Desde su fundación, Cloudflare ha desempeñado un papel fundamental en la protección de sitios web contra los ataques de denegación de servicio distribuido (DDoS). En 2017, la compañía implementó funciones de 'mitigación sin límites', ofreciendo protección contra los DDoS a todos sus clientes, incluso aquellos con planes gratuitos.
Con esta iniciativa buscaba democratizar la seguridad online, permitiendo que cualquier sitio web, independientemente de su tamaño o presupuesto, pudiera estar a salvo de estos ataques.
Cloudflare protege actualmente cerca del 20% de todos los sitios web a nivel mundial
Durante los últimos años, la amenaza de los ataques DDoS se ha intensificado en términos de volumen y sofisticación: en 2024, Cloudflare informó haber mitigado un total de 21,3 millones de ataques DDoS a lo largo del año, lo que representa un aumento del 53% en comparación con el año anterior (y equivale a un promedio de 4.870 ataques bloqueados por hora).
Uno de los eventos más destacados fue la mitigación del mayor ataque DDoS registrado hasta ese momento: uno que alcanzó un pico de 5,6 terabits por segundo (Tbps), lanzado por una variante del botnet Mirai y dirigido a un proveedor de servicios de Internet en Asia Oriental. La plataforma detectó y neutralizó el ataque en segundos, evitando interrupciones en el servicio.
Además, la compañía observó un aumento significativo en los ataques "hipervolumétricos", aquellos que superan los 1 Tbps: en el cuarto trimestre de 2024, se registraron más de 420 de estos ataques (lo que representa un incremento del 1.885% con respecto al trimestre anterior).
Un nuevo récord
Sin embargo, el 24 de abril de 2025, Cloudflare volvió a demostrar por qué es uno de los pilares fundamentales de la ciberseguridad global: sus sistemas neutralizaron automáticamente el que ahora ya es el mayor ataque DDoS registrado hasta la fecha, con un pico de 5,8 Tbps.
Lo más impresionante es que la mitigación se produjo sin intervención humana y sin que los servicios protegidos por la plataforma sufrieran interrupciones. Matthew Prince, CEO de Cloudflare, compartió los detalles en su cuenta de X, destacando la capacidad de sus sistemas para absorber el 'golpe' sin siquiera inmutarse.
¿Y aquí en España?
Este evento, por otra parte, se produce en medio de la creciente controversia en nuestro país España por los bloqueos masivos ordenados por LaLiga contra miles de webs alojadas en Cloudflare, perfectamente legítimas pero a las que se mete en el mismo saco (por compartir dirección IP) que a algunas emisiones no autorizadas de eventos deportivos que también se encuentran tras el escudo anti-DDoS de Cloudflare.
La retórica de LaLiga, y especialmente de su presidente, Javier Tebas, ha sido especialmente negativa contra Cloudflare (a pesar de que sus bloqueos afectan a muchos proveedores más), acusando a esta plataforma de ser cómplice de
"actividades ilegales como el proxenetismo, prostitución, pornografía, comercialización de falsificaciones, fraude y estafa, entre otras".
Muchas de esas webs, tras ver cómo sus ganancias se desplomaban tras ser bloqueadas una jornada liguera tras otra (la mitad del mes, en el mejor de los casos), han terminado renunciando en muchos casos al servicio de protección anti-DDoS que les brindaba gratuitamente Cloudflare, lo que ahora les obliga a realizar gastos extra para obtener protección anti-DDoS por otras vías o, sencillamente, quedar expuestos a los mismos.
Tuit reciente del responsable de la empresa de diseño web Nexo Virtual José Ángel Martínez, fundador de NinjaLabs, explicaba a los compañeros de Xataka la situación de muchos clientes tras haber dado este paso:
"Sus servidores consumen entonces muchos más recursos, porque tienen que con peticiones de bots que llegan de todos lados y que normalmente quedarían frenados por el servicio de Cloudflare. De repente, las necesidades de infraestructura suben, y encima los intentos por gestionar bots pueden acabar bloqueando tráfico legítimo. Una verdadera pesadilla".
Recientemente, una nueva decisión judicial ha vuelto a respaldar a LaLiga en su enfrentamiento contra Cloudflare, al rechazar las peticiones de nulidad presentadas por la compañía tecnológica (y por RootedCON) contra la legalidad de los bloqueos masivos. En su decisión, el juez declaró 'no probado' que se haya causado daños directos a terceros, y señaló a las operadoras (y no a los bloqueados) como 'afectados' por la sentencia original.
Hace ocho años, en una entrevista a Vice, el CEO de Cloudflare vaticinaba que los ataques DDOS terminarían siendo "algo sobre lo que solo leerás en los libros de historia", y hablaba de la desigualdad que los usuarios experimentaban ante los mismos:
"No debemos crear un sistema de justicia paralela en el que un único individuo, sólo porque está molesto con alguien, puede cerrar sitios web. Lo que estamos tratando de hacer es decir 'independientemente de cuáles sean tus recursos, vamos a mantenerte online".
Imagen | Marcos Merino mediante IA
-
La noticia Cloudflare ha frenado el mayor ataque DDoS de la historia. Las webs bloqueadas por LaLiga perderían esa brutal protección si lo abandonan fue publicada originalmente en Genbeta por Marcos Merino .
☞ El artículo completo original de Marcos Merino lo puedes ver aquí
