayar el valor de CNI, un proveedor cobra casi 20 000 USD al año por un puerto de conexión directa de 10 Gigabits por segundo (Gb/s). El CNI con la misma velocidad, 10 Gb/s, en Cloudflare cuesta 0 USD al año. El coste de estos proveedores tampoco incluye los costes relacionados con la cantidad de datos transferidos entre distintas regiones o áreas geográficas, o fuera de su nube. Nosotros nunca hemos cobrado por los CNI, y nos comprometemos a facilitar aún más a los clientes la conexión a Cloudflare, y a destinos más allá en la red de Internet abierta.

Nuestro primer gran anuncio es un método nuevo y más rápido para el suministro y la implementación de CNI. A partir de hoy, todos los clientes de Magic Transit y Magic WAN pueden solicitar CNI directamente desde su cuenta de Cloudflare. Todo el proceso requiere unos 3 clics y menos de 3 minutos (más o menos lo que se tarda en hacer un café). Vamos a mostrarte lo sencillo que es pedir un CNI.

El primer paso es averiguar si Cloudflare está en el mismo centro de datos o instalación de coubicación que tus enrutadores, tus servidores y tu hardware de red. Iremos a la nueva sección Interconexiones del panel de control de Cloudflare y solicitaremos un nuevo CNI Directo.

Busca la ciudad de tu centro de datos y averigua rápidamente si Cloudflare está ubicado en las mismas instalaciones. Montaré un CNI para conectar mi red de ejemplo situada en Ashburn, Virginia.

Parece que Cloudflare está ubicado en las mismas instalaciones que mi red, así que seleccionaré la ubicación donde me gustaría conectarme.

En este momento, mi centro de datos sólo intercambia unos cientos de Megabits por segundo de tráfico en Magic Transit, así que seleccionaré una interfaz de 1 Gigabit por segundo, que es la velocidad de puerto más baja disponible. También puedo pedir un enlace de 10 Gb/s si tengo más de 1 Gb/s de tráfico en una sola ubicación. Cloudflare también admite CNI de 100 Gb/s, pero si tienes tanto tráfico para intercambiar con nosotros, te recomendamos que lo coordines con tu equipo de cuenta.

Una vez seleccionada la velocidad de puerto que prefieras, puedes asignar un nombre a tu CNI, al que podrás hacer referencia más adelante cuando dirijas tu tráfico de Magic Transit o Magic WAN a la interconexión. Antes de confirmar nuestro pedido de CNI, tenemos la oportunidad de comprobar que todo parezca correcto.

Una vez que hagamos clic en el botón "Confirmar pedido", Cloudflare suministrará una interfaz en nuestro enrutador para tu CNI, y también asignará direcciones IP para que las configures en la interfaz de tu enrutador. Cloudflare también te remitirá una Carta de autorización para que puedas solicitar una conexión cruzada con la instalación local. Tras tu pedido, Cloudflare suministrará un puerto en nuestro enrutador para tu CNI en los 3 minutos siguientes, y podrás hacer ping a través del CNI en cuanto aparezca el estado de la línea de interfaz.

Después de descargar la Carta de autorización para pedir una conexión cruzada, volveremos a nuestra área Interconexiones. Aquí podemos ver el direccionamiento IP punto a punto, y el nombre de CNI que se utiliza en nuestra configuración de Magic Transit o Magic WAN. Si es necesario, también podemos volver a descargar la Carta de autorización.

Nuestro segundo gran anuncio es que Express CNI simplifica drásticamente cómo los clientes de Magic Transit y Magic WAN se conectan a Cloudflare. En el pasado, llevar los paquetes a Magic Transit o Magic WAN con un CNI requería que los clientes configuraran un túnel GRE (Generic Routing Encapsulation) en su enrutador. Estas configuraciones son complejas, y no todos los enrutadores y conmutadores admiten estos cambios. Dado que tanto Magic Transit como Magic WAN protegen las redes y operan en la capa de red sobre paquetes, los clientes nos preguntaban, con razón: "Si me conecto directamente a Cloudflare con CNI, ¿por qué necesito también un túnel GRE para Magic Transit y Magic WAN?".

A partir de hoy, los túneles GRE ya no son necesarios con Express CNI. Esto significa que Cloudflare admite los paquetes estándar de 1500 bytes en el CNI, y no hay necesidad de complejas configuraciones de ajustes de GRE o MSS para llevar el tráfico a Magic Transit o Magic WAN. Esto reduce considerablemente las tareas de configuración necesarias en un enrutador para los clientes de Magic Transit y Magic WAN que pueden conectarse a través de Express CNI. Si no estás familiarizado con Magic Transit, la conclusión clave es que hemos reducido la complejidad de los cambios que debes realizar en tu enrutador para proteger tu red con Cloudflare.

Nos complace cómo Express CNI simplifica la conexión a la red de Cloudflare. Algunos clientes se conectan a Cloudflare a través de nuestros socios de la plataforma de interconexión, como Equinix y Megaport, y tenemos previsto llevar las funciones de Express CNI también a nuestros socios.

Hemos actualizado varios de nuestros centros de datos para que admitan Express CNI, y tenemos previsto actualizar muchos más en los próximos meses. Estamos ampliando rápidamente el número de ubicaciones en todo el mundo que admiten Express CNI a medida que instalamos nuevo hardware de red. Si te interesa conectarte a Cloudflare con Express CNI, pero no puedes encontrar tu centro de datos, comunícaselo al equipo de tu cuenta.

Si ya tienes un CNI clásico y no necesitas las funciones de Express CNI, no tienes obligación de migrar a Express CNI. Los clientes de Magic Transit y Magic WAN nos han solicitado la compatibilidad con el protocolo BGP para controlar cómo Cloudflare enruta el tráfico de vuelta a sus redes, y esperamos ampliar primero la compatibilidad con BGP a Express CNI, así que sigue atento a más anuncios sobre Express CNI este mismo año.

Como hemos demostrado anteriormente, con Express CNI conectar tu red a  Cloudflare es  rápido y fácil. Si eres cliente de Magic Transit o Magic WAN, la nueva área "Interconexiones" ya está disponible en tu panel de control de Cloudflare. Para implementar tu primer CNI, puedes seguir las capturas de pantalla anteriores o consultar nuestra documentación sobre interconexiones actualizada.

El problema principal que estamos abordando es la creciente complejidad de las ciberamenazas y la superficie de ataque en expansión, que complica el mantenimiento de una postura de seguridad eficaz para nuestros clientes.

No es infrecuente que las organizaciones implementen diversas soluciones de seguridad, incluidas las nuestras, sin optimizar y aplicar plenamente sus configuraciones. El resultado es una falsa sensación de seguridad, inversiones infrautilizadas y, peor aún, la exposición de vulnerabilidades. Nuestros clientes expresan con frecuencia su preocupación por no tener una imagen clara de su postura de seguridad en toda su infraestructura, por no saber si los activos críticos están protegidos adecuadamente o si se podrían aprovechar mejor funciones de seguridad específicas de Cloudflare.

Queremos ofrecer a los usuarios una visibilidad integral de sus configuraciones de seguridad y del estado de sus implementaciones en todo el conjunto de productos de Cloudflare. Al proporcionar información útil sobre las áreas insuficientemente configuradas, los recursos no asignados o las funciones no utilizadas, pretendemos cerrar las brechas de seguridad y mejorar los mecanismos generales de protección de los ecosistemas digitales de nuestros clientes. Esta mejora no consiste sólo en aprovechar la tecnología, sino en promover una cultura de gestión proactiva de la seguridad, en la que cada pieza de la infraestructura digital esté protegida de forma coherente y óptima.

Hace más de dos años, asumimos la misión de consolidar nuestro amplio conjunto de productos de seguridad, nuestra experiencia en seguridad y nuestros conocimientos únicos sobre las amenazas de Internet en una solución integral: el  Centro de seguridad de Cloudflare. Lanzado con la visión de simplificar la gestión de la superficie de ataque y de proporcionar información avanzada sobre seguridad útil para las organizaciones de todos los tamaños, desde entonces el Centro de seguridad se ha convertido en la vista rápida única para evaluar tu postura de seguridad.

Hoy, sobre esta base, abordamos un punto débil de muchos de nuestros grandes clientes: garantizar la protección completa de Cloudflare en toda su infraestructura digital.

Nuestra última actualización del Centro de seguridad se centra en ofrecer información detallada sobre el estado de implementación de Cloudflare en tus activos digitales. Esto incluye identificar las aplicaciones en las que servicios críticos como WAF, Access y otras herramientas de protección de la seguridad podrían no estar totalmente configurados u optimizados, debilitando así tu postura de seguridad.

Además de esta información, presentamos una vista rápida en la información del Centro de seguridad, diseñada para ofrecer a los directores de seguridad de la información y a los equipos de seguridad una visión rápida y completa de las configuraciones actuales de sus productos de Cloudflare en un momento dado, junto con recomendaciones de mejoras, bajo la instantánea Optimización de la seguridad en el panel de control.

Aprovechando esta nueva información, los usuarios de Cloudflare ahora pueden tomar medidas proactivas para cerrar cualquier brecha de su infraestructura de seguridad. Al ofrecer una visión granular de dónde se pueden utilizar mejor los servicios específicos de Cloudflare, no sólo resolvemos un problema de visibilidad, sino que proporcionamos información útil sobre seguridad. Esto significa que pueden tomarse decisiones con rapidez, garantizando que tus defensas no sólo respondan a las amenazas potenciales, sino que se anticipen a ellas.

Por ejemplo, destacaremos si WAF está implementado sólo en algunas tus zonas, dónde podría utilizarse la seguridad del correo electrónico, o si determinados activos no están protegidos por los controles de acceso. También te facilitamos la tarea de ver si te falta alguna configuración crítica, como Page Shield, asegurándonos de que el producto está configurado para que no sólo estés un paso más cerca de cumplir normas como PCI DSS, sino que también estés protegido contra las amenazas en constante evolución. Exponemos los puntos finales de la API recién descubiertos que también requieren tu atención.

Por último, los usuarios ya pueden exportar su información sobre seguridad utilizando nuestra API pública, y pronto podrán hacer lo mismo directamente desde el panel de control de Cloudflare, ¡con solo un clic!

La información del Centro de seguridad está disponible para todos los usuarios del panel de Cloudflare que sean administradores de su cuenta de Cloudflare.

Independientemente del tamaño o del alcance de tu implementación, nuestro objetivo es dotar a cada usuario de las herramientas necesarias para lograr una postura de seguridad eficaz, en la que pueda influir continuamente mejorando las configuraciones existentes, añadiendo nuevas soluciones y descubriendo nuevas vulnerabilidades.

Añadimos continuamente más información relevante sobre seguridad para ayudarte a mejorar tu postura de seguridad. Incluye la infraestructura expuesta, las configuraciones no seguras, las optimizaciones, los nuevos productos y mucho más, así como la posibilidad de exportarla fácilmente para la elaboración de informes. Asimismo, sigue atento para descubrir una plataforma de informes completamente nueva que te entregará automáticamente información sobre seguridad seleccionada y contextualizada directamente en tu bandeja de entrada, demostrando la eficiencia de la cartera de productos de seguridad de Cloudflare. Los informes periódicos se complementarán con una experiencia personalizada e interactiva de elaboración de informes en el panel de control.

Echa un vistazo a tu información sobre seguridad en el Centro de seguridad de tu cuenta y toma medidas para mejorar tu postura de seguridad con Cloudflare.

Si quieres unirte a nosotros para desarrollar el Centro de seguridad u otros interesantes productos de Cloudflare, consulta nuestros puestos vacantes y obtén más información sobre el día a día en Cloudflare.

Aunque los modelos de IA, y específicamente los LLM, están en auge, los clientes nos indican que les preocupa encontrar las mejores estrategias para proteger sus propios LLM. La utilización de los LLM como parte de las aplicaciones conectadas a Internet añade nuevas vulnerabilidades que los ciberdelincuentes pueden aprovechar.

Algunas de las vulnerabilidades que afectan a las aplicaciones web y API tradicionales también son aplicables al mundo de los LLM, como las inyecciones o la exfiltración de datos. Sin embargo, hay un nuevo conjunto de amenazas que ahora son relevantes debido a cómo funcionan los LLM. Por ejemplo, los investigadores han descubierto recientemente una vulnerabilidad en una plataforma de colaboración de IA que les permite secuestrar modelos y realizar acciones no autorizadas.

Firewall for AI es un firewall de aplicaciones web (WAF) avanzado, personalizado específicamente para las aplicaciones que utilizan LLM. Constará de un conjunto de herramientas que se pueden implementar delante de las aplicaciones para detectar vulnerabilidades y ofrecer visibilidad a los propietarios de los modelos. Este conjunto de herramientas incluirá productos que ya forman parte de WAF, como la limitación de velocidad y la detección de datos confidenciales, y una nueva capa de protección que está actualmente en desarrollo. Esta nueva validación analiza la instrucción que envía el usuario final para identificar los intentos de explotar el modelo a fin de extraer datos y otros tipos de abuso. Gracias al gran tamaño de la red de Cloudflare, Firewall for AI se ejecuta lo más cerca posible del usuario. Esto nos permite identificar los ataques en un etapa temprana y proteger tanto al usuario final como a los modelos contra abusos y ataques.

Antes de analizar el funcionamiento de Firewall for AI y su completo conjunto de funciones, analicemos primero qué hace únicos a los LLM, y las superficies de ataque que introducen. Como referencia, utilizaremos las 10 principales vulnerabilidades de OWASP para LLM.

Al considerar los LLM como aplicaciones conectadas a Internet, observamos dos diferencias principales respecto a las aplicaciones web más tradicionales.

En primer lugar, la forma como los usuarios interactúan con el producto. Las aplicaciones tradicionales son deterministas por naturaleza. Considera una aplicación bancaria. Se define en función de un conjunto de operaciones (consultar mi saldo, realizar una transferencia, etc.). Podemos garantizar la seguridad de la operación comercial (y de los datos) controlando el conjunto específico de operaciones que aceptan estos puntos finales: "GET /balance" o "POST /transfer".

Por diseño, las operaciones de los LLM son no deterministas. Para empezar, las interacciones con los LLM se basan en el lenguaje natural, por lo que identificar las solicitudes problemáticas es más difícil que la correspondencia con firmas de ataque. Además, a menos que haya una respuesta almacenada en la caché, los LLM suelen ofrecer una respuesta distinta cada vez, incluso si se repite la misma instrucción de entrada. Por lo tanto, limitar cómo un usuario interactúa con la aplicación es considerablemente más complejo. Esto también plantea una amenaza para el usuario, ya que podría estar expuesto a información errónea que debilite la confianza en el modelo.

En segundo lugar, una diferencia importante es cómo el plano de control de la aplicación interactúa con los datos. En las aplicaciones tradicionales, el plano de control (el código) está claramente separado del plano de datos (la base de datos). Las operaciones definidas son la única forma de interactuar con los datos subyacentes (p. ej. "muéstrame el historial de mis transacciones de pago"). Esto permite a los expertos en seguridad centrarse en añadir comprobaciones y protección al plano de control y así proteger indirectamente la base de datos.

Los LLM difieren en que los datos de entrenamiento pasan a formar parte del propio modelo durante el proceso de entrenamiento, por lo que controlar cómo se comparten esos datos como resultado de la instrucción de un usuario resulta muy difícil. Se han estudiado algunas soluciones a nivel de arquitectura, como separar los LLM en distintos niveles y segregar los datos. Sin embargo, aún no se ha encontrado la fórmula mágica.

Desde una perspectiva de la seguridad, estas diferencias permiten a los ciberdelincuentes crear nuevos vectores de ataque dirigidos a los LLM y burlar las herramientas de seguridad existentes diseñadas para las aplicaciones web tradicionales.

La fundación OWASP publicó una lista de las 10 principales clases de vulnerabilidades para los LLM, proporcionando un marco útil para explorar cómo proteger los modelos de lenguaje. Algunas de las amenazas recuerdan a las 10 principales vulnerabilidades de OWASP para aplicaciones web, mientras que otras son específicas de los modelos de lenguaje.

Al igual que con las aplicaciones web, algunas de estas vulnerabilidades se pueden abordar mejor cuando la aplicación de LLM se ha diseñado, desarrollado y entrenado. Por ejemplo, el envenenamiento de datos de entrenamiento se puede llevar a cabo introduciendo vulnerabilidades en el conjunto de datos de entrenamiento utilizados para entrenar nuevos modelos. A continuación, la información envenenada se presenta al usuario cuando el modelo está activo. Las vulnerabilidades de la cadena de suministro y el diseño de complemento no seguro son vulnerabilidades introducidas en componentes añadidos al modelo, como paquetes de software de terceros. Por último, la gestión de la autorización y de los permisos es fundamental para abordar la autonomía excesiva, donde modelos no restringidos pueden realizar acciones no autorizadas en la aplicación o la infraestructura a nivel más general.

Por el contrario, la inyección de instrucciones, la denegación de servicio del modelo y la divulgación de información confidencial se pueden mitigar mediante la adopción de una solución de seguridad de proxy como Cloudflare Firewall for AI. En las secciones siguientes comentaremos en más detalle estas vulnerabilidades y cómo Cloudflare se encuentra en una posición privilegiada para mitigarlas.

Los riesgos de los modelos de lenguaje dependen también del modelo de implementación. Actualmente hay las tres principales estrategias de implementación: LLM internos, LLM públicos y LLM de productos. En los tres escenarios, debemos proteger los modelos contra los abusos, proteger los datos privados almacenados en el modelo y proteger al usuario final frente a información errónea o la exposición a contenido inadecuado.

• LLM internos: las empresas desarrollan LLM para ayudar a sus empleados con sus tareas cotidianas. Estos LLM se consideran activos corporativos y no deberían ser accesibles a personas ajenas a la empresa. Por ejemplo, un copiloto de IA entrenado con datos de ventas e interacciones con los clientes utilizado para generar propuestas personalizadas, o un LLM entrenado con una base de conocimiento interna que los ingenieros pueden consultar.

• LLM públicos: son LLM a los que se puede acceder desde fuera de la empresa. Estas soluciones suelen tener versiones gratuitas que todo el mundo puede utilizar, y a menudo se entrenan con conocimientos generales o públicos. Pore ejemplo, GPT de OpenAI o Claude de Anthropic.

• LLM de productos: desde la perspectiva de una empresa, los LLM pueden formar parte de un producto o servicio ofrecido a sus clientes. Estos LLM suelen ser soluciones personalizadas y autoalojadas que pueden estar disponibles como una herramienta para interactuar con los recursos de la empresa. Por ejemplo, los chabots de asistencia o Cloudflare AI Assistant.

Desde la perspectiva de los riesgos, la diferencia entre los LLM públicos y los LLM privados es quién resulta afectado cuando los ataques tienen éxito. Los LLM públicos se consideran una amenaza para los datos porque prácticamente cualquiera puede acceder a los datos que acaban formando parte del modelo. Esta es una de las razones por las que muchas empresas aconsejan a sus empleados que no incluyan información confidencial en las instrucciones de servicios disponibles públicamente. Los LLM de productos se consideran una amenaza para las empresas y su propiedad intelectual si los modelos han accedido a información privada durante el entrenamiento (ya sea por diseño o  inadvertidamente).

Cloudflare Firewall for AI se implementará como un WAF tradicional, donde se analiza cada solicitud de API con una instrucción de LLM en busca de patrones y firmas de posibles ataques.

Firewall for AI se puede implementar delante de modelos alojados en la plataforma de Cloudflare Workers AI o de modelos alojados en cualquier otra infraestructura de terceros. Se puede utilizar junto con Cloudflare AI Gateway, y los clientes podrán controlar y configurar Firewall for AI mediante el plano de control de WAF.

Firewall for AI funciona como un firewall de aplicaciones web tradicional. Se implementa delante de una aplicación de LLM y se analiza cada solicitud para identificar firmas de ataque.

Una de las amenazas que incluye OWASP es la denegación de servicio del modelo. Al igual que con las aplicaciones tradicionales, se lanza un ataque DoS, consumiendo una cantidad excepcionalmente alta de recursos, lo que daña la calidad del servicio o puede aumentar los costes de ejecución del modelo. Debido a la gran cantidad de recursos que requiere la ejecución de los LLM, y a la imprevisibilidad de la entrada de los usuarios, este tipo de ataque puede ser dañino.

Es posible mitigar este riesgo mediante la adopción de políticas de limitación de velocidad que controlen la velocidad de las solicitudes de sesiones individuales, limitando por lo tanto la ventana de contexto. Hoy, redireccionando tu modelo a través de Cloudflare, te beneficias de protección contra DDoS lista para usar. También puedes utilizar la limitación de velocidad y la limitación de velocidad avanzada para gestionar la velocidad de las solicitudes que permites que lleguen a tu modelo, estableciendo una velocidad máxima de las solicitudes que puede enviar una dirección IP o una clave de API individual durante una sesión.

Hay dos casos de uso para los datos confidenciales, en función de si eres propietario del modelo y de los datos, o de si deseas evitar que los usuarios envíen datos a los LLM públicos.

Según define OWASP, la divulgación de información confidencial se produce cuando los LLM revelan inadvertidamente datos confidenciales en las respuestas, lo que causa el acceso a datos no autorizados, violaciones de la privacidad y fallos de seguridad. Una forma de evitarlo es añadir estrictas validaciones de las instrucciones. Otra estrategia es identificar la información de identificación personal que sale del modelo. Esto es relevante, por ejemplo, cuando se ha entrenado un modelo con una base de conocimiento de una empresa que puede incluir información confidencial, como información de identificación personal (p. ej., números de la seguridad social), código privado o algoritmos.

Los clientes que utilizan modelos LLM detrás del WAF de Cloudflare pueden emplear el conjunto de reglas administradas del WAF de detección de datos confidenciales para identificar determinada información de identificación personal que devuelva el modelo en la respuesta. Los clientes pueden revisar las coincidencias de detección de datos confidenciales en los eventos de seguridad del WAF. Hoy, la detección de datos confidenciales se ofrece como un conjunto de reglas administradas diseñadas para analizar la información financiera (por ejemplo, números de tarjeta de crédito) así como secretos (claves de API). Como parte de la hoja de ruta, tenemos previsto permitir que nuestros clientes creen sus propias huellas digitales personalizadas.

El otro caso de uso tiene como objetivo evitar que los usuarios compartan información de identificación personal u otra información confidencial con proveedores de LLM externos, como OpenAI o Anthropic. Para estar protegidos ante esta situación, tenemos previsto ampliar la detección de datos confidenciales para analizar la instrucción de la solicitud e integrar su resultado con AI Gateway, donde, junto con el historial de la instrucción, detectamos si se han incluido determinada información confidencial en la solicitud. Empezaremos utilizando las reglas de detección de datos confidenciales y tenemos previsto permitir que los clientes escriban sus propias firmas personalizadas. De la misma forma, la ofuscación es otra función que nos comentan muchos de nuestros clientes. Cuando esté disponible, la detección de datos confidenciales ampliada permitirá que los clientes ofusquen determinados datos confidenciales en una instrucción antes de que estos lleguen al modelo. La detección de datos confidenciales en la fase de solicitud está en desarrollo.

El abuso de modelos es una categoría más amplia de abuso. Incluye estrategias como la "inyección de instrucciones" o el envío de solicitudes que generan alucinaciones o causan respuestas imprecisas, ofensivas, inadecuadas o simplemente no relacionadas con el tema.

La inyección de instrucciones es un intento de manipular un modelo de lenguaje mediante entradas elaboradas especialmente, que causan que el LLM devuelva respuestas no deseadas. Los resultados de una inyección pueden variar, desde extraer información confidencial a influenciar la toma de decisiones imitando las interacciones normales con el modelo. Un ejemplo clásico de inyección de instrucciones es manipular un CV para afectar al resultado de las herramientas de cribado de currículums.

Un caso de uso común que nos comentan los clientes de nuestra solución AI Gateway es que quieren evitar que su aplicación genere lenguaje tóxico, ofensivo o problemático. Los riesgos de no controlar el resultado del modelo incluyen daños a la reputación y perjudicar al usuario final proporcionando una respuesta no fiable.

Podemos abordar estos tipos de abuso añadiendo una capa adicional de protección delante del modelo. Esta capa se puede entrenar para bloquear los intentos de inyección o para bloquear los intentos correspondientes a las categorías inapropiadas.

Firewall for AI ejecutará una serie de detecciones diseñadas para identificar los intentos de inyección de instrucciones y otros tipos de abuso, por ejemplo, garantizando que el tema se mantiene dentro de los límites que ha definido el propietario del modelo. Al igual que otras funciones existentes del WAF, Firewall for AI buscará automáticamente las instrucciones incorporadas en las solicitudes HTTP o permitirá a los clientes crear reglas según la ubicación del cuerpo JSON de la solicitud donde se puede encontrar la instrucción.

Una vez activado, el firewall analizará cada instrucción y proporcionará una puntuación según la probabilidad de que esta sea maliciosa. También etiquetará la instrucción según las categorías predefinidas. La puntuación va de 1 a 99 e indica la probabilidad de una inyección de instrucción, donde 1 es la probabilidad más alta.

Los clientes podrán crear reglas de WAF para bloquear o manejar las solicitudes con una puntuación determinada en una o en ambas de estas dimensiones. Podrás combinar esta puntuación con otros indicadores existentes (como la puntuación de bots o la puntuación de ataques) para determinar si la solicitud debe llegar al modelo o se debe bloquear. Por ejemplo, se podría combinar con una puntuación de bots para identificar si la solicitud era maliciosa y la ha generado una fuente automatizada.

La detección de las inyecciones de instrucciones y del abuso de instrucciones forman parte del ámbito de Firewall for AI. Iteración temprana del diseño del producto.

Además de la puntuación, asignaremos etiquetas a cada instrucción, que se pueden utilizar al crear reglas para impedir que las instrucciones correspondientes a cualquiera de estas categorías lleguen a su modelo. Por ejemplo, los clientes podrán crear reglas para bloquear temas específicos. Esto incluye las instrucciones que utilicen palabras categorizadas como ofensivas, o vinculadas a la religión, a contenido sexual o a la política, por ejemplo.

Los clientes del plan Enterprise en la solución de seguridad avanzada para aplicaciones pueden empezar ya a utilizar la limitación de velocidad avanzada y la detección de datos confidenciales (en la fase de respuesta). Ambos productos se pueden encontrar en la sección del WAF del panel de control de Cloudflare. La función de validación de instrucciones de Firewall for AI está actualmente en desarrollo y lanzaremos una versión beta en los próximos meses para todos los usuarios de Workers AI. Inscríbete en la lista de espera y te avisaremos cuando la función esté disponible.

Cloudflare es uno de los primeros proveedores de seguridad que lanza un conjunto de herramientas para proteger las aplicaciones de IA. Con Firewall for AI, los clientes pueden controlar qué instrucciones y solicitudes llegan a sus modelos de lenguaje, reduciendo el riesgo de abusos y la exfiltración de datos. Sigue atento para saber más sobre la evolución de la seguridad para las aplicaciones de IA.

Como empresa de ciberseguridad, Cloudflare considera la seguridad de los productos una parte integral de su DNA. Creemos firmemente en los principios de la CISA y seguiremos respetándolos en todo nuestro trabajo. Nos complace compartir algunas historias acerca de cómo Cloudflare ha integrado los principios de seguridad por diseño en los productos que desarrollamos y en los servicios que ofrecemos a todos nuestros clientes.

El término "seguridad por diseño" describe un producto donde la seguridad está integrada, en lugar de añadida posteriormente. Los fabricantes, en lugar de adoptar medidas de seguridad de forma reactiva, toman medidas para mitigar los riesgos con antelación, desarrollando productos de tal forma que protejan razonablemente para impedir que los ataques logren acceder a ellos.

El término "seguridad por defecto" indica que los productos se han desarrollado para tener las configuraciones de seguridad necesarias por defecto, sin cambios adicionales.

La CISA destaca los siguientes tres principios de seguridad para los productos de software:

• Asumir la responsabilidad de los resultados de la seguridad de los clientes

• Adoptar el máximo nivel de transparencia y rendición de cuentas

• Liderar desde arriba

En su documentación, la CISA ofrece completa información sobre cómo lograr sus principios y qué medidas de seguridad debe seguir un fabricante. El cumplimiento de estas directrices no solo amplía las ventajas de seguridad para los clientes y mejora la reputación de marca del desarrollador, sino que también reduce los costes de las revisiones y del mantenimiento a largo plazo para los fabricantes.

Sin duda, la tecnología desempeña un papel importante en nuestras vidas, automatizando muchas tareas cotidianas. La dependencia de la tecnología y de los dispositivos conectados a Internet en todo el mundo ha crecido considerablemente en los últimos años, en gran medida debido al COVID-19. Durante la pandemia, usuarios y empresas adoptaron el teletrabajo para cumplir con las medidas de salud pública que restringían las interacciones físicas.

La conectividad a Internet nos hace la vida más fácil, ya que ofrece oportunidades para el aprendizaje remoto y el teletrabajo, pero también crea una oportunidad para que los ciberdelincuentes saquen provecho de dichas actividades. Sin la protección adecuada, los datos confidenciales, como la información de usuario, los registros financieros y las credenciales de inicio de sesión, podrían estar en riesgo y utilizarse para actividades maliciosas.

Las vulnerabilidades de los sistemas también pueden afectar a sectores y economías en su totalidad. En 2023, se sospechó que hackers de Corea del Norte habían sido los responsables de más del 20 % de las pérdidas criptográficas, explotando vulnerabilidades de software y robando más de 300 millones de dólares a usuarios y empresas de todo el mundo.

A pesar de las consecuencias potencialmente devastadoras del software no seguro, demasiados proveedores responsabilizan a sus clientes de la seguridad (un hecho que la CISA destaca en sus directrices). Aunque se espera cierto nivel de atención por parte de los clientes, la mayoría de los riesgos los deberían gestionar los fabricantes y sus productos. Solo de esta forma podemos tener interacciones en línea más seguras y fiables. Los principios de seguridad por diseño son fundamentales para salvar esta brecha y lograr cambios en el sector.

La CISA explica que, para que los fabricantes de software puedan asumir la responsabilidad de los resultados de la seguridad de los clientes, deben invertir en sus esfuerzos para mejorar la seguridad de los productos. Esto incluye el fortalecimiento de las aplicaciones, las funciones de las aplicaciones y los ajustes por defecto de las aplicaciones. En Cloudflare, estos esfuerzos para mejorar la seguridad de los productos son siempre nuestra máxima prioridad, y a continuación muestro algunos ejemplos.

En Cloudflare, nuestros desarrolladores siguen un proceso de gestión del ciclo de vida de desarrollo de software definido con puntos de verificación de nuestro equipo de seguridad. Abordamos proactivamente las vulnerabilidades conocidas antes de que se puedan explotar y corregimos las vulnerabilidades explotadas para todos nuestros clientes. Por ejemplo, estamos comprometidos con la utilización, siempre que sea posible, de lenguajes de programación seguros para la memoria. En 2021, Cloudflare reescribió el WAF de Cloudflare de Lua a Rust seguro para la memoria. Más  recientemente, Cloudflare presentó un nuevo proxy HTTP desarrollado internamente denominado Pingora, que asimismo nos permitió migrar de C no seguro para la memoria a Rust seguro para la memoria. Ambos proyectos son iniciativas de gran envergadura que no habrían sido posibles sin el soporte ejecutivo de nuestro equipo de liderazgo técnico.

Por defecto, nos adherimos al Modelo de madurez de Zero Trust de la CISA con la utilización del  conjunto de servicios de seguridad Zero Trust de Cloudflare, para evitar el acceso no autorizado a los datos, los recursos de desarrollo y otros servicios de Cloudflare. Minimizamos las suposiciones de confianza y requerimos una estricta verificación de la identidad para cada persona y dispositivo que intenta acceder a los recursos de Cloudflare, ya estén autoalojados o en la nube.

En Cloudflare, creemos que la seguridad Zero Trust es una arquitectura de seguridad imprescindible en el entorno actual, donde los ataques a la ciberseguridad son generalizados y los entornos de trabajo híbrido constituyen la nueva normalidad. Para ayudar a proteger a las pequeñas empresas hoy en día, tenemos un plan Zero Trust que ofrece los controles de seguridad esenciales necesarios para garantizar la protección de los empleados y las aplicaciones en línea y que está disponible de forma gratuita para hasta 50 usuarios.

No solo proporcionamos gratuitamente a los usuarios muchas herramientas de seguridad esenciales. Desde nuestros inicios, también hemos ayudado a impulsar a todo el sector a ofrecer mejores funciones de seguridad por defecto.

En 2014, durante la Semana aniversario de Cloudflare, anunciamos la encriptación gratuita para todos nuestros clientes con la presentación de Universal SSL. A continuación, en 2015, dimos un paso más y proporcionamos encriptación completa de todos los datos desde el navegador hasta el origen, de forma gratuita. Ahora, el resto del sector ha seguido nuestro ejemplo y la encriptación por defecto es el estándar para las aplicaciones de Internet.

En 2017 cumplimos 7 años, y durante la Semana aniversario nos sentimos orgullosos de anunciar la mitigación de DDoS ilimitada. El servicio absorbe y mitiga los ataques DDoS a gran escala sin cargos a los clientes por el exceso de ancho de banda consumido durante un ataque. Con ese anuncio, eliminamos el estándar del sector del aumento de precios durante ataques DDoS.

En 2021, anunciamos un protocolo denominado MIGP (del inglés, "Might I Get Pwned") que permite a los usuarios comprobar si sus credenciales están en riesgo sin exponer información innecesaria en el proceso. Además del ID de bucket obtenido a partir de un prefijo del hash de tu correo electrónico, tus credenciales permanecen en tu dispositivo y nunca se envían (ni siquiera encriptadas) a través de Internet. Con anterioridad, la utilización de servicios de comprobación de credenciales podía resultar una vulnerabilidad en sí misma, filtrando información confidencial mientras comprobabas si tus credenciales estaban en riesgo.

Un año después, en 2022, Cloudflare trastocó de nuevo el sector al anunciar la disponibilidad de los conjuntos de reglas administradas del WAF (firewall de aplicaciones web) de forma gratuita para todos los planes de Cloudflare. WAF es un servicio responsable de la protección de las aplicaciones web contra los ataques maliciosos. Estos ataques tienen consecuencias importantes en Internet, sea cual sea el tamaño de una organización. Con la gratuidad del WAF, mejoramos la seguridad de Internet para todos.

Por último, a finales de 2023, tuvimos el placer de ayudar a liderar el sector ofreciendo la criptografía poscuántica de forma gratuita para todos nuestros clientes, independientemente de su nivel de plan.

Para proteger mejor a nuestros clientes, garantizamos que nuestros ajustes por defecto proporcionan una postura de seguridad eficaz desde el principio. Una vez que los usuarios se han familiarizado con estos ajustes, pueden modificar y configurar los ajustes como prefieran. Por ejemplo, Cloudflare implementa automáticamente el conjunto de reglas administradas gratuitas de Cloudflare en cualquier nueva zona de Cloudflare. El conjunto de reglas administradas incluye, entre otras, reglas Log4j, reglas Shellshock y reglas que correlacionan explotaciones WordPress muy comunes. Los clientes pueden desactivar el conjunto de reglas, si es necesario, o configurar el filtro de tráfico o reglas individuales. Para ofrecer un sistema aún más seguro por defecto, hemos creado también la solución WAF Attack Score basada en aprendizaje automático, que utiliza la IA para detectar las omisiones de las reglas administradas existentes y puede detectar las explotaciones de software antes de que se hagan públicas.

Como ejemplo adicional, todas las cuentas de Cloudflare se proporcionan por defecto con servicios de mitigación de DDoS ilimitada, para proteger las aplicaciones contra muchos de los ataques de Internet más comunes y difíciles de afrontar.

Otro ejemplo más: cuando los clientes utilizan nuestro almacenamiento R2, todos los objetos almacenados se encriptan en reposo. La encriptación y el descifrado se aplican automáticamente, su activación no requiere ninguna configuración del usuario, ni afecta al rendimiento de R2.

Asimismo, Cloudflare proporciona a todos nuestros clientes eficaces registros de auditoría. Los registros de auditoría resumen el historial de los cambios realizados en tu cuenta de Cloudflare. Incluyen acciones a nivel de cuenta como el inicio de sesión, así como cambios en la configuración de zona. Están disponibles en todos los tipos de plan y se capturan tanto para usuarios individuales como para organizaciones de muchos usuarios. Nuestros registros de auditoría están disponibles en todos los niveles de plan durante un periodo de 18 meses.

Asumir el máximo nivel de transparencia y rendición de cuentas significa enorgullecerse de ofrecer productos seguros y protegidos. La transparencia y el intercambio de información son fundamentales para la mejora y la evolución del sector de la seguridad, fomentando un entorno donde las empresas aprendan unas de otras y mejoren la seguridad del entorno en línea. Cloudflare muestra su transparencia de diversas formas, como indicamos a continuación.

En el blog de Cloudflare puedes encontrar información actualizada sobre nuestras funciones y mejoras, pero también acerca de los ataques de día cero que son relevantes para  todo el sector, como los históricos ataques HTTP/2 Rapid Reset detectados el año pasado. Somos transparentes y escribimos sobre los incidentes de seguridad importantes, como el incidente de seguridad del Día de Acción de Gracias de 2023, cuando explicamos en detalle qué sucedió, por qué sucedió y las medidas que tomamos para solucionarlo. Asimismo, desde nuestros inicios, en Cloudflare nos hemos esforzado por adoptar la máxima transparencia acerca de los incidentes que afectan a nuestros servicios, y seguimos aplicando este importante principio como uno de nuestros valores fundamentales. Esperamos que la información que compartimos pueda ayudar a otros a mejorar sus prácticas con el software.

Estado del sistema de Cloudflare es una página cuya finalidad es informar a los propietarios de los sitios web acerca del estado de los servicios de Cloudflare. Proporciona información sobre el estado actual de los servicios y sobre si están operando con normalidad. Si hay algún incidente en curso, la página de estado indica qué servicios están afectados, y ofrece detalles del problema. Además, los usuarios encontrarán información sobre las tareas de mantenimiento planificadas que podrían afectar a la disponibilidad de algunos servicios.

Creemos en la importancia de la utilización de la criptografía como un medio técnico de lograr transparencia mediante la verificación de la identidad y la integridad de los datos. Por ejemplo, en 2022, nos asociamos con WhatsApp para proporcionar un sistema para WhatsApp que garantiza a los usuarios la ejecución del código correcto, sin manipular, cuando visitan la versión web del servicio activando la extensión de verificación de código para confirmar automáticamente la integridad de hash. Es este proceso, y el hecho de que está automatizado en nombre del usuario, lo que ayuda a proporcionar transparencia de forma escalable. Si los propios usuarios tuvieran que recuperar, calcular y comparar los hash de forma manual, es probable que solo un pequeño porcentaje de los usuarios técnicos detectaran la manipulación.

También creemos que un elemento fundamental para ganarnos la confianza de nuestros clientes y mantenerla es ser transparentes acerca de las solicitudes que recibimos de las autoridades y otras entidades gubernamentales. Con este fin, Cloudflare publica actualizaciones semestrales de nuestro informe de transparencia acerca de las solicitudes que hemos recibido que requieren la divulgación de información sobre nuestros clientes.

Un elemento importante del informe de transparencia de Cloudflare son nuestros warrant canaries. Son un método para informar implícitamente a los usuarios de que no hemos realizado determinadas acciones ni recibido solicitudes específicas de las autoridades o de organismos gubernamentales, por ejemplo, entregar a nadie nuestras claves de encriptación o autenticación o las claves de encriptación o autenticación de nuestros clientes. De esta forma, podemos informar a nuestros usuarios acerca del estado de la privacidad y la seguridad de sus datos, al mismo tiempo que cumplimos las órdenes de las autoridades que prohíben revelar algunas de sus solicitudes. Puedes leer los warrant canaries de Cloudflare aquí.

Aunque los informes de transparencia y los warrant canaries no se mencionan explícitamente en los principios de seguridad por diseño de la CISA, creemos que son un aspecto importante en una empresa tecnológica transparente acerca de sus prácticas.

Te invitamos a contribuir a nuestros esfuerzos de seguridad participando en nuestra recompensa pública por la detección de errores que organiza HackerOne, donde puedes informar acerca de vulnerabilidades de Cloudflare y recibir una compensación económica por tu ayuda.

Con este principio, la seguridad está plenamente arraigada en los objetivos comerciales de Cloudflare. Debido a la estrecha relación entre seguridad y calidad, al mejorar la seguridad por defecto de un producto también mejora la calidad de todo el producto.

En Cloudflare, nuestra dedicación a la seguridad se refleja en la estructura de la empresa. Nuestro responsable de seguridad corporativa depende directamente de nuestro director general, y está presente en todas las reuniones de la junta directiva. Esto permite a los miembros de la junta estar adecuadamente informados acerca del panorama de ciberseguridad actual y destaca la importancia de las iniciativas de la empresa para mejorar la seguridad.

Además, nuestros ingenieros de seguridad forman parte de la organización de I+D principal, y su trabajo, como el de nuestros ingenieros de sistemas, es una parte integral de nuestros productos. Por lo tanto, nuestros ingenieros de seguridad pueden integrar la seguridad en el ciclo de vida de desarrollo de software en lugar de añadirla posteriormente.

Si eres un fabricante de software, te animamos a familiarizarte con los principios de seguridad por diseño de la CISA y a crear un plan para implementarlos en tu empresa.

Como usuario, te animamos a participar en los programas de recompensas por la detección de errores (como la recompensa pública HackerOne de Cloudflare) y a fomentar el conocimiento en ciberseguridad en tu comunidad.

Ayudemos a mejorar Internet.

El éxito del phishing depende de que el atacante parezca un usuario auténtico. A lo largo de los años, hemos observado dos formas diferenciadas de autenticidad: autenticidad visual y autenticidad organizacional. Los ataques visualmente auténticos utilizan logotipos, imágenes y elementos similares para generar confianza. En cambio, las campañas organizacionalmente auténticas utilizan la dinámica empresarial y las relaciones sociales para lograr el éxito. Los atacantes pueden usar los LLM para que sus correos electrónicos parezcan más auténticos de distintas formas. Una técnica habitual es que los atacantes utilicen los LLM para traducir y revisar los correos electrónicos que han escrito en mensajes más convincentes superficialmente. Los ataques más sofisticados combinan los LLM con datos personales obtenidos de cuentas vulneradas para escribir mensajes personalizados y auténticos de cara a la organización.

Por ejemplo, WormGPT puede recrear un correo electrónico mal redactado para mejorar la gramática, la fluidez y la voz. El resultado es un mensaje fluido y bien escrito que puede pasar más fácilmente por auténtico. Se incentiva a los ciberdelincuentes en foros de discusión a crear borradores en su lengua materna y dejar que el LLM haga su trabajo.

Entre las formas de ataque de phishing que se benefician de los LLM, y que pueden tener un impacto financiero devastador, encontramos los ataques al correo electrónico corporativo (BEC). Durante estos ataques, los ciberdelincuentes intentan engañar a sus víctimas para que envíen el pago de facturas fraudulentas. Los LLM pueden ayudar a que estos mensajes parezcan más auténticos desde el punto de vista de la organización. Si bien los ataques BEC son la máxima prioridad para las organizaciones que desean detener las transacciones no autorizadas de fondos, los LLM también se pueden utilizar para elaborar otros tipos de mensajes de phishing.

Sin embargo, estos mensajes elaborados con LLM siguen dependiendo de que el usuario realice una acción, como leer una factura fraudulenta o interactuar con un enlace, que no puede falsificarse tan fácilmente. Cada correo electrónico redactado con LLM sigue siendo un correo electrónico, que contiene una serie de señales como la reputación del remitente, patrones de correspondencia y metadatos agrupados con cada mensaje. Con la estrategia y las herramientas de mitigación adecuadas, los ataques creados con los LLM pueden detenerse de forma fiable.

Si bien la popularidad de ChatGPT ha puesto a los LLM en el punto de mira recientemente, este tipo de modelos no es nuevo. Cloudflare lleva años entrenando sus modelos para defenderse de los ataques creados con los LLM. La capacidad de nuestros modelos para examinar todos los componentes de un correo electrónico garantiza la protección presente y futura de los clientes de Cloudflare, porque los sistemas de aprendizaje automático que nuestros equipos de investigación de amenazas han desarrollado analizando miles de millones de mensajes no se dejan engañar por correos electrónicos bien redactados.

Los ataques generados por IA más peligrosos se personalizan en función de los datos recopilados antes del ataque. Los ciberdelincuentes recopilan esta información durante el hackeo tradicional de cuentas e iteran a través de este proceso. Una vez que tienen suficiente información para llevar a cabo su ataque, proceden. Es muy selectivo y específico. La ventaja de la IA es la escala de las operaciones. Sin embargo, es necesario recopilar datos de forma masiva para crear mensajes que suplanten con precisión a la víctima que el atacante está fingiendo ser.

Aunque los ataques generados por IA pueden tener ventajas en cuanto a personalización y escalabilidad, su eficacia depende de su capacidad para disponer de muestras suficientes que garanticen la autenticidad. Los atacantes tradicionales también pueden emplear tácticas de ingeniería social para lograr resultados similares, aunque sin la eficacia y la escalabilidad de la IA. Sigue habiendo limitaciones relacionadas principalmente con la capacidad para identificar la oportunidad y el momento propicio para lanzar el ataque, como comentaremos en la siguiente sección, independientemente de la tecnología utilizada.

Para defenderse de estos ataques, las organizaciones deben adoptar un enfoque multicapa de la ciberseguridad, que incluye la formación para la concienciación de los empleados, el uso de sistemas avanzados de detección de amenazas que utilicen IA y técnicas tradicionales, y la actualización constante de las prácticas de seguridad para protegerse tanto de la IA como de los ataques de phishing tradicionales.

Los ciberdelincuentes pueden utilizar la IA para generar ataques, pero tienen sus inconvenientes. El cuello de botella en el número de ataques que pueden realizar con éxito es directamente proporcional al número de oportunidades que tienen a su disposición, y a los datos de que disponen para elaborar mensajes convincentes. Necesitan el acceso y la oportunidad, y sin ambos los ataques no tienen muchas probabilidades de éxito.

Los ataques BEC son prioritarios para las organizaciones porque pueden permitir a los atacantes robar una cantidad significativa de fondos del objetivo. Dado que los ataques BEC se basan principalmente en texto, puede parecer que los LLM están dejando el camino totalmente libre a los atacantes. Sin embargo, la realidad es muy distinta. El principal obstáculo que limita esta propuesta es la oportunidad. Definimos la oportunidad como una ventana en el tiempo en la que los acontecimientos se alinean para permitir que una condición que puede ser vulnerada, se vulnere. Por ejemplo, un atacante podría utilizar los datos de una fuga para identificar una oportunidad en el plan de pagos a proveedores de una empresa. Un atacante puede tener los motivos, los medios y los recursos para llevar a cabo un ataque BEC que parezca auténtico, pero sin la oportunidad, fracasaría. Aunque hemos observado que los ciberdelincuentes intentan lanzar ataques volumétricos esencialmente de manera espontánea, estos ataques no son satisfactorios la gran mayoría de las veces. Ello coincide con la premisa de los ataques BEC, ya que en estos ataques entra en juego algún componente de ingeniería social.

Como analogía, si alguien entrara en tu negocio y te exigiera el pago de 20 000 dólares sin ningún contexto, una persona en sus cabales no pagaría. Un ataque BEC fructífero necesitaría saltarse este paso de validación y verificación, en el que los LLM pueden ofrecer poca ayuda. Aunque los LLM pueden generar texto que parezca convincentemente auténtico, no pueden establecer una relación comercial con una empresa ni emitir una factura que sea auténtica en apariencia y estilo, igual a las que se utilizan. Los pagos de mayor cuantía realizados en un ataque BEC son producto no solo de la vulnerabilidad de cuentas, sino también de facturas, estas últimas necesarias para que el atacante pueda proporcionar facturas convincentes y fraudulentas a las víctimas.

En Cloudflare, estamos en una situación única para proporcionar este análisis, ya que nuestros productos de seguridad del correo electrónico examinan cientos de millones de mensajes cada mes. Los análisis de estos ataques nos han permitido descubrir otras tendencias, además del texto, que constituyen un ataque BEC, y nuestros datos sugieren que la gran mayoría de los ataques BEC utilizan cuentas vulneradas. Los atacantes con acceso a una cuenta vulnerada pueden recopilar datos para elaborar mensajes más auténticos que pueden eludir la mayoría de los controles de seguridad porque proceden de una dirección de correo electrónico válida. En el último año, el 80 % de los ataques BEC de 10 000 dólares o más usaron cuentas vulneradas. De ellos, el 75 % supuso la apropiación de hilos y la redirección a dominios recién registrados. Estos resultados coinciden con las observaciones de que la gran mayoría de los ataques "fructíferos", es decir, aquellos en los que el atacante vulneró con éxito su objetivo, aprovecha un dominio de aspecto parecido al dominio legítimo. La mayoría de las veces, el registro de este dominio fraudulento es reciente. También observamos que el 55 % de estos mensajes que implicaron pagos de más de 10 000 dólares intentaron cambiar los detalles del pago de ACH.

A continuación podemos ver un ejemplo de cómo se pueden agrupar estas técnicas en un ataque BEC.

El texto del mensaje no contiene errores gramaticales y es fácilmente legible, pero nuestros modelos de análisis de sentimiento se activaron en el texto y detectaron que había una sensación de urgencia en combinación con una factura, un patrón habitual empleado por los atacantes. Sin embargo, hay muchas otras cosas en este mensaje que activaron modelos diferentes. Por ejemplo, el atacante finge ser de PricewaterhouseCoopers, pero hay una falta de coincidencia en el dominio desde el que se envió este correo electrónico. También observamos que el dominio remitente se ha registrado recientemente, lo que nos alerta de que este mensaje puede no ser legítimo. Por último, uno de nuestros modelos genera un gráfico social único para cada cliente, basado en sus patrones de comunicación. Este gráfico proporciona información sobre con quién se comunica cada usuario y sobre qué. Este modelo detectó que, dado el historial reciente de esta comunicación, este mensaje no era normal. Todas las señales anteriores, más los resultados de nuestros modelos de análisis de sentimiento, llevaron a nuestro motor de análisis a concluir que se trataba de un mensaje malicioso y a no permitir que el destinatario de este mensaje realizara cualquier tipo de interacción.

La IA generativa sigue cambiando y mejorando, por lo que aún queda mucho por descubrir en este campo. Aunque la llegada de los ataques BEC creados por IA puede provocar un aumento del número de ataques que se ven en el mundo real, no esperamos que su tasa de éxito aumente para las organizaciones que cuentan con soluciones y procesos de seguridad sólidos.

En agosto del año pasado, publicamos nuestro Informe sobre phishing 2023. Ese año, Cloudflare procesó aproximadamente 13 000 millones de correos electrónicos, de los cuales bloqueó aproximadamente 250 millones de mensajes maliciosos para que no llegaran a las bandejas de entrada de los clientes. Aunque fue el año del ChatGPT, nuestros análisis sugieren que los ataques siguen girando en torno a vectores tradicionales, como los enlaces maliciosos.

La mayoría de los atacantes siguen intentando que los usuarios hagan clic en un enlace o descarguen un archivo peligroso. Y como ya hemos comentado, aunque la IA generativa puede ayudar a crear un mensaje legible y convincente, no puede ayudar a los atacantes a ofuscar estos aspectos de su ataque.

Los modelos de seguridad de correo electrónico de Cloudflare adoptan un enfoque sofisticado para examinar cada enlace y archivo adjunto que encuentran. Los enlaces se rastrean y examinan basándose en información sobre el propio dominio, así como en elementos de la página y la marca. Nuestros rastreadores también comprueban los campos de entrada para ver si el enlace podría robar las credenciales. En el caso de los atacantes que esconden sus enlaces peligrosos en redireccionamientos o bloqueos geográficos, nuestros rastreadores pueden aprovechar la red de Cloudflare para sortear cualquier obstáculo que se les presente.

Nuestros sistemas de detección son igualmente rigurosos en el tratamiento de los archivos adjuntos. Por ejemplo, saben que se pueden falsificar ciertas partes de un archivo adjunto, pero otras no. Así que nuestros sistemas extraen los archivos adjuntos en sus componentes primitivos y comprueban si hay anomalías en ellos. Esto nos permite buscar archivos maliciosos con más precisión que los espacios aislados tradicionales, que los atacantes pueden eludir.

Los atacantes pueden utilizar los LLM para elaborar un mensaje más convincente y conseguir que los usuarios realicen determinadas acciones, pero nuestras capacidades de análisis detectan el contenido malicioso e impiden que el usuario interactúe con el mismo.

Los correos electrónicos contienen información más allá del cuerpo y el asunto del mensaje. Nos gusta pensar que la creación de detecciones brinda a los correos electrónicos propiedades mutables e inmutables. Las propiedades mutables, como el cuerpo del texto, se pueden falsificar fácilmente, mientras que la falsificación de propiedades mutables, como la dirección IP del remitente, exige más esfuerzo. Sin embargo, hay propiedades inmutables como la antigüedad del dominio del remitente y la similitud del dominio con marcas conocidas que no se pueden alterar en absoluto. Por ejemplo, veamos un mensaje que he recibido.

Ejemplo de contenido de correo electrónico

Aunque el mensaje anterior es lo que ve el usuario, es una pequeña parte del contenido más amplio del correo electrónico. A continuación se muestra un fragmento de los encabezados del mensaje. Esta información suele ser inútil para un destinatario (y la mayor parte no se muestra por defecto), pero contiene un tesoro oculto de información para nosotros que brindamos protección. Por ejemplo, nuestras detecciones pueden ver todas las comprobaciones preliminares de DMARC, SPF y DKIM. Estas nos permiten saber si se autorizó el envío de este correo electrónico en nombre del supuesto remitente y si se modificó antes de llegar a nuestra bandeja de entrada. Nuestros modelos también pueden ver la dirección IP cliente del remitente y utilizarla para comprobar su reputación. También podemos ver desde qué dominio se envió el correo electrónico y comprobar si coincide con la marca incluida en el mensaje.

Ejemplo de encabezados del mensaje

Como puedes ver, el cuerpo y el asunto de un mensaje son una pequeña parte de lo que hace que un correo electrónico sea un correo electrónico. Los análisis de los correos electrónicos permiten que nuestros modelos examinen de manera integral todos los aspectos de un mensaje para hacer una evaluación de su seguridad. Algunos de nuestros modelos centran su análisis en el cuerpo del mensaje en busca de indicadores como el sentimiento, pero la evaluación final del riesgo del mensaje se realiza conjuntamente con modelos que evalúan todos los aspectos del correo electrónico. Toda esta información se pone a disposición de los profesionales de la seguridad que utilizan nuestros productos.

Nuestra filosofía de utilizar numerosos modelos entrenados en diferentes propiedades de los mensajes culmina en lo que llamamos nuestro motor SPARSE. En el informe "Forrester Wave™ for Enterprise Email Security 2023", los analistas mencionaron nuestra capacidad para detectar correos electrónicos de phishing utilizando nuestro motor SPARSE. "Cloudflare utiliza su enfoque de rastreo preventivo para identificar la infraestructura de las campañas de phishing según se va desarrollando. Su motor SPARSE (Small Pattern Analytics Engine) combina numerosos modelos de aprendizaje automático, incluido el modelado de lenguaje natural, el análisis de sentimiento y estructural, y los gráficos de confianza". ¹

Nuestro motor SPARSE se actualiza continuamente utilizando los mensajes que observamos. Dada nuestra capacidad para analizar miles de millones de mensajes al año, podemos detectar tendencias con mayor antelación y aplicarlas en nuestros modelos para mejorar su eficacia. Un ejemplo reciente de esta dinámica es cuando observamos a finales de 2023 un aumento de los ataques a códigos QR. Los atacantes implementaron diferentes técnicas para ofuscar el código QR, de modo que los escáneres de reconocimiento óptico de caracteres (OCR) no podían escanear la imagen, pero las cámaras de los teléfonos móviles dirijían al usuario al enlace malicioso. Estas técnicas incluían hacer la imagen increíblemente pequeña para que no fuera clara para los escáneres o imágenes con desplazamiento de píxeles. Sin embargo, cuando aplicamos estos mensajes en nuestros modelos, los entrenamos para que tuvieran en cuenta todas las cualidades de los correos electrónicos enviados desde esas campañas. Con esta combinación de datos, pudimos crear detecciones para capturar estas campañas antes de que llegaran a las bandejas de entrada de los clientes.

Nuestro enfoque del análisis preventivo nos hace resistentes a las oscilaciones del comportamiento de los ciberdelincuentes. Aunque el uso de LLM es una herramienta que los atacantes implementan con más frecuencia en la actualidad, habrá otras en el futuro, pero también podremos proteger a nuestros clientes de esas amenazas.

La protección de las bandejas de entrada del correo electrónico es una tarea difícil, dadas las formas creativas en que los atacantes intentan suplantar a los usuarios. Este campo está en constante evolución y seguirá cambiando drásticamente a medida que las nuevas tecnologías sean accesibles al público. Tendencias como el uso de la IA generativa seguirán cambiando, pero nuestra metodología y enfoque para crear detecciones de correo electrónico garantizan la protección de nuestros clientes.

Si estás interesado en saber cómo funciona Cloud Email Security de Cloudflare para proteger a tu organización frente a las amenazas de phishing, ponte en contacto con tu equipo de Cloudflare y programa una evaluación gratuita del riesgo de phishing. Si eres cliente de Microsoft 365, también puedes ejecutar nuestra función Retro Scan complementaria para ver los correos electrónicos de phishing que tu solución actual ha pasado por alto. Puedes encontrar más información al respecto en nuestra entrada del blog.

¿Quieres saber más sobre nuestra solución? Regístrate para conseguir una evaluación de riesgo de phishing adicional.

[1] Source: The Forrester Wave™: Enterprise Email Security, Q2, 2023

The Forrester Wave™ is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change.

Hoy anunciamos un asistente de IA que te ayudará a consultar tus datos relacionados con los eventos de seguridad, con el que podrás descubrir más rápido las anomalías y los potenciales ataques a la seguridad. Ahora puedes utilizar el lenguaje natural para realizar preguntas a los análisis de Cloudflare y nosotros nos encargamos del resto.

Una de las mayores dificultades al analizar un pico de tráfico o cualquier anomalía de tu tráfico es crear los filtros para aislar la causa del problema. Esto implica saber manejar paneles de control y herramientas a menudo complejos, y saber dónde hacer clic y qué filtrar.

Además, lo que te puede ofrecer cualquier panel de control de seguridad tradicional se ve limitado por cómo estén almacenados tus datos, cómo estén indexadas las bases de datos y qué campos se permitan al crear los filtros. Con nuestra vista de los análisis de seguridad, por ejemplo, era difícil comparar series temporales con distintas características. Por ejemplo, no podías comparar el tráfico de la dirección IP x.x.x.x con el tráfico automatizado de Alemania sin abrir varias pestañas de los análisis de seguridad y filtrarlas por separado. Desde una perspectiva de la ingeniería, sería sumamente complicado desarrollar un sistema que permitiera estos tipos de comparaciones sin restricciones.

Con AI Assistant, eliminamos esta complejidad utilizando nuestra plataforma Workers AI para desarrollar una herramienta que puede ayudarte a consultar tu solicitud HTTP y tus datos de eventos de seguridad, así como a generar gráficos de series temporales basados en una solicitud elaborada con lenguaje natural. Ahora AI Assistant se ocupa de la compleja tarea de averiguar cuáles son los filtros necesarios, y también puede representar varias series de datos en un solo gráfico para facilitar las comparaciones. Esto ofrece nuevas posibilidades de examinar los datos y los registros, sin las restricciones de los paneles de control tradicionales.

Ahora es más fácil que nunca obtener datos eficaces sobre la seguridad de tus aplicaciones utilizando lenguaje natural para consultar tus datos y comprender mejor cómo Cloudflare protege tu negocio. El nuevo AI Assistant se encuentra en el panel de control de análisis de seguridad y funciona de manera eficaz con los filtros existentes. Obtén las respuestas que necesitas con una simple pregunta.

Para demostrar las funcionalidades de AI Assistant, hemos empezado considerando las preguntas que nos planteamos nosotros mismos a diario cuando ayudamos a los clientes a implementar las mejores soluciones de seguridad para sus aplicaciones.

Para ayudarte a empezar, hemos incluido en el panel de control algunos ejemplos en los que puedes hacer clic.

Con AI Assistant puedes:

• Identificar la fuente de un pico del tráfico de ataques. Pregunta: "Compare attack traffic between US and UK" (Compara el tráfico de ataques entre EE. UU. y el Reino Unido).

• Identificar la causa de errores 5xx. Pregunta: "Compare origin and edge 5xx errors” (Compara los errores 5XX en el origen y en el perímetro).

• Ver qué navegadores utilizan tus usuarios más habitualmente. Pregunta: "Compare traffic across major web browsers" (Compara el tráfico de los principales navegadores web).

• Comprender qué porcentaje de usuarios visitan vs. añaden artículos a su carrito de compra (en un sitio de comercio electrónico). Pregunta: "Compare traffic between /api/login and /api/basket" (Compara el tráfico entre /api/login y /api/basket).

• Identificar los ataques de bots contra tu sitio de comercio electrónico. Pregunta: “Show requests to /api/basket with a bot score less than 20" (Muestra las solicitudes enviadas a /api/basket con una puntuación de bots inferior a 20).

• Identificar las versiones de HTTP que utilizan los clientes. Pregunta: "Compare traffic by each HTTP version" (Compara el tráfico de cada versión de HTTP).

• Identificar el tráfico automatizado no deseado a puntos finales específicos. Pregunta: “Show POST requests to /admin with a Bot Score over 30" (Muestra las solicitudes POST a /admin con una puntuación de bots superior a 30).

Puedes empezar a explorar AI Assistant con estas preguntas.

Con la potente plataforma de inferencia de red global de Cloudflare Workers AI, hemos podido utilizar uno de los modelos de lenguaje de gran tamaño listos para usar que ofrece la plataforma para convertir las consultas de los clientes en filtros GraphQL. Enseñando a un modelo de IA los filtros disponibles que tenemos en nuestro conjunto de datos GraphQL de análisis de seguridad, podemos conseguir que el modelo de IA convierta una solicitud como "Compare attack traffic on /api and /admin endpoints" (Compara el tráfico de ataques en los puntos finales /api y /admin) en un conjunto coincidente de filtros estructurados:

A continuación, utilizando los filtros que proporciona el modelo de IA, podemos realizar solicitudes a nuestras API GraphQL, recopilar los datos necesarios y representar una visualización de datos que responda a la consulta del cliente.

```
[
  {“name”: “Attack Traffic on /api”, “filters”: [{“key”: “clientRequestPath”, “operator”: “eq”, “value”: “/api”}, {“key”: “wafAttackScoreClass”, “operator”: “eq”, “value”: “attack”}]},
  {“name”: “Attack Traffic on /admin”, “filters”: [{“key”: “clientRequestPath”, “operator”: “eq”, “value”: “/admin”}, {“key”: “wafAttackScoreClass”, “operator”: “eq”, “value”: “attack”}]}
]
```

Mediante este método, podemos garantizar la privacidad de la información de los clientes y evitar exponer los datos de los análisis de seguridad al propio modelo de IA, al mismo tiempo que los usuarios humanos pueden consultar sus datos fácilmente. Esto garantiza que tus consultas nunca se utilizarán para entrenar el modelo. Puesto que Workers AI aloja una instancia local del modelo de lenguaje de gran tamaño en la propia red de Cloudflare, tus consultas y los datos resultantes nunca saldrán de la red de Cloudflare.

Estamos en las primeras etapas del desarrollo de esta funcionalidad, y tenemos previsto ampliar rápidamente las funciones de AI Assistant para los análisis de seguridad. No te sorprenda que al principio no podamos manejar algunas de tus solicitudes. En el momento de su lanzamiento, podemos admitir consultas básicas, como "show me" (muéstrame) o "compare" (compara), que se pueden representar en un gráfico de series temporales para cualquier campo que actualmente admita filtros.

Sin embargo, somos conscientes de que hay una serie de casos de uso en los que ni siquiera hemos pensado, pero nos complace lanzar la versión Beta de AI Assistant para todos los clientes de los planes Business y Enterprise para que puedan probar esta función y ver lo que pueden hacer con ella. Nos encantaría conocer tu opinión y saber más sobre lo que te parece útil y lo que te gustaría ver a continuación. Con las futuras versiones, podrás realizar preguntas como "Did I experience any attacks yesterday?" (¿Sufrí ayer algún ataque?) y utilizar la IA para generar automáticamente reglas de WAF que puedas aplicar para mitigar estos ataques.

A partir de hoy, AI Assistant está disponible para algunos usuarios, y se implementará en todos los clientes de los planes Business y Enterprise a lo largo del mes de marzo. Sigue atento y pruébalo gratis. Dinos qué te parece mediante el enlace Comentarios en la parte superior de la página de análisis de seguridad.

El precio definitivo se determinará antes de la disponibilidad general.

Observamos cómo los ataques de phishing y la ingeniería social son cada vez más sofisticados, ya que los ciberdelincuentes aprovechan las nuevas y eficaces herramientas para generar contenido creíble o para interactuar con los usuarios humanos como si se tratara de una persona real. Los ciberdelincuentes pueden utilizar la IA para desarrollar herramientas especializadas para atacar sitios determinados con el objetivo de robar datos privados y suplantar cuentas de usuario.

Para proteger contra estos nuevos desafíos necesitamos herramientas de seguridad nuevas y sofisticadas: con esta finalidad ha nacido la IA defensiva. La IA defensiva es el marco que utiliza Cloudflare para analizar cómo los sistemas inteligentes pueden mejorar la eficacia de nuestras soluciones de seguridad. La clave de la IA defensiva son los datos que genera la vasta red de Cloudflare, ya sean generales de toda nuestra red o específicos del tráfico de un cliente individual.

En Cloudflare, utilizamos la IA para mejorar el nivel de protección en todos los ámbitos de la seguridad, ya se trate de la seguridad para las aplicaciones o la seguridad del correo electrónico y de nuestra plataforma Zero Trust. Esto incluye crear una protección personalizada para cada cliente para la seguridad de las API o del correo electrónico, o utilizar nuestra gran cantidad de datos sobre ataques para entrenar los modelos para la detección de ataques a las aplicaciones aún no descubiertos.

En las secciones siguientes mostraremos algunos ejemplos de cómo hemos diseñado la última generación de productos de seguridad que utilizan la IA para proteger contra los ataques basados en IA.

Las API impulsan la web moderna, que abarca un 57 % de tráfico dinámico a través de la red de Cloudflare, lo que supone un incremento respecto al 52 % en 2021. Aunque las API no son una tecnología nueva, su protección difiere de la de una aplicación web tradicional. Puesto que ofrecen por diseño un acceso programático fácil y su popularidad va al alza, las API son el nuevo objetivo de los estafadores y ciberdelincuentes. Ahora los equipos de seguridad deben combatir esta amenaza creciente. En gran medida, la finalidad y el uso de cada API suelen ser únicos, y por lo tanto protegerlas puede requerir una cantidad desorbitada de tiempo.

Cloudflare anuncia el desarrollo de la detección de anomalías de API para API Gateway con el objetivo de proteger las API contra los ataques diseñados para dañar las aplicaciones, suplantar cuentas o exfiltrar datos. API Gateway ofrece una capa de protección entre tus API alojadas y cada dispositivo que interactúe con ellas, proporcionándote las herramientas de visibilidad,  control y seguridad que necesitas para gestionar tus API.

La detección de anomalías de API es una función, disponible próximamente, de nuestro conjunto de productos API Gateway, basada en el aprendizaje automático, y una sucesora natural de Sequence Analytics. Para proteger las API a escala, la detección de anomalías de API aprende la lógica empresarial de una aplicación mediante el análisis de las secuencias de solicitudes de API de los clientes. A continuación, crea un modelo de una secuencia de solicitudes esperadas para esa aplicación. El modelo de tráfico resultante se utiliza para identificar los ataques que se desvían del comportamiento esperado de un cliente. Como resultado, API Gateway puede utilizar su funcionalidad Mitigación de la secuencia para aplicar el modelo aprendido de la lógica empresarial esperada de la aplicación, deteniendo los ataques.

La detección de anomalías de API aún está en desarrollo, pero los clientes de API Gateway pueden inscribirse aquí para acceder a la versión beta de la detección de anomalías de API. Los clientes pueden empezar hoy mismo a utilizar las funciones Sequence Analytics y de mitigación de la secuencia consultando la documentación. Los clientes del plan Enterprise que no hayan adquirido API Gateway pueden iniciar una prueba en el panel de control de Cloudflare, o bien ponerse en contacto con su administrador de cuenta para obtener más información.

Otro ámbito en el que la IA mejora la seguridad es en nuestro firewall de aplicaciones web (WAF). Cloudflare procesa de media 55 millones de solicitudes HTTP por segundo y tiene una visibilidad incomparable de los ataques y las explotaciones que se producen en todo el mundo y que tienen como objetivo una gran variedad de aplicaciones.

Uno de los grandes desafíos del WAF es cómo añadir protección para las nuevas vulnerabilidades y los falsos positivos. Un WAF es un conjunto de reglas diseñadas para identificar los ataques dirigidos a las aplicaciones web. Se descubren nuevas vulnerabilidades a diario, y en Cloudflare contamos con un equipo de analistas de seguridad que crean nuevas reglas cada vez que se descubren vulnerabilidades. Sin embargo, la creación manual de las reglas requiere tiempo (normalmente, horas), por lo que las aplicaciones siguen desprotegidas hasta que se aplica dicha protección. El otro problema es que los ciberdelincuentes desarrollan y modifican constantemente las cargas de ataque existentes que pueden potencialmente omitir las reglas existentes.

Por este motivo, Cloudflare lleva años utilizando los modelos de aprendizaje automático que aprenden continuamente de los últimos ataques, implementando mitigaciones sin necesidad de crear reglas manualmente. Puedes ver esto, por ejemplo, en nuestra solución WAF Attack Score. WAF Attack Score se basa en un modelo de aprendizaje automático entrenado con tráfico de ataques identificado en la red de Cloudflare. El clasificador resultante nos permite identificar las variaciones y las omisiones de ataques existentes, así como ampliar la protección a los ataques nuevos y no descubiertos. Recientemente, hemos puesto Attack Score a disposición de todos los clientes de los planes Enterprise y Business.

Attack Score utiliza la IA para clasificar cada solicitud HTTP según la probabilidad de que esta sea maliciosa.

Aunque la contribución de los analistas de seguridad es indispensable, en la era de la IA y las cargas de ataque en rápida evolución, una postura de seguridad eficaz requiere soluciones que no dependan de operadores humanos para escribir reglas para cada nueva amenaza. La combinación de Attack Score con las reglas tradicionales basadas en firmas es un ejemplo de cómo los sistemas inteligentes pueden facilitar las tareas que realizan los usuarios humanos. Attack Score identifica las nuevas cargas malintencionadas que pueden utilizar los analistas para optimizar las reglas que, a su vez, proporcionan mejores datos de entrenamiento para nuestros modelos de IA. Esto crea un bucle de retroalimentación positiva de refuerzo que mejora la protección global y el tiempo de respuesta de nuestro WAF.

A largo plazo, adaptaremos el modelo de IA para tener en cuenta las características de tráfico específicas de los clientes e identificar así mejor las desviaciones del tráfico normal y legítimo.

El correo electrónico es uno de los vectores más efectivos que utilizan los ciberdelincuentes. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE. UU. indica que el 90 % de los ciberataques se inician con phishing, y la seguridad del correo electrónico de Cloudflare marcó en 2023 el 2,6 % de los correos electrónicos como maliciosos. Debido al aumento de los ataques impulsados por la IA, los proveedores tradicionales de seguridad del correo electrónico se han quedado obsoletos, ya  que ahora los ciberdelincuentes pueden redactar correos electrónicos de phishing más creíbles que nunca que no contienen, o apenas contienen, errores de lenguaje.

La seguridad del correo electrónico de Cloudflare es un servicio nativo de nube que evita los ataques de phishing en todos los vectores de ataque. El producto de seguridad del correo electrónico de Cloudflare continúa protegiendo a sus clientes con sus modelos de IA, incluso cuando tendencias como la IA generativa siguen evolucionando. Los modelos de Cloudflare analizan todos los elementos de un ataque de phishing para determinar el riesgo que representan para el usuario final. Algunos de nuestros modelos de IA están personalizados para cada cliente, mientras que otros se entrenan de forma integral. La privacidad es primordial en Cloudflare, por lo que nuestras herramientas de entrenamiento no utilizan información de identificación personal. En 2023, Cloudflare procesó unos 13 000 millones de correos electrónicos, y bloqueó 3400 millones, proporcionando al producto de seguridad de correo electrónico un extenso conjunto de datos que se puede utilizar para entrenar los modelos de IA.

Dos detecciones que forman parte de nuestra cartera de productos son Honeycomb y Labyrinth.

• Honeycomb es un modelo patentado de reputación de dominio de remitente de correo electrónico. Este servicio traza un gráfico de quién envía mensajes y crea un modelo para determinar el riesgo. Los modelos se entrenan con patrones de tráfico específicos de los clientes, por lo que cada cliente tiene modelos de IA entrenados con lo que debe ser su tráfico legítimo.

• Labyrinth utiliza el aprendizaje automático para proteger a cada cliente individualmente. Los ciberdelincuentes intentan suplantar correos electrónicos de empresas asociadas válidas de nuestros clientes. Para cada uno de nuestros clientes podemos recopilar una lista con estadísticas de remitentes de correo electrónico legítimos y conocidos. A continuación, podemos detectar los intentos de suplantación cuando alguien envía el correo electrónico desde un dominio no verificado, pero el dominio mencionado en el mismo correo electrónico es un dominio de referencia/verificado.

La IA sigue siendo el pilar de nuestro producto de seguridad del correo electrónico, y continuamos mejorando constantemente cómo utilizarla en nuestro producto. Si quieres saber más sobre cómo utilizamos nuestros modelos de IA para evitar los ataques de phishing impulsados por la IA, consulta nuestra publicación del blog aquí.

Cloudflare Zero Trust proporciona a los administradores las herramientas necesarias para proteger el acceso a su infraestructura informática aplicando una estricta verificación de identidad para cada persona y dispositivo, independientemente de si se encuentran dentro o fuera del perímetro de red.

Uno de los mayores desafíos es aplicar un estricto control del acceso al mismo tiempo que se reduce la fricción que suponen las verificaciones frecuentes. Las soluciones existentes también añaden presión a los equipos informáticos, que necesitan analizar los datos de registro para ver cómo evoluciona el riesgo en su infraestructura. Cribar una gran cantidad de datos en busca de ataques poco frecuentes requiere equipos muy grandes y presupuestos importantes.

Cloudflare simplifica este proceso con la puntuación de riesgo del usuario según su comportamiento. Con la IA, analizamos los datos en tiempo real para identificar las anomalías en el comportamiento de los usuarios e indicadores que pudieran causar daños a la organización. Esto ofrece a los administradores recomendaciones acerca de cómo personalizar la postura de seguridad según el comportamiento de los usuarios.

La puntuación de riesgo del usuario Zero Trust detecta la actividad y los comportamientos de los usuarios que podrían representar un riesgo para tus organizaciones, tus sistemas y tus datos, y asigna una puntuación baja, media o alta a cada usuario. Esta estrategia se denomina a veces Análisis de comportamiento de usuarios y entidades (UEBA), y permite a los equipos detectar y remediar cuentas en riesgo, violaciones de políticas de la empresa y otras actividades de riesgo.

El primer comportamiento contextual que lanzamos es "viaje imposible", que ayuda a identificar si las credenciales de un usuario se están utilizando en dos ubicaciones a las que el usuario no podría haberse desplazado en ese plazo de tiempo. En el futuro podremos ampliar aún más estas puntuaciones de riesgo para señalar riesgos de comportamiento personalizados en función de información contextual, como patrones de uso y patrones de acceso según la hora del día, a fin de marcar cualquier comportamiento anómalo. Asimismo, puesto que todo el tráfico se redireccionaría a través de tu SWG, esto se puede ampliar a los recursos a los que se esté accediendo, como un repositorio interno de la empresa.

En el transcurso de esta semana presentaremos un interesante lanzamiento. Echa un vistazo a este blog para saber más.

Desde la seguridad para las aplicaciones a la seguridad del correo electrónico, pasando por la seguridad de la red y Zero Trust, observamos cómo los ciberdelincuentes utilizan las nuevas tecnologías para ser más efectivos a la hora de alcanzar sus objetivos. En los últimos años, muchos equipos de ingeniería y de productos de Cloudflare han adoptado los sistemas inteligentes para identificar mejor los abusos y ampliar la protección.

Además de la tendencia de la IA generativa, la IA ya es una herramienta esencial de nuestra estrategia para proteger los activos digitales contra los ataques y disuadir a los ciberdelincuentes.

El año pasado me reuní con más de cien clientes en eventos como nuestra conferencia Cloudflare Connect en Londres, Chicago, Sídney y Nueva York. En Davos hablé con ejecutivos, expertos en políticas y líderes mundiales. Y he mantenido un diálogo ininterrumpido con colegas dedicados a la seguridad del sector tecnológico y de otros sectores. Todos los responsables de seguridad están de acuerdo acerca de cuáles son los puntos débiles y las preocupaciones de los directores de seguridad de la información, sea cual sea su región geográfica y su sector, ya sean de empresas emergentes o de grandes empresas de la lista Fortune 500.

En el transcurso de esta semana anunciaremos nuevos productos, inspirados en estas conversaciones, que responden a las dificultades comunes que afrontan los directores de seguridad de la información en todo el mundo. Abordaremos muchos aspectos de estas preocupaciones sobre seguridad, que abarcan desde la seguridad de las aplicaciones a la protección de los empleados y la infraestructura en la nube. También compartiremos historias de cómo hacemos las cosas en Cloudflare, así como algunas publicaciones del blog sobre liderazgo intelectual.

Como responsable de seguridad corporativa durante más de 20 años para algunas de las empresas más grandes y complejas del mundo, me sentí atraído por la rápida innovación, su posición única en el mercado y la red global que ofrece Cloudflare. Si analizo en retrospectiva mi primer año en Cloudflare, creo que mis conversaciones con los clientes me han permitido mejorar como responsable de seguridad corporativa. Compartir mis propias dificultades y escuchar a otros me ha permitido comprender mejor cuestiones complejas de las que nosotros, Cloudflare, podemos aprender y adoptar.

Los pilares fundamentales de mi organización son: proteger Cloudflare, fomentar la innovación y compartir "Cómo lo hacemos en Cloudflare".  Mi equipo es el cliente cero: el primero que utiliza los productos de Cloudflare y colabora en las necesidades de las organizaciones de seguridad. Nuestras Innovation Week son sin duda una de las principales características de Cloudflare, y me siento sumamente orgulloso de poder inaugurar la Security Week 2024 anunciando una serie de interesantes nuevos productos y funciones.

Tras mis conversaciones con directores de seguridad de la información y profesionales de la seguridad, surgen tres desafíos principales: responder a los riesgos y las oportunidades de la IA, garantizar la visibilidad y el control mientras la tecnología en la nube cambia rápidamente, y cómo consolidar las tecnologías para gestionar con eficacia el presupuesto de informática y de seguridad.

Uno de los principales temas que he escuchado en Davos es cómo los líderes mundiales pueden abordar las problemas globales urgentes. Como sociedad, afrontamos diversos desafíos, que van desde el medioambiente al  esfuerzo constante por mantener las democracias en funcionamiento. El papel de Internet nunca ha sido tan crucial como ahora, y creo que garantizar su funcionamiento y mejorar su seguridad es una responsabilidad colectiva.

Nuestros equipos de productos y de ingeniería han estado trabajando para ofrecer un conjunto de soluciones que respondan a estos desafíos y, en última instancia, ayuden a mejorar Internet.

No resulta ninguna sorpresa que la IA sea el principal tema de conversación. En Davos, la IA fue el tema más común en todos los sectores, y la principal preocupación fue la protección y la seguridad de nuestras inversiones. Como líderes en la inferencia de la IA, nuestros equipos de ingeniería y de productos han estado trabajando arduamente para desarrollar una forma de proteger nuestros propios modelos y aplicaciones de IA, así como los de nuestros clientes.

Esta semana nuestros equipos de productos anunciarán herramientas para proteger las aplicaciones en la era de la IA, así como funciones de IA que ayudarán a nuestros clientes a simplificar su interacción con nuestros análisis.

Como director de seguridad, la protección de los datos es una función clave que se complica cuando los usuarios pueden decidir utilizar servicios de IA sin comprender los riesgos. Esta semana presentaremos algunas novedades que abordan cómo evitar la fuga de datos en el uso de la IA, y cómo puedes utilizar la IA contra el phishing impulsado por la IA.

Por último, también compartiremos nuestra filosofía acerca de cómo puedes utilizar la IA para mejorar el nivel de protección y seguridad contra ataques cada vez más sofisticados.

Los programas de seguridad eficaces se centran en reducir la complejidad, aumentar la visibilidad y ofrecer funciones de alerta eficaces. Un mensaje contundente para 2024 es la seguridad por diseño, en lugar de la seguridad integrada posteriormente. La seguridad por diseño parece fácil, pero resulta más compleja para aquellos que ya contamos con sistemas existentes.

Aunque la mayoría no puede permitirse el lujo de empezar desde cero, muchos están logrando este objetivo, abandonando herramientas heredadas, como las herramientas de almacenamiento externas, y al mismo tiempo mejorando la visibilidad y el control.

Hay nuevas formas de proteger y conectar los entornos multinube con una gestión de políticas coherente. Nuestro equipo compartirá muchos nuevos lanzamientos en los que están trabajando, y una adquisición reciente, todo ello para responder a este desafío que todos afrontamos.

Año tras año se pide a los responsables de seguridad que hagan más con menos.  Puesto que la incertidumbre económica continúa en 2024, las restricciones presupuestarias nos obligan a todos a analizar con ojo crítico nuestras soluciones de seguridad en busca de valor y simplicidad. Todos buscamos estrategias que no solo reduzcan los costes, sino que también simplifiquen la complejidad y mejoren la postura de seguridad eliminando la posibilidad de error humano. Los directores de seguridad de la información que considero que triunfan en este entorno han desarrollado programas basados en la simplificación. Las migraciones a la nube y las implementaciones de la arquitectura Zero Trust han hecho a muchos plantearse si estas transformaciones han cumplido la promesa de la simplificación y la escala. Mi propia experiencia con Zero Trust me ha permitido apreciar el enfoque de Cloudflare de abandonar las arquitecturas de seguridad costosas y complejas.

2024 será un año decisivo para Internet. Los conflictos geopolíticos y las elecciones en todo el mundo se analizan para conocer su impacto en los distintos sectores.  Esta semana compartiremos cómo hemos utilizado nuestras eficaces plataformas para respaldar nuestra misión de ayudar a mejorar Internet y proteger la democracia en todo el mundo y los eventos internacionales a gran escala.

Las Innovation Week son una fantástica tradición en Cloudflare, durante las cuales lanzamos nuevas funciones y compartimos nuevas formas de resolver los desafíos que nos comentan nuestros clientes. No es de extrañar que la Security Week sea mi favorita. Espero que te proporcione algo que haga tu trabajo un poco más fácil.