Cloudflare bloqueará las conexiones HTTP sin cifrar en su API para evitar exponer información confidencial

Cloudflare ha anunciado que comenzará a bloquear las conexiones realizadas a través de puertos HTTP en su API para evitar exponer información confidencial de los usuarios, ya que se trata de conexiones en las que los datos se transmiten sin cifrar y pueden ser interceptados por intermediarios de la red, incluidos actores maliciosos.

El protocolo de transferencia de hipertexto seguro (HTTPS) es una versión segura de conexión HTTP, el principal protocolo utilizado para enviar datos entre un navegador web y un sitio web. Así, al integrar la S, se indica que el sitio web tiene un certificado SSL/TLS instalado y que, por tanto, utiliza una conexión cifrada y segura para la transferencia de datos, lo que protege información confidencial como, por ejemplo, el inicio de sesión de una cuenta bancaria.

En este sentido, es habitual que, en caso de intentar efectuar una conexión HTTP, los servidores redirijan dicha conexión o devuelvan una respuesta 403 (prohibido) para obligar a los usuarios a utilizar HTTPS y evitar que los datos puedan ser interceptados por intermediarios de la red, incluidos actores maliciosos.

Sin embargo, según ha explicado Cloudflare, este método puede no resultar efectivo en todos los casos ya que, es posible que información confidencial, como un token de API, se transmita sin cifrar en la solicitud inicial HTTP. Por tanto, "los datos se exponen antes de que el servidor tenga la oportunidad de redirigir al cliente o rechazar la conexión".

De cara a evitar estas posibles filtraciones, Cloudflare ha anunciado que comenzará a cerrar todos los puertos de red utilizados para HTTP de texto simple en su API (api.cloudflare.com), además de implementar cambios para que la API pueda cambiar las direcciones IP dinámicamente.

"A partir de hoy, cualquier conexión no cifrada a api.cloudflare.com será rechazada por completo. Los desarrolladores ya no deben esperar la respuesta 403 "Prohibido" para las conexiones HTTP, ya que impediremos que se establezca la conexión subyacente cerrando la interfaz HTTP por completo. Solo se permitirán conexiones HTTPS seguras", ha explicado la tecnológica en un comunicado en su blog.

De esta forma, se trata de un cambio que afectará a los sitios web, bots o herramientas que dependan del protocolo HTTP en el servicio API de Cloudflare, ya que dejarán de funcionar.

Asimismo, Cloudflare ha indicado que habilitará esta opción en el último trimestre de 2025, para que los clientes con sitios web en su servicio "desactiven de forma segura" todo el tráfico del puerto HTTP de sus sitios web, como parte de su compromiso con la mejora de la seguridad en internet. Esta opción se suma a la configuración ya disponible de 'Usar siempre HTTPS'.

CAMBIO DE DIRECCIONES IP DINÁMICAMENTE

Además de todo ello, Cloudflare también ha anunciado que han implementado cambios para que la API pueda cambiar las direcciones IP de forma dinámica, con el objetivo de desvincular nombres de clientes de direcciones IP y, al mismo tiempo, gestionar las direcciones de forma fiable en su "DNS autoritativo".

Según ha señalado la compañía, esta medida se ha implementado para mejorar la agilidad y flexibilidad de la gestión de 'endpoints' de API. Asimismo, los clientes que utilicen direcciones IP estáticas para los 'endpoints' de API, recibirán una notificación previa para "evitar posibles problemas de disponibilidad".

Con todo ello, desde Cloudflare han adelantado que también están explorando otras áreas donde es seguro cerrar los puertos de tráfico de texto plano, con la idea de impulsar "un gran impacto" en la creación de un Internet mejor.