Qué es la limitación de velocidad y cómo configurarla [2 Métodos]

Puntos clave

• La limitación de velocidad protege la estabilidad del servidor limitando el número de peticiones que un usuario o bot puede realizar en un periodo de tiempo determinado.
• Evita el agotamiento de recursos asegurando que los scrapers maliciosos o los ataques de fuerza bruta no roben ancho de banda a los visitantes reales.
• Implantar un límite es una necesidad de rendimiento, que actúa como una salvaguarda crítica que mantiene tu sitio rápido y accesible incluso durante un pico de tráfico.

Probablemente hayas visto alguna vez el error«429 Demasiadas Peticiones«. Tal vez actualizaste una página demasiado rápido, o algún script de fondo se volvió loco y empezó a martillear tu servidor.

¿Molesta? Por supuesto. Pero existe por una razón.

Sin limitación de velocidad, tu servidor está totalmente abierto. Un solo bot agresivo o un aumento inesperado del tráfico pueden acabar con tus recursos en cuestión de segundos. Y siempre ocurre en el peor momento, justo cuando necesitas que tu sitio funcione.

Eso es lo que soluciona la limitación de velocidad. Pone un límite estricto a la frecuencia con la que alguien puede hacer peticiones a tu aplicación. Simple, pero eficaz.

Esta guía explica cómo funciona bajo el capó. Veremos los algoritmos que captan estos picos, los ataques que evitan (DDoS, intentos de fuerza bruta, los sospechosos habituales) y lo que significan realmente esos mensajes de error.

Luego pasamos a la puesta en práctica. Te mostraré dos enfoques. Uno es la ruta manual utilizando la capa gratuita de Cloudflare. La otra es una solución gestionada a través de Cloudways si prefieres no ocuparte tú mismo de la configuración técnica.

Muy bien, vamos a ello.

¿Cómo funciona la limitación de velocidad?

La limitación de velocidad no es compleja. Se trata de un contador que se interpone entre el usuario y tu servidor.

Piénsalo como un torniquete de metro. Tocas tu tarjeta (haces una solicitud), y la máquina comprueba si tienes un viaje válido (límite no alcanzado). Si es así, la puerta se abre. Si no, la puerta permanece bloqueada.

El sistema lo gestiona en tres pasos concretos:

1. Seguimiento: Necesita saber quién eres. Normalmente, es tu dirección IP. Para usuarios conectados o APIs, puede ser tu ID de usuario.
2. Medición: Comprueba tu historial. ¿Cuántas peticiones has hecho en los últimos sesenta segundos?
3. Acelera: Toma la decisión. Si estás por debajo del límite, estás bien. Si estás por encima, te bloquea o te retrasa.

Pero el simple recuento tiene un fallo. Si te limitas a poner a cero el contador cada minuto en punto, los robots astutos pueden engañar al sistema. Por eso los ingenieros utilizan algoritmos específicos para suavizar las cosas.

Detén a los robots maliciosos con la limitación automatizada de la tasa empresarial

Implanta Cloudflare Enterprise a través de Cloudways para identificar y bloquear amenazas de bots en tiempo real. Protege los recursos de tu servidor por sólo 4,99 $ por dominio.

Saber más

Algoritmos comunes de limitación de velocidad

Ventana fija

Esta es la versión más básica. El contador se reinicia al principio del minuto, cada minuto.

• El riesgo: tiene un punto ciego. Un bot podría enviarte 100 solicitudes a las 12:00:59 y otras 100 a las 12:01:00. Técnicamente, cumplió la regla de «100 por minuto» para cada minuto por separado. Pero tu servidor acaba de recibir un impacto de 200 peticiones en dos segundos.

Ventana corredera

Esto soluciona el punto ciego. En lugar de reiniciar en la parte superior del reloj, mira los últimos 60 segundos desde el momento exacto en que entra una petición. Evita esas dobles caídas suavizando el recuento.

Cubo de fichas

Ésta es popular para las API porque permite el comportamiento humano. Imagina un cubo que se llena de tokens a una velocidad constante. Cuando haces una petición, gastas un token. Si te alejas un poco, tu cubo se llena.

Esto significa que cuando vuelvas, podrás hacer una ráfaga rápida de peticiones. Por ejemplo, cargar un panel de control sin que te bloqueen. Una vez que se acaben esas fichas guardadas, estarás limitado a la velocidad de recarga constante.

¿Por qué es importante la limitación de velocidad para la seguridad?

La mayoría de la gente ve la limitación de velocidad como una cuestión de rendimiento. Piensan que sólo evita que los servidores se caigan cuando aumenta el tráfico.

Pero los equipos de seguridad de los sitios web confían en ella para protegerse. Bloquea los ataques que inundan tu sistema de peticiones.

Mitigación DDoS

Los ataques distribuidos de denegación de servicio intentan ahogar tu servidor en tráfico falso. Hay diferentes tipos de ataques DDoS. Los ataques de capa 7 son más difíciles de detectar porque parecen normales: cargar páginas, ejecutar búsquedas, ese tipo de cosas.

La limitación de velocidad filtra esto. Una persona real no recarga la misma página 50 veces en un segundo. Establece un umbral y bloquearás el ataque mientras dejas pasar a los visitantes reales.

Fuerza bruta y relleno de credenciales

Los piratas informáticos utilizan bots para probar miles de combinaciones de contraseñas en tu página de inicio de sesión. No están sentados tecleando cada una manualmente.

Si limitas los intentos de inicio de sesión a cinco por minuto, todo su planteamiento se viene abajo. Lo que antes les llevaba unas horas, ahora les lleva años. El ataque se vuelve inútil y siguen adelante.

Raspado de contenido y denegación de inventario

Los competidores utilizan bots para apropiarse de tus precios o robar tu contenido. En el comercio electrónico, los bots cargan los carros de la compra y retienen el inventario para que los clientes reales no puedan comprar nada.

La limitación de velocidad crea un muro contra esto. Los robots se mueven a velocidades que ningún humano puede igualar, por lo que el sistema los detecta y los bloquea antes de que puedan hacer daño.

Limitación de la tasa API

Tu API es una línea directa con tu base de datos. Si un desarrollador escribe código defectuoso que accidentalmente lanza peticiones en bucle, o si una aplicación de terceros empieza a machacar tu punto final, cualquiera de las dos situaciones puede hacer caer todo tu servicio.

La limitación de velocidad garantiza que ningún usuario o script defectuoso pueda vaciar tu sistema.

Códigos de error de limitación de velocidad y experiencia del usuario

Tu servidor devuelve un código específico cuando alguien supera tu límite de tarifa. Entender lo que significan estos códigos te ayuda a saber si un cliente real necesita ayuda o si el sistema está funcionando según lo previsto.

Estado HTTP 429: Demasiadas peticiones

El error 429 es lo que la mayoría de los sitios utilizan para limitar la velocidad. Cuando alguien supera tu umbral, obtiene esta respuesta. Los navegadores muestran una página de error genérica. Las API lo tratan como una señal para reducir la velocidad y reintentar la solicitud más tarde en lugar de fallar por completo.

Error 1015 (Cloudflare)

Las cuentas de Cloudflare muestran el Error 1015 en lugar del 429 estándar. La diferencia clave es dónde se produce el bloqueo. La red periférica de Cloudflare detiene la solicitud antes de que se acerque a tu servidor real.

Esto ocurre en función de las reglas de tasa que hayas configurado a través de su panel de control. Durante un ataque DDoS activo, estos errores aparecen con frecuencia porque la capa de protección está haciendo su trabajo.

«Te están limitando la tasa»

Tu capa de aplicación puede imponer límites independientemente de lo que ocurra a nivel de servidor. Los usuarios pueden ver un texto sin formato que dice «Se te está limitando la tasa» cuando esto se activa. Twitter implementó este tipo de límite para restringir la cantidad de contenido que los usuarios pueden consumir en un periodo de tiempo.

El objetivo no siempre consiste en evitar caídas del servidor. A veces se trata de controlar el uso de la plataforma y la asignación de recursos de forma que se ajuste a tu modelo de negocio.

¿Cómo aplicar la limitación de velocidad?

Para evitar que tu servidor vuelque, tienes que decidir dónde colocar la barrera. Por lo general, tienes tres opciones de colocación.

Nivel de aplicación (Plugins): Es el más fácil de configurar, pero el peor para el rendimiento. Si utilizas un plugin de seguridad, el tráfico malicioso sigue llegando a tu servidor y ejecuta código antes de ser bloqueado. Quema recursos sólo para decir «no».

A nivel de servidor (Nginx/Apache): Esto es estrictamente mejor. Configuras las reglas directamente en tu servidor web. El tráfico llega a tu máquina, pero el servidor lo bloquea antes de que cargue los archivos pesados de tu aplicación.

Nivel de Borde (CDN/WAF): Este es el estándar de oro. El tráfico se bloquea en el borde de la red, a menudo en una granja de servidores completamente diferente (como la de Cloudflare). Tu servidor real ni siquiera siente el impacto del ataque.

Ahora que sabemos dónde colocar los quitamiedos, tenemos que fijarnos en la configuración. A continuación veremos dos formas concretas de hacerlo:

• Método nº 1 (Configuración manual)
• Método nº 2 (Protección gestionada)

Método 1: Implementar la limitación de velocidad mediante configuración manual (Cloudflare gratis)

Como hemos mencionado antes, hay múltiples formas de implementar la limitación de velocidad. Pero para esta configuración, vamos a centrarnos en la protección de Nivel de Borde. Este es el estándar de oro.

Te mostraré cómo implementar la limitación de velocidad utilizando la capa gratuita de Cloudflare. Es el estándar del sector y actúa como un escudo bloqueando el tráfico malicioso antes de que llegue a tu servidor.

Las limitaciones de la Grada Libre

La versión gratuita de Cloudflare es bastante restrictiva. Debes ser consciente de estos límites estrictos antes de desplegar tu regla:

• Una sola regla: Obtienes exactamente una regla de limitación de tarifa personalizada para todo tu dominio. Esto obliga a un difícil compromiso. Tienes que decidir qué parte de tu sitio es más vulnerable. ¿Es tu página de inicio de sesión de administrador, tu barra de búsqueda interna o un punto final específico de la API? No puedes protegerlos todos a la vez.
• Periodo Bloqueado: El Periodo está bloqueado a 10 segundos. No puedes elegir una ventana más larga, como 1 minuto o 1 hora.
• Acción limitada: Sólo tienes disponible la acción Bloquear. Las opciones avanzadas como Desafío Gestionado (CAPTCHA) no están incluidas.
• Penalización fija: La duración del bloqueo también se fija en 10 segundos. Si alguien activa la regla, queda bloqueado durante 10 segundos, tras los cuales puede volver a intentarlo. Si necesitas más reglas o bloqueos más largos, normalmente tendrás que pasar a su plan Pro (20 $/mes).

La configuración (Proteger tu página de inicio de sesión)

Como sólo tenemos una regla con la que trabajar, vamos a utilizarla para detener los ataques de fuerza bruta en tu área de inicio de sesión, ya que ésta es la amenaza más común.

• Ve a tu panel de control de Cloudflare y haz clic en el dominio que quieras proteger.

• En la barra lateral izquierda, haz clic en el desplegable Seguridad y, a continuación, selecciona Reglas de seguridad.

• Haz clic en el botón azul + Crear regla de la derecha y selecciona Reglas de limitación de velocidad.

• Dale un nombre claro como «Protección de inicio de sesión».

• Define el Tráfico (Cuando las solicitudes entrantes coincidan…):
  • Campo: Selecciona la ruta URI.
  • Operador: Selecciona iguales.
  • Valor: Introduce tu ruta de acceso, como /wp-login.php (para WordPress) o /admin.

• Establece el Activador (Cuando la tasa supere…):
  • Peticiones: Establece un límite estricto, como 5.
  • Periodo: Establece el plazo en 1 minuto.

• Elige la Sanción (Luego actúa…):
  • Elige la acción: Selecciona Bloquear (hard ban) o Desafío gestionado (CAPTCHA).
  • Duración: Establece cuánto tiempo permanecen en el área de penalización. 1 hora es el tiempo estándar para los ataques de inicio de sesión.
• Haz clic en Desplegar para activar tu regla única.

Cuando pulses desplegar, Cloudflare enviará esta regla a su red global y empezará a filtrar el tráfico a tu página de inicio de sesión inmediatamente.

Los riesgos de la configuración manual

Aunque este método es gratuito, el límite de «una regla» combinado con la restricción de 10 segundos crea lagunas importantes.

• El problema del bucle: Como la duración del bloqueo es de sólo 10 segundos, un bot persistente simplemente esperará a que pase el temporizador y empezará a golpear de nuevo tu página de inicio de sesión. Esto les ralentiza, pero no les detiene.
• Punto único de fallo: Si utilizas una única regla para la página de inicio de sesión, tu barra de búsqueda y tu API quedan totalmente expuestas a ataques DDoS.
• Alta sensibilidad: Una ventana de 10 segundos es muy corta. Si actualizas rápidamente tu página de inicio de sesión o utilizas un gestor de contraseñas que reintenta rápidamente, podrías activar tu propia regla y bloquearte en tu propio sitio.
• Gastos de mantenimiento: A medida que tu sitio crece, tienes que ajustar manualmente estos umbrales. Diferenciar entre un pico viral y un ataque se convierte en un trabajo a tiempo completo.
• Falsos positivos: Si intentas crear una regla «comodín» amplia para salvar tu única ranura, probablemente bloquearás a usuarios legítimos o romperás las imágenes y CSS de tu sitio.

Claro que estas limitaciones se pueden mitigar cambiando a los planes de pago de Cloudflare, pero los costes se acumulan rápidamente. El plan Pro cuesta 25 $/mes, mientras que el plan Business asciende a 250 $/mes. Si quisieras la verdadera protección de grado«Empresa» que vamos a tratar a continuación, normalmente te costaría miles de dólares al mes si la compraras directamente a Cloudflare.

Método 2: Implementar la limitación de velocidad mediante el complemento Cloudways Cloudflare Enterprise

Como vimos en la sección anterior, la ruta «gratuita» requiere que seas un técnico. Tienes que configurar reglas, preocuparte de temporizadores de 10 segundos y controlar constantemente los falsos positivos.

El método 2 es diferente. Transfiere la responsabilidad de ti a un sistema automatizado.

Este método utiliza el complemento Cloudways Cloudflare Enterprise. Aunque aquí nos centramos en la limitación de velocidad, esta integración también incluye funciones más amplias de rendimiento y seguridad, como Edge Page Caching, Argo Smart Routing y un WAF inteligente.

Normalmente, un plan Enterprise comprado directamente a Cloudflare cuesta miles de dólares al mes. Sin embargo, Cloudways tiene una asociación que te permite acceder a esta misma infraestructura por sólo 4,99 $ al mes por dominio.

Pasos de configuración

En primer lugar, debes habilitar el complemento Cloudflare Enterprise para tu aplicación. Tenemos una guía detallada que te guía a través de los pasos completos para habilitar el complemento Cloudflare Enterprise en Cloudways.

Una vez que tengas el complemento activo, no necesitas escribir reglas complejas. Sólo tienes que pulsar un interruptor.

• Abre la Configuración de Cloudflare: Dentro de tu aplicación Cloudways, ve a la pestaña Cloudflare.
• Navega hasta Configuración: Pulsa en la opción de menú Ajustes.

• Activa la Limitación de Velocidad: Desplázate hasta la sección de seguridad y activa la opción Limitación de velocidad.

Cómo funciona (el enfoque «sin manos»)

Aquí es donde la diferencia se hace evidente. En el Método 1, tenías que adivinar los números y utilizar una dura acción de «Bloqueo». En el Método 2, la lógica está preconfigurada para un equilibrio óptimo:

• Umbrales inteligentes: El sistema supervisa las solicitudes de IP en intervalos de 60 segundos. Si una IP supera las 200 peticiones, activa la protección. Se trata de un búfer mucho más seguro que los rígidos límites que teníamos que utilizar en la capa gratuita.
• Retos inteligentes: En lugar de un bloqueo duro, Cloudflare aplica Desafíos Gestionados a las solicitudes que superan el límite. Esto significa que si un usuario real lo activa de algún modo, sólo tiene que resolver un desafío. No se les bloquea.
• Exclusiones inteligentes: El sistema está preentrenado para ignorar el tráfico seguro. Excluye automáticamente los motores de búsqueda conocidos y los activos estáticos. Esto garantiza que Googlebot pueda rastrear tu sitio sin ser bloqueado, y que tus usuarios legítimos no sean bloqueados sólo porque su navegador haya cargado 50 imágenes a la vez.

Por qué es importante

Por el precio de un café, esto elimina los riesgos de los que hablamos en el Método 1. Consigues un cortafuegos que sabe distinguir entre un motor de búsqueda, una imagen estática y un bot malicioso… automáticamente.

¿Qué opción elegir?

Hemos tratado dos formas muy distintas de resolver el mismo problema. Entonces, ¿cuál es la adecuada para tu situación concreta?

Elige el Método 1 (Cloudflare Directo) si:

• Quieres un control granular: Eres un desarrollador que quiere ajustar cada una de las variables de las reglas de tu cortafuegos.
• Tienes presupuesto: Estás dispuesto a pagar entre 20 y 200 $/mes por los niveles Pro/Empresa para obtener conjuntos de reglas adecuados.
• Te parecen bien los límites: Estás en el nivel gratuito y aceptas que tu protección tenga intervalos de 10 segundos.

Elige el Método 2 (Cloudflare Enterprise a través de Cloudways) si:

• Necesitas seguridad empresarial con poco presupuesto: Obtendrás la misma infraestructura de Cloudflare de alto nivel que utilizan las grandes empresas por sólo 4,99 $ al mes gracias a la integración. (Aquí tienes una lista de comprobación de seguridad en la nube para planes de alojamiento gestionado para más detalles)
• Quieres protección automatizada: Prefieres un sistema que utilice el aprendizaje automático para identificar y bloquear amenazas en tiempo real, sin que tengas que escribir o actualizar reglas manualmente.
• No puedes arriesgarte a tener problemas de SEO: Este método incluye automáticamente en la lista blanca a rastreadores verificados de motores de búsqueda como Googlebot, de modo que tu sitio permanece indexado y visible independientemente de tu configuración de seguridad.

Protege tu sitio web sin arriesgar tu posición en las búsquedas

Filtra a los malos actores al tiempo que garantizas que Googlebot siempre tenga acceso. Consigue el motor Enterprise de Cloudflare a través de Cloudways para un control del tráfico más inteligente y automatizado.

Saber más

¡Terminando!

La limitación de velocidad mantiene tu servidor centrado en los usuarios reales en lugar de malgastar recursos en bots y scripts rotos. Si te lo saltas, un pico de tráfico puede ralentizarlo todo para todos los que intenten utilizar tu sitio.

Cubrimos dos formas de configurar esto. La configuración manual a través de Cloudflare te da el control sobre cada regla que creas. La opción automatizada a través de Cloudflare Enterprise en Cloudways utiliza el aprendizaje automático para clasificar el tráfico sin que tengas que cuidarlo.

Ambos enfoques detienen el abuso de recursos. La diferencia es cuánto tiempo quieres dedicar a gestionarlos.

Sea cual sea el camino que tomes, lo importante es hacerlo. Dejar el tráfico sin controlar crea una vulnerabilidad que no puedes ignorar.

Lee también nuestra guía detallada sobre la limitación de tarifas en Laravel.