Cloudflare destaca públicamente que «no aloja contenido» en su CDN de paso y remite todas las quejas a los hosts de origen, pero los críticos afirman que esto permite a los delincuentes colarse por las rendijas. Por ejemplo, los propios informes de transparencia de Cloudflare documentan las retiradas legales y de la DMCA, pero no dicen nada sobre la frecuencia con la que bloquea el contenido abusivo. Este artículo expondrá casos concretos de abusos sin control, destacará los análisis de expertos sobre las políticas opacas de Cloudflare y explicará por qué estas lagunas deberían preocupar a los responsables políticos y a los investigadores de ciberseguridad en el marco de nuevas normas como la NIS2 y la Ley de Servicios Digitales de la UE.
Delincuentes que viven de la infraestructura de Cloudflare
Los ciberdelincuentes explotan habitualmente los servicios de Cloudflare para ocultar sitios maliciosos. Spamhaus informa de que el 10,05 % de todos los dominios de su lista de dominios bloqueados están alojados en los servidores de Cloudflare, muy por encima de lo normal. En la práctica, los atacantes suelen transferir dominios ya maliciosos a los servidores de nombres de Cloudflare para ocultar la IP de origen. Como explica Spamhaus, Cloudflare «enmascara eficazmente la verdadera ubicación del backend» y simplemente transmite los informes de abuso a quien controla el sitio.
Esto significa que los informes de phishing o malware terminan en la bandeja de entrada del abusador o en manos de un proveedor de alojamiento indiferente. En consecuencia, muchas campañas de phishing y sitios de malware activos permanecen activos. Incluso cuando el abuso es evidente, los formularios de Cloudflare tienden a rechazar automáticamente o aplazar las denuncias. Por ejemplo, los investigadores de ciberseguridad de Excedo Networks señalan que las denuncias de abuso enviadas a Cloudflare a menudo solo reciben respuestas predefinidas del tipo «no se puede confirmar», lo que permite que las páginas fraudulentas sigan activas. En resumen, la enorme red CDN y DNS de Cloudflare se ha convertido en un servicio de «alojamiento a prueba de balas» para los delincuentes, un escudo implícito que oculta su infraestructura a los defensores.
Una cobertura «neutral en cuanto al contenido»
Cloudflare insiste en que solo proporciona una infraestructura neutral y no puede eliminar contenido que no aloja. Siguiendo esta lógica, remite las denuncias de abuso a los operadores de sitios web y a los proveedores de alojamiento, en lugar de tomar medidas directas. Sin embargo, en la práctica, los críticos afirman que esta política es egoísta. Spamhaus la califica sin rodeos de «problemática» y señala que, al negarse a controlar el contenido, Cloudflare está facilitando de hecho un entorno de alojamiento a prueba de balas en el que solo son visibles las propias direcciones IP de Cloudflare.
El organismo de control del spam señala que este enfoque es barato para Cloudflare («el coste de hacer frente a los abusos es muy bajo»), pero «debilita la confianza y la seguridad» en Internet. En efecto, la escala de Cloudflare le permite eludir su responsabilidad: los abusos se producen «fuera del sitio», por lo que Cloudflare no interviene a menos que se vea obligado legalmente o bajo una presión pública extrema. Solo en casos excepcionales y de gran repercusión (por ejemplo, foros extremistas) Cloudflare ha terminado finalmente por suspender el servicio, e incluso eso solo después de recibir críticas demoledoras.
Transparencia opaca, acciones ocultas
Cloudflare publica informes de transparencia semestrales, pero estos no revelan casi nada sobre los resultados de sus medidas contra los abusos. Como señalan los analistas de Lawfare, los informes de Cloudflare se centran únicamente en las solicitudes de eliminación legales (como las notificaciones de la DMCA) y omiten cualquier dato sobre la moderación de contenidos. Por ejemplo, no hay constancia de cuántos sitios de phishing se han eliminado ni de cuántas denuncias de acoso o extremismo han dado lugar a medidas.
De hecho, «no hay forma de saber cómo se aplica la política de Cloudflare», explica el artículo de Lawfare. Salvo en el caso de unas pocas eliminaciones famosas (Daily Stormer, 8chan, Kiwi Farms), «el cómo, el porqué y el quién» de las decisiones de moderación de contenidos de Cloudflare siguen siendo completamente opacos. Mientras tanto, Cloudflare hace hincapié en que la mayoría de sus servicios son intermediarios «de paso», sujetos a unas normas de transparencia mínimas en virtud de la Ley de Servicios Digitales de la UE.
En otras palabras, como proveedor de infraestructura, tiene pocas obligaciones de informar sobre el tratamiento de los abusos, lo que crea un punto ciego normativo. Los expertos en seguridad advierten de que esta laguna podría entrar en conflicto con las nuevas leyes: por ejemplo, un análisis reciente sostiene que la «falta de transparencia» de Cloudflare y su posible acogida de malos actores pueden poner a los organismos públicos en conflicto con las normas de ciberseguridad NIS2 de la UE.
Implicaciones normativas y próximos pasos
El modelo de Cloudflare plantea cuestiones urgentes para los legisladores y los investigadores. En virtud de la NIS2 y la DSA, los principales servicios de Internet deben gestionar el riesgo y actuar con prontitud ante los contenidos ilegales. Sin embargo, el enfoque centrado en Estados Unidos y neutral en cuanto a contenidos de Cloudflare le permite eludir la mayoría de las obligaciones de retirada. Como se observa en un informe de la UE, el enorme alcance y el modelo de negocio de Cloudflare a veces superan las medidas de seguridad que se toman por iniciativa propia.
Por lo tanto, es posible que los responsables políticos tengan que replantearse dónde recae la responsabilidad: ¿deberían tratarse a los proveedores de CDN y DNS más como editores o como hosts cuando protegen a sabiendas sitios delictivos? Como mínimo, los expertos sostienen que se debería exigir a Cloudflare que publique métricas detalladas sobre las denuncias y medidas contra los abusos, y que coopere mejor con las fuerzas del orden. Sin esa rendición de cuentas, «los abusos no solo ocurren, sino que se facilitan».
Conclusión
Cloudflare ejerce un enorme poder sobre el tráfico de Internet, pero su actual gestión de los abusos le exime de toda responsabilidad. Por el interés público, los responsables políticos y los investigadores de seguridad deben presionar para lograr una mayor transparencia y supervisión. Solo así podremos garantizar que el papel fundamental de Cloudflare en la infraestructura no se vea socavado por una política de ignorar amenazas claras.
