Cloudflare, uno de los gigantes en proveer servicios de internet a nivel global, ha dado un paso decisivo en pro de la seguridad digital al anunciar un cambio inmediato en su plataforma API. A partir de ahora, se permitirán exclusivamente conexiones cifradas con HTTPS, dejando completamente bloqueadas las solicitudes a través de HTTP. Esta medida busca fortalecer las defensas cibernéticas y evitar la transmisión no intencionada de credenciales por canales vulnerables.
La política actualizada afecta directamente a la plataforma api.cloudflare.com, lo que representa un cambio significativo para muchos desarrolladores, scripts, bots y herramientas que aún dependían de conexiones HTTP. En este nuevo esquema, cualquier intento de enlace mediante HTTP no recibirá respuesta alguna; Cloudflare ha optado por no redirigir estas solicitudes a HTTPS ni enviar códigos de error como el 403 Forbidden. Sencillamente, el puerto 80 dejará de procesar datos, lo que imposibilita la creación de conexiones.
Hasta esta modificación, la plataforma de Cloudflare admitía solicitudes HTTP, redirigiéndolas de manera automática a HTTPS. Sin embargo, la firma ha determinado que este método ya no es lo suficientemente seguro, optando por eliminar la compatibilidad con HTTP para prevenir futuras vulnerabilidades.
El impacto de esta medida recae directamente sobre los desarrolladores que utilizan la API de Cloudflare para tareas como la gestión de configuraciones de DNS, la activación o desactivación de funciones, y la modificación de nombres de dominio. Por lo tanto, deberán garantizar que todas sus herramientas y procesos automatizados operen exclusivamente a través de conexiones HTTPS.
Esta decisión de Cloudflare no es arbitraria; la empresa ha identificado que, a pesar del avance hacia protocolos más seguros, aproximadamente el 2,4 % del tráfico en su plataforma se realiza a través de HTTP. En el caso de tráfico automatizado, la cifra es aún más alarmante, con un 17 % operando bajo este protocolo no seguro. Esto pone de relieve la prevalencia de sistemas heredados, dispositivos IoT y procesos automáticos que no se han actualizado para cumplir con los estándares más seguros.
Para abordar posibles complicaciones que puedan surgir a raíz de configuraciones anticuadas o sistemas desactualizados, Cloudflare ha anunciado que antes de concluir el año lanzará una opción gratuita para desactivar el tráfico HTTP de forma más controlada y segura. Esta solución se enfocará principalmente en entornos que dependen de dispositivos de bajo nivel o aquellos que no tienen soporte nativo para HTTPS.
Con esta nueva política, Cloudflare reafirma su compromiso con la seguridad, instando al ecosistema de desarrolladores a adoptar prácticas más seguras y responsables en la gestión de datos sensibles y conexiones API. La empresa continúa su misión de fomentar un entorno digital más seguro y confiable mediante la eliminación de puntos de vulnerabilidad críticos.
