Seguridad de sitios web

Conoce los detalles sobre cómo los productos de Cloudflare protegen tus activos y elige la configuración de seguridad que más se adapte a tus necesidades.

Seguridad de la cuenta

Implementar una postura de seguridad eficaz para tu cuenta de Cloudflare es un paso importante para garantizar la seguridad general de tu sitio web. La autenticación en dos fases (2FA) mejora la seguridad de la cuenta, ya que solicita información adicional para validar tu identidad cuando inicias sesión.

Sigue estas instrucciones para activar la autenticación en dos fases inscribiéndote a través de tu aplicación de autenticación móvil preferida. Guarda una copia de los códigos de recuperación en un lugar seguro para evitar que tu cuenta se bloquee.

Notificaciones

Gestiona tus notificaciones para definir de qué y cómo quieres que se te avise. Recomendamos habilitar:

  • Alertas de supervisión pasiva del servidor de origen: recibe una notificación cuando tu servidor web de origen sea inaccesible desde nuestra red perimetral durante al menos 5 minutos para que puedas solucionar rápidamente el problema.
  • Alertas DDoS HTTPS: inscríbete para recibir un correo electrónico en tiempo real cuando Cloudflare detecte y mitigue automáticamente un ataque DDoS contra tu propiedad de Internet.
  • Alertas de eventos de seguridad: recibe una alerta en las dos horas siguientes a la detección de un pico de eventos relacionados con el firewall en todos los servicios de Cloudflare que generan entradas de registro asociadas.
Más información

Gestión de registros DNS

Dns hero illustration

Cuando utilizas el DNS de Cloudflare, nuestra red global Anycast responde todas las consultas de DNS para tu dominio. Los registros DNS ayudan a comunicar información sobre tu dominio a los visitantes y a otros servicios web.

Con Cloudflare DNS, puedes gestionar todos los registros de tu sitio web en la pestaña DNS. Echa un vistazo a nuestra guía del panel de control de Cloudflare con las opciones disponibles.

Dns hero illustration

Nube naranja vs. nube gris

Registar domain protection spot illustration

Un símbolo de nube naranja significa que el tráfico hacia ese nombre de servidor se ejecuta a través de Cloudflare. De este modo, se habilitan funciones que te permiten ocultar la dirección IP de tu servidor de origen, almacenar en caché, y funciones como SSL y el firewall de aplicaciones web (WAF). Recomendamos activar la nube naranja para los registros A, AAAA y CNAME.

Una nube gris significa que Cloudflare anunciará esos registros en DNS, pero todo el tráfico se dirigirá a tu servidor de origen y no a través de Cloudflare. Esta práctica es útil en algunos contextos, como los registros que no sean A, AAAA o CNAME, si estás tratando de validar un servicio con un registro o el tráfico no web, incluido el correo y FTP. Si tienes problemas con un registro en Cloudflare, puedes detener Cloudflare para ese registro poniendo una nube gris en la pestaña DNS.

Si tienes problemas con los correos electrónicos que no se pueden entregar desde que te incorporaste a la red de Cloudflare, activa una nube gris en los registros DNS utilizados para recibir el correo en la pestaña DNS. La configuración por defecto de Cloudflare solo permite conexiones proxy del tráfico HTTP e interrumpirá el tráfico de correo.

Más información
Registar domain protection spot illustration

Oculta la dirección IP de tu servidor de origen

Cloudflare ofrece una amplia variedad de funciones para detectar y bloquear el tráfico malicioso. Sin embargo, si usuarios malintencionados encuentran la dirección IP de tu servidor, que es donde se alojan tus recursos reales, podrían enviar tráfico o atacar directamente a los servidores.

Estudia la posibilidad de adoptar medidas para evitar la filtración de esta información:

  1. Revisa los registros DNS de tu(s) zona(s). Si es posible, mantén todos tus subdominios en Cloudflare y comprueba los registros SPF y TXT para obtener información del servidor de origen.
  2. No alojes un servicio de correo en el mismo servidor que el recurso web que deseas proteger, ya que los correos electrónicos enviados a direcciones inexistentes son devueltos al atacante y revelan la dirección IP del servidor de correo.
  3. Asegúrate de que tu servidor web no se conecta a direcciones arbitrarias proporcionadas por los usuarios.
  4. Una vez que estés a bordo de Cloudflare, alterna tus direcciones IP de origen, ya que los registros DNS son de dominio público. Los registros históricos se conservan y contienen las direcciones IP anteriores a tu incorporación a Cloudflare.

Habilita DNSSEC

Sustitución de VPN - Tres usuarios con capa de seguridad

DNSSEC crea un sistema de nombres de dominio seguro añadiendo firmas criptográficas a los registros DNS existentes. Estas firmas digitales se almacenan en los servidores de nombres DNS junto a los tipos de registros más comunes como A, AAAA, MX y CNAME.

Al comprobar su firma asociada, puedes verificar que un registro DNS solicitado procede de su servidor de nombres autorizado y no ha sido alterado en el camino, a diferencia de un registro falso introducido en un ataque en ruta.

Recomendamos activar DNSSEC para añadir una capa de autenticación sobre tu DNS para los dominios en Cloudflare.

Sustitución de VPN - Tres usuarios con capa de seguridad

Habilita la encriptación SSL

Los certificados SSL cifran la información de los usuarios y los mantienen seguros en Internet. Sin embargo, la configuración manual de SSL exige varios pasos, y los errores de configuración pueden impedir que los usuarios lleguen a tu sitio web.

Con Cloudflare, puedes habilitar HTTPS con un solo clic. Ofrecemos certificados de perímetro y certificados de servidor de origen.

  • Certificados de perímetro: por defecto, emitimos y renovamos certificados SSL gratuitos, no compartidos y de confianza pública para todos los dominios de Cloudflare. Tu dominio debería recibir automáticamente su certificado SSL universal en las 24 horas siguientes a la activación del dominio. Recomendamos activar el modo Completo o Completo (estricto) en la configuración para garantizar la confidencialidad de los datos en tu sitio.
  • Autoridad de certificación de origen (CA): utiliza estos certificados para cifrar el tráfico entre Cloudflare y tu servidor web de origen. Una vez implementados, estos certificados son compatibles con el modo SSL estricto.
Empezar

Protégete con un WAF

Al implementar un firewall de aplicaciones web (WAF), puedes decidir permitir o no tipos de tráfico entrante y saliente a través de un conjunto de reglas (conocidas a menudo como "políticas"). Los WAF protegen de ataques de inyección de código SQL, scripting entre sitios y falsificación entre sitios, entre otros.

Nuestro WAF ofrece protección automática y la flexibilidad de crear reglas personalizadas:

  • Reglas de limitación de velocidad: define los límites de velocidad para las solicitudes entrantes que coincidan con una expresión, y la acción a realizar cuando se alcancen dichos límites.
  • Conjuntos de reglas administradas del WAF: habilita las políticas preconfiguradas para obtener una protección inmediata, incluso contra las vulnerabilidades avanzadas de día cero.
  • Comprobación de credenciales expuestas: supervisa y bloquea el uso de credenciales robadas/expuestas para la apropiación de cuentas.
  • Análisis del firewall: investiga las amenazas a la seguridad y adapta las configuraciones de seguridad en función del registro de actividad.
Leer documentación para desarrolladores

Consejos de configuración del WAF

Ilustración simplificada de apoyo para configuraciones

Cuando utilices conjuntos de reglas administradas:

  • Habilita solo los grupos de reglas que correspondan a tu pila tecnológica. Por ejemplo, si utilizas WordPress, habilita el grupo Cloudflare WordPress. También puedes crear reglas personalizadas.
  • Recomendamos activar el WAF y habilitar Cloudflare Specials para protegerte automáticamente de los últimos vectores de ataque.
Ilustración simplificada de apoyo para configuraciones

Conoce los conceptos básicos del almacenamiento en caché

El almacenamiento en caché es el proceso de guardar copias de archivos en una ubicación de almacenamiento temporal para poder acceder a ellos rápidamente. Los navegadores web almacenan los archivos HTML, JavaScript e imágenes para acelerar los tiempos de carga, mientras que los servidores DNS almacenan los registros DNS para agilizar las búsquedas. Por último, los servidores CDN almacenan en caché el contenido para reducir la latencia.

TTL de la caché del navegador y TTL de la caché del perímetro

teams-gateway-speedup-cost-down

Estas importantes funciones ayudan a proteger tu sitio y a garantizar que el contenido esté actualizado.

  • TTL (Tiempo de vida) de la caché del perímetro especifica cuánto tiempo se almacena en caché un recurso en nuestra red perimetral. Puedes configurar el tiempo que mantenemos el recurso en caché antes de solicitarlo de nuevo al origen.
  • TTL de la caché del navegador establece la caducidad de los recursos almacenados en caché en el navegador de un visitante.

Por ejemplo, si estás actualizando una página de resultados electorales con recursos que almacenamos en caché automáticamente cada 20 minutos, configura el TTL de la caché del perímetro en 20 minutos, y el TTL de la caché del navegador en 1 minuto para que los usuarios tengan datos nuevos. O bien, puedes purgar manualmente la caché por URL de archivo o por nombre de servidor cada vez que actualices el archivo.

Personalizar la configuración de la caché
teams-gateway-speedup-cost-down