_general.jpg?v=63910151579)
Cloudflare desactiva el acceso no cifrado a su API para prevenir filtraciones
Adiós definitivo a HTTP en la API de Cloudflare. El gigante de las redes ha anunciado el bloqueo total de las conexiones no cifradas hacia su interfaz de programación de aplicaciones. Desde ahora, cualquier intento de conexión mediante HTTP será rechazado de forma inmediata, sin posibilidad de redirección o respuesta de error. “A partir de […] La entrada Cloudflare desactiva el acceso no cifrado a su API para prevenir filtraciones es original de MuySeguridad. Seguridad informática.
Adiós definitivo a HTTP en la API de Cloudflare. El gigante de las redes ha anunciado el bloqueo total de las conexiones no cifradas hacia su interfaz de programación de aplicaciones. Desde ahora, cualquier intento de conexión mediante HTTP será rechazado de forma inmediata, sin posibilidad de redirección o respuesta de error.
“A partir de hoy, cualquier conexión no cifrada con api.cloudflare.com será completamente rechazada”, informó la compañía en el blog oficial.
El objetivo: eliminar cualquier posibilidad de que datos sensibles -como tokens de autenticación o claves API- queden expuestos en texto claro, especialmente en entornos vulnerables como redes Wi-Fi públicas. Hasta ahora, las conexiones HTTP eran redirigidas o bloqueadas con un código 403, pero Cloudflare reconoce que incluso en esos casos existía el riesgo de filtración antes de que el servidor cerrara la conexión.
Con esta decisión, Cloudflare elimina el protocolo inseguro en su raíz: cierra los puertos HTTP directamente en la capa de transporte, lo que impide que se establezca cualquier canal que no sea HTTPS. Para desarrolladores, administradores de sistemas y herramientas automatizadas que utilizan su API —ya sea para gestionar registros DNS, configurar reglas de firewall, desplegar infraestructuras o aplicar políticas de Zero Trust—, esto supone un cambio inmediato.
La medida afectará directamente a scripts, bots y dispositivos IoT mal configurados que aún dependen de HTTP. También a clientes antiguos o herramientas personalizadas que no fueron diseñadas para priorizar conexiones seguras.
Próximo paso: extender el modelo al tráfico web
Cloudflare planea aplicar una estrategia similar a los sitios web alojados en su plataforma. Hacia finales de año, ofrecerá una opción gratuita que permitirá desactivar el tráfico HTTP de forma segura, sin interrumpir la disponibilidad.
Según sus propios datos, aproximadamente el 2,4% del tráfico que atraviesa su red aún utiliza HTTP. Cuando se incluye el tráfico automatizado, la cifra sube hasta el 17%. Para quienes consideren adoptar este nuevo enfoque, el panel de control de Cloudflare ya permite consultar la proporción de tráfico cifrado bajo Analytics & Logs > Traffic Served Over SSL.
La entrada Cloudflare desactiva el acceso no cifrado a su API para prevenir filtraciones es original de MuySeguridad. Seguridad informática.
