Todos me preguntan lo mismo cuando ven mi infraestructura: «¿Pero no usas Cloudflare?» Mi respuesta corta: no. Mi respuesta larga: es complicado. Y este artículo es la respuesta larga.
Lo que Cloudflare hace bien
Voy a ser justo. Cloudflare es una herramienta impresionante.
Su red anycast cubre más de 300 ciudades. Su protección DDoS es genuina, no el «filtramos el tráfico malo» de otros, sino capacidad real para absorber ataques de varios terabits por segundo. Sus Workers son un entorno serverless sorprendentemente cómodo. Su DNS es rápido y fiable. Argo Tunnel te permite exponer servicios sin abrir puertos. R2 es almacenamiento object storage sin coste de egress.
Si tienes un proyecto pequeño, quieres dormir tranquilo y no te importa depender de un tercero, Cloudflare es una elección sensata.
Lo entiendo.
Pero hay cinco razones por las que yo no lo uso.
1. CLOUD Act: tu tráfico pasa por Estados Unidos
Cloudflare es una empresa estadounidense. Su sede está en San Francisco. Sus servidores están en todo el mundo, sí, pero la empresa está sujeta a la legislación de Estados Unidos.
Esto importa.
La CLOUD Act, aprobada en 2018, permite a las autoridades estadounidenses obligar a empresas americanas a entregar datos almacenados por ellas, independientemente de dónde estén físicamente esos datos. No necesitan un warrant extranjero. No necesitan cooperación con el país donde resides. Solo necesitan pedírselo a Cloudflare.
Da igual que tu servidor esté en Barcelona. Da igual que tus usuarios sean europeos. Si el tráfico pasa por los PoPs de Cloudflare en Virginia o San José, esa información está bajo jurisdicción estadounidense.
Si procesas datos de ciudadanos europeos, nombres, emails, historiales, lo que sea, esto es un problema bajo RGPD. Y bajo NIS2, si eres un operador esencial, la evaluación de riesgos tiene que incluir proveedores terceros. Cloudflare tiene que estar en esa evaluación.
Yo prefiero que mis datos no estén bajo esa espada.
2. Punto único de fallo con pedigree
El 20% del tráfico web mundial pasa por Cloudflare.
Cuando Cloudflare cae, no caen dos webs. Caen miles. En octubre de 2020, una actualización de configuración mal desplegada dejó fuera a millones de sitios durante 30 minutos. En junio de 2022, otra incidencia afectó a clientes en todo el mundo.
No es que Cloudflare sea malo gestionando incidencias. Es que cuando falla, el fallo es enorme.
Yo tengo capacidad para absorber ataques de 1 terabits por segundo en mi infraestructura. Sé lo que tengo. Sé lo que puedo asumir. Sé cuándo algo falla y por qué.
Delegar esa responsabilidad a un tercero significa que cuando Cloudflare tenga un mal día, mi sitio también lo tendrá, aunque mi servidor esté perfectamente.
Para un blog personal, esto es irrelevante. Para un negocio que depende del uptime, es un riesgo que hay que cuantificar.
3. Vendor lock-in con sonrisa de gratis
El plan gratuito de Cloudflare es un anzuelo.
Funciona bien. Te acostumbras. Empiezas a usar Workers. Luego R2 para archivos. Luego D1 como base de datos. Luego KV para caché. Cada servicio es bueno en aislamiento.
Juntos, forman un ecosistema propietario.
Migrar de Cloudflare Workers a un entorno serverless estándar (tipo AWS Lambda o cualquier otra cosa) no es trivial. Las APIs son específicas. El modelo de facturación es específico. Los límites son específicos.
Si solo usas el CDN básico, el lock-in es bajo. Puedes irte a BunnyCDN o tu propio Varnish en un VPS sin demasiado dolor.
Si usas Workers, R2, D1 y KV, estás dentro. Y Cloudflare lo sabe.
El gratis tiene un precio. Solo que no lo pagas en euros.
4. Privacidad: ven todo tu tráfico
Cloudflare ve cada petición que pasa por su red antes de cachearla.
Cada request. Cada URL. Cada user-agent. Cada cookie de sesión. Cada dato que un usuario te envía.
Su modelo de negocio incluye análisis de tráfico. Cloudflare Analytics, Cloudflare Radar, los informes de amenazas. Todo eso se alimenta de los datos que pasan por sus servidores.
Dicen que no guardan logs de larga duración. Pero procesan los datos en tiempo real. Y los datos procesados siguen siendo datos.
Para un blog personal sobre gatos, esto no importa.
Para una clínica que maneja historiales médicos, un bufete de abogados, una plataforma de empleo, un e-commerce con datos de tarjetas… importa mucho.
Yo prefiero que nadie vea mi tráfico excepto yo y mi servidor.
5. En Europa no necesitas una red global
Cloudflare tiene presencia global. Eso es su fortaleza.
Pero si tu audiencia es europea, como es mi caso, como es el caso de la mayoría de proyectos en español o catalán, la cobertura global no te da tanto.
BunnyCDN, por ejemplo, tiene más PoPs en Europa que Cloudflare. Es una empresa eslovena. Sus servidores están en Europa. No está bajo jurisdicción estadounidense. El precio es competitivo. La API es estándar.
Scaleway tiene edge locations en Francia y Países Bajos. OVH tiene su propia red de distribución. Tu propio VPS en un datacenter europeo, con Varnish o Nginx como reverse proxy, te da control total.
Para tráfico mayoritariamente europeo, un CDN europeo puede ser más rápido y más barato que Cloudflare. Y sin exposición a la CLOUD Act.
Cuándo sí usaría Cloudflare
No soy un purista idiota.
Si tuviera un proyecto pequeño sin recursos para gestionar mi propia infraestructura, Cloudflare sería una opción sensata. Su plan gratuito cubre mucho. Su DNS es mejor que el de la mayoría de registradores. Su protección DDoS básica es mejor que nada.
Si tuviera tráfico global masivo, usuarios en USA, Asia, Latinoamérica, la red de Cloudflare tiene sentido. Yo no la necesito. Otros sí.
Si mi modelo de negocio fuera serverless y quisiera iterar rápido, Workers es un entorno de desarrollo cómodo.
El problema no es Cloudflare en sí. El problema es usarla sin saber lo que implica.
La pregunta correcta
No es «¿Cloudflare sí o no?»
Es:
¿Cuánto control estás dispuesto a ceder a una empresa estadounidense para obtener X funcionalidad?
Yo prefiero controlar mi stack. Mis certificados los firmo yo con Let’s Encrypt, renovados automáticamente. Mi DNS lo resuelvo yo con Unbound. Mi protección DDoS está en casa, literalmente, en un datacenter de Barcelona. Mis datos no pasan por servidores en Virginia.
Otros prefieren la comodidad. Contratan Cloudflare y se olvidan.
Ningún enfoque es objetivamente mejor. Solo hay que saber lo que se elige.
Y saberlo significa leer la letra pequeña.
Deja una respuesta