Netcrook Logo
👤 SECPULSE
🗓️ 20 Jan 2026  

Firewall Caído: La Falla de Certificados de Cloudflare Expuso Millones de Servidores de Origen

Un sutil error en la lógica de validación ACME de Cloudflare estuvo a punto de convertir su escudo en un colador, dejando incontables servidores web expuestos a ataques sigilosos - hasta que una advertencia de un hacker ético forzó una rápida solución.

Imagina refugiarte tras los muros de una fortaleza, solo para descubrir un túnel oculto que permite a los intrusos deslizarse justo más allá de tus defensas. Eso es exactamente lo que les sucedió a miles de sitios web que confiaban en Cloudflare, el gigante de la seguridad en internet, cuando una falla en su sistema de validación de certificados amenazó silenciosamente con permitir que atacantes eludieran sus potentes escudos web y accedieran directamente a los servidores de origen sensibles. El error, descubierto por la firma de seguridad FearsOff, puso en riesgo la seguridad de innumerables sitios - hasta que un parche veloz tapó la brecha. Pero, ¿cómo pudo ocurrir un desliz tan silencioso en uno de los guardianes más confiables de la web?

Anatomía de una Puerta Trasera de Certificados

En el corazón de la seguridad web, los certificados SSL/TLS garantizan conexiones cifradas y confiables. Para simplificar su gestión, Cloudflare emplea ACME - un protocolo que automatiza la emisión y renovación de estos certificados vitales. Normalmente, cuando una autoridad certificadora (CA) busca verificar un dominio, emite un desafío: coloca un token único en una URL específica y demuestra que controlas el sitio.

La red perimetral de Cloudflare está diseñada para interceptar estas solicitudes, validar los tokens y - crucialmente - desactivar su Firewall de Aplicaciones Web durante el proceso. ¿Por qué? Porque reglas de seguridad demasiado estrictas podrían bloquear verificaciones legítimas de certificados, provocando fallos en las renovaciones automáticas. Pero ahí residía el peligro: la lógica no confirmaba que el token de la solicitud entrante coincidiera realmente con un desafío activo y válido para el dominio en cuestión.

Este descuido significaba que un actor malicioso podía crear solicitudes a la ruta “/.well-known/acme-challenge/” con tokens arbitrarios. En lugar de bloquearlas, el sistema de Cloudflare las enviaba directamente al servidor de origen - sin protección del WAF. En efecto, los atacantes obtenían un túnel sigiloso a través de las formidables defensas de Cloudflare, con el potencial de acceder a archivos sensibles o buscar más debilidades en los propios servidores de origen.

El error, que acechaba silenciosamente en el proceso de validación ACME, fue detectado por Kirill Firsov de FearsOff. Advirtió que los atacantes podían explotar la falla usando tokens deterministas y de larga duración, permitiendo un reconocimiento persistente en todos los sitios alojados por Cloudflare. Por fortuna, la investigación de Cloudflare no halló señales de abuso real antes de la corrección.

El 27 de octubre de 2025, Cloudflare desplegó un parche: las funciones del WAF ahora solo se desactivan cuando una solicitud coincide con un token de desafío ACME HTTP-01 válido y activo para el hostname correcto. Las solicitudes arbitrarias vuelven a ser bloqueadas en la puerta.

Lecciones de un Túnel Silencioso

Este episodio subraya una dura verdad en ciberseguridad: incluso las mejores defensas pueden venirse abajo por sutiles errores de lógica. A medida que la infraestructura web se vuelve cada vez más compleja, la confianza debe verificarse constantemente - no solo entre usuarios y servidores, sino en lo más profundo del código que une la web. Para Cloudflare y sus millones de clientes, fue un llamado de atención - y un recordatorio de que la vigilancia es el precio de la seguridad en línea.

WIKICROOK

  • Servidor de origen: Un servidor de origen es el servidor principal que aloja los datos originales de un sitio web, respondiendo a solicitudes directamente o a través de intermediarios como proxies y CDNs.
  • Firewall de Aplicaciones Web (WAF): Un Firewall de Aplicaciones Web (WAF) monitorea y filtra el tráfico web, bloqueando patrones de ataque conocidos para proteger aplicaciones web de amenazas cibernéticas.
  • ACME: ACME es un protocolo que automatiza la emisión y renovación de certificados SSL/TLS, simplificando la seguridad web y reduciendo tareas administrativas manuales.
  • HTTP: HTTP es el protocolo básico y sin cifrar para cargar sitios web, permitiendo que navegadores y servidores intercambien información abiertamente a través de internet.
  • Autoridad Certificadora (CA): Una Autoridad Certificadora (CA) es una entidad confiable que emite y verifica certificados digitales, asegurando comunicaciones en línea seguras y auténticas.
Cloudflare security flaw WAF bypass
SECPULSE SECPULSE
SOC Detection Lead
← Back to news