Puntos clave
- Activar este modo fuerza una comprobación del navegador de cinco segundos para bloquear los ataques DDoS de Capa 7, pero es una solución temporal que nunca debe dejarse activada permanentemente.
- Obligar a los visitantes reales a esperar perjudica tus tasas de conversión, y mantener la pantalla de desafío activa durante días puede causar anomalías de rastreo en Google Search Console.
- En lugar de alternar manualmente el modo bajo ataque, el uso del complemento Cloudways Cloudflare Enterprise proporciona una gestión inteligente de bots y reglas WAF que filtran el tráfico malicioso de forma silenciosa.
Hacer frente a un pico de tráfico suele ser sencillo hasta que tu servidor se bloquea por completo. Entras en tu panel de control, ves la CPU al 100% y notas un flujo constante de errores 502 o 521 de «Origen caído». Es entonces cuando te das cuenta de que esos visitantes no son reales. Estás ante una avalancha de botnets.
Cuando se produce un ataque activo de Capa 7, las reglas estándar del cortafuegos fallan. A menos que tu servidor esté respaldado por algo como el complemento Cloudflare Enterprise, tu servidor de origen se verá rápidamente desbordado por peticiones falsas y se bloqueará.
Esa es exactamente la razón por la que existe el modo bajo ataque de Cloudflare. Actúa como un freno de emergencia manual. Al obligar a cada visitante a pasar una comprobación de seguridad en segundo plano antes de llegar a tu servidor, filtra los bots maliciosos y mantiene tu sitio en línea.
En esta guía, veremos qué es el Modo Bajo Ataque, cómo utilizarlo durante una amenaza activa y cómo el complemento Cloudflare Enterprise de Cloudways proporciona una solución automatizada a este problema.
¿Qué es el Modo Bajo Ataque de Cloudflare?
El Modo Bajo Ataque de Cloudflare (a menudo denominado IUAM) es una configuración de seguridad manual que aplica una postura de defensa máxima en todo tu dominio.
En condiciones normales, un sitio web funciona con un nivel de seguridad Bajo o Medio. Estas configuraciones estándar se basan en la reputación IP y en reglas básicas de cortafuegos para filtrar el tráfico malicioso. Pero cuando se produce un ataque DDoS dirigido de Capa 7, esos filtros básicos no consiguen atrapar la avalancha de peticiones maliciosas.
Activar el Modo Bajo Ataque anula inmediatamente esos ajustes estándar.
El objetivo técnico de este modo es estrictamente proteger los recursos de tu servidor de origen.
Los ataques de Capa 7 están diseñados específicamente para agotar la CPU y la RAM de tu servidor. Los bots inundan tu sitio con miles de peticiones HTTP y HTTPS, obligando a tu servidor a procesar tareas pesadas hasta que finalmente se bloquea.
El Modo Bajo Ataque evita este agotamiento de recursos cambiando por completo la forma en que se gestiona el tráfico. En lugar de dejar que las peticiones fluyan hasta tu servidor, la red Cloudflare Edge intercepta todas y cada una de las conexiones.
Fuerza una comprobación de verificación obligatoria antes de permitir que nada llegue a tu origen. La red global de Cloudflare absorbe el impacto computacional masivo, bloqueando eficazmente la red de bots en el borde mientras mantiene tu servidor real en línea para el tráfico verificado.
Detén a los robots maliciosos sin la pantalla de carga de 5 segundos
Deshazte del botón del pánico manual. Despliega el complemento Cloudflare Enterprise a través de Cloudways para filtrar automáticamente los ataques de Capa 7 en segundo plano por sólo 4,99 $ al mes por dominio.
Cómo funciona el reto «Cloudflare comprueba tu navegador
Cuando activas el Modo Bajo Ataque, el resultado inmediato es muy visible. Todos los visitantes que intentan acceder a tu sitio web se encuentran con una página intersticial que muestra un mensaje«Comprueba tu navegador antes de acceder…«.
El reto gestionado
Esa pantalla de espera de 5 segundos no es un simple retraso. Entre bastidores, Cloudflare está ejecutando un Desafío Gestionado. La red de borde envía una compleja tarea computacional basada en JavaScript directamente al navegador del visitante.
Un navegador web estándar, como Chrome, Firefox o Safari, procesa este problema matemático en segundo plano y envía automáticamente la respuesta correcta.
Un bot sin cabeza o un script DDoS básico suelen fallar aquí.
Estos scripts maliciosos están diseñados para lanzar peticiones HTTP lo más rápido posible para saturar tu servidor, pero normalmente carecen del motor JavaScript necesario para resolver el rompecabezas computacional.
Requisitos de verificación
Dado que esta defensa se basa en las capacidades del navegador, un visitante necesita tener activada una configuración específica para sortear con éxito el muro:
- JavaScript activado: Sin él, el navegador simplemente no puede ejecutar el reto matemático, y el usuario se queda atascado en la pantalla de comprobación.
- Cookies activadas: Una vez que un usuario supera la prueba, Cloudflare deja caer una cookie de autorización (concretamente, la cookie cf_clearance ) en su navegador. Esto demuestra que es un humano verificado y le permite navegar por el resto de tu sitio sin ver el retraso de 5 segundos en cada carga de página.
Activación Global vs. Selectiva
Si activas el interruptor del Modo Bajo Ataque maestro en tu panel de seguridad, este desafío se aplicará globalmente a todo tu dominio. Esto es necesario durante una crisis masiva e impredecible.
Sin embargo, no siempre tienes que bloquear todo el sitio. Si una botnet está atacando específicamente tus puntos finales con bases de datos pesadas, puedes aplicar este mismo Desafío Gestionado de forma selectiva.
Con las reglas personalizadas de WAF de Cloudflare, puedes activar la comprobación del navegador sólo en URL vulnerables como tu página /login, /xmlrpc.php o una barra de búsqueda, dejando tu contenido público principal completamente libre de fricciones para los visitantes habituales.
Cuándo utilizar (y cuándo desactivar) el Modo Bajo Ataque
Decidir cuándo activar esta función se reduce a observar la salud de tu servidor y no sólo tu volumen de tráfico.
Una campaña de marketing exitosa puede traer una enorme oleada de visitantes, y tu servidor debería manejarla con normalidad. Pero si ya tienes activada la limitación de velocidad y tu CPU sigue al máximo mientras los visitantes reciben errores 502 o 521, tus defensas estándar están claramente desbordadas.
En ese punto concreto de fallo del hardware es cuando necesitas activar el modo.
Las compensaciones: UX y SEO
La razón de que no dejes esto funcionando todo el año es la fricción que crea. Básicamente, estás cambiando la experiencia del usuario por la estabilidad del servidor, y hacerlo durante demasiado tiempo causa verdaderos problemas.
- Fricción del usuario: Obligar a cada visitante a pasar por una pantalla de carga de cinco segundos es terrible para la UX. La gente odia esperar. En lugar de quedarse mirando el navegador, una gran parte de tu audiencia simplemente cerrará la pestaña y se irá. El resultado es un repentino aumento de las tasas de rebote y un enorme impacto en tus conversiones.
- Visibilidad en los motores de búsqueda: Cloudflare permite oficialmente que rastreadores conocidos como Googlebot se salten el desafío JavaScript. Pero en realidad, dejar el muro levantado durante semanas suele romper las cosas. Los motores de búsqueda luchan por acceder a tu sitio de forma consistente. En poco tiempo, Google Search Console se inundará de «anomalías de rastreo», y tu clasificación en las búsquedas orgánicas empezará a caer.
Piensa en este ajuste estrictamente como un vendaje temporal. Observa los análisis de tu servidor mientras se desarrolla el ataque. Una vez que el volumen de peticiones maliciosas descienda y se recupere el uso de la CPU, abre el panel de control y desactiva la función.
Bajar el nivel de seguridad de nuevo a Medio elimina instantáneamente el retraso, permitiendo a los usuarios reales navegar por tu sitio con normalidad.
Cómo activar Cloudflare en modo ataque
Veamos cómo activar esto. Para esta guía rápida, vamos a utilizar el panel de control estándar de la capa gratuita de Cloudflare, ya que la activación manual está integrada en la configuración básica.
Así es exactamente como se bloquea el sitio:
- Accede a tu panel de control de Cloudflare y haz clic en el dominio que necesitas proteger.
- Mira el menú de la barra lateral izquierda. Haz clic en Seguridad y, a continuación, en Configuración.
- Desplázate hacia abajo hasta que encuentres la sección Nivel de seguridad. Verás una nota que indica que la seguridad de Cloudflare está ahora totalmente automatizada y configurada como«siempre protegida» por defecto.
- Justo debajo de ese mensaje, en Configuraciones, busca Estoy en modo ataque: desactivado. Haz clic en el icono del lápiz que hay junto a él.
- Se deslizará un panel lateral por la derecha. Mueve el interruptor para activar el modo y pulsa el botón Aplicar situado en la parte inferior de ese panel.
El cambio entra en vigor inmediatamente en toda la red.
A partir de ese segundo, cada visitante pasará por la pantalla de verificación de cinco segundos antes de llegar a tu servidor.
Pero aquí está el truco de este conmutador manual gratuito: tienes que estar delante del teclado para activarlo. Si un botnet ataca a las 3 de la madrugada, tu servidor se caerá mientras duermes. Y una vez que te despiertes y lo actives, tus usuarios reales pagarán el precio con una experiencia de navegación terrible.
Esto nos lleva al verdadero problema: ¿cómo detener estos ataques automáticamente sin castigar a tus clientes reales?
Aquí es exactamente donde entra en juego el complemento Cloudways Cloudflare Enterprise.
Automatización de la mitigación de DDoS y bots con Cloudways
Depender de una cuenta gratuita de Cloudflare significa que tienes que crear tus propias y complejas reglas de cortafuegos desde cero, o depender por completo de ese interruptor de emergencia manual. Cloudways soluciona esto incorporando seguridad automatizada de nivel empresarial directamente en el panel de control de tu alojamiento.
Cómo accedas a esto depende de la arquitectura de tu servidor:
- Planes flexibles de Cloudways: Puedes activar fácilmente estas funciones en todos tus dominios activando el complemento Cloudflare Enterprise.
- Cloudways Autónomo: Todo el conjunto de seguridad de Cloudflare Enterprise -incluida la activación del Modo Bajo Ataque- está integrado de forma nativa y disponible de forma gratuita en todos los planes.
En lugar de obligarte a actuar como un ingeniero de seguridad a tiempo completo, Cloudways preconfigura las defensas exactas que necesita tu servidor. Esto es lo que se ejecuta en segundo plano para detener los ataques antes de que tengas que pulsar el botón del pánico:
- Cortafuegos de aplicaciones web para empresas (WAF): Este no es el cortafuegos gratuito básico. El WAF de empresa utiliza inteligencia sobre amenazas en tiempo real y aprendizaje automático de la red global de Cloudflare para identificar y bloquear vulnerabilidades emergentes de día cero. Neutraliza las cargas maliciosas en el borde, mucho antes de que lleguen al cortafuegos local de tu servidor.
- Limitación de velocidad automatizada: Éste es tu principal escudo contra las inundaciones HTTP de Capa 7. El sistema supervisa el tráfico entrante en ventanas de 60 segundos. Si una sola dirección IP envía más de 200 solicitudes en un minuto, Cloudflare le impone automáticamente un desafío gestionado. Se reinicia cada minuto y excluye activamente los bots verificados y el contenido almacenado en caché, garantizando que el tráfico real fluya sin problemas.
- Comprobación de la integridad del navegador: Los scripts maliciosos y las redes de bots suelen utilizar cabeceras HTTP falsas o ausentes. Esta función escanea activamente las cabeceras de las peticiones entrantes y bloquea o cuestiona cualquier cosa que utilice un agente de usuario no estándar o que falte.
- Bloqueo de rastreadores de IA: Si no quieres que las empresas de inteligencia artificial rastreen tu sitio web para entrenar sus Modelos de Grandes Lenguajes (LLM), este conmutador automatizado los bloquea en el borde.
Un último recurso incorporado
Incluso con todas estas defensas automatizadas, ocurren situaciones extremas. Por eso el complemento incluye la opción Modo Bajo Ataque justo dentro del panel Cloudways.
Si se cuela una botnet masiva e impredecible, puedes bloquear el sitio directamente desde el panel de control de tu alojamiento sin necesidad de acceder a una cuenta de Cloudflare aparte.
Mediante la superposición del WAF empresarial y una estricta limitación de velocidad, el complemento filtra el tráfico basura silenciosamente. Tu servidor permanece en línea, y tus clientes reales nunca tienen que mirar una pantalla de carga de cinco segundos.
Asegura tu servidor sin hundir tu SEO
No dejes que las prolongadas pantallas «Bajo ataque» bloqueen Googlebot. Filtra a los malos actores de forma silenciosa con el WAF empresarial de Cloudflare a través de Cloudways para un control del tráfico automatizado y siempre activo.
¡Terminando!
El Modo Bajo Ataque de Cloudflare es una configuración manual de emergencia creada para proteger tu servidor de ataques DDoS de Capa 7. En esta guía, hemos explicado cómo funciona el proceso de verificación del navegador, cuándo debes activarlo exactamente y por qué dejarlo activado durante demasiado tiempo perjudicará tanto a tu experiencia de usuario como a tu clasificación en las búsquedas.
Aunque el complemento manual gratuito funciona cuando estás supervisando activamente un incidente, no es una defensa sostenible a largo plazo. Ahí es donde ayuda el complemento Cloudways Cloudflare Enterprise.
Sustituye la necesidad de un conmutador manual ejecutando un WAF de nivel empresarial, limitación de velocidad y gestión de bots silenciosamente en segundo plano. Filtra el tráfico malicioso automáticamente, manteniendo estable tu servidor sin interrumpir la experiencia de navegación de tus visitantes reales.
Q. ¿Qué hace Cloudflare en modo ataque?
A. Actúa como un escudo de emergencia manual que obliga a cada visitante a pasar una comprobación de navegador en segundo plano. Esto filtra los botnets automatizados antes de que puedan llegar a tu servidor y colapsar tu hardware.
Q. ¿Cuáles son algunos ejemplos de escenarios de «modo de ataque»?
A. Utiliza este modo cuando una red de bots envíe spam a puntos finales pesados, basados en bases de datos, como el martilleo de tu página /login o la inundación de un formulario de pago, provocando que la CPU de tu servidor se bloquee al 100%.
Q. ¿Han atacado a Cloudflare?
A. Sí, constantemente. Dado que Cloudflare se sitúa frente a millones de sitios web, su red de borde absorbe y mitiga regularmente ataques DDoS globales que baten récords para que los servidores de origen individuales no tengan que hacerlo.
Q. ¿Cómo puedo evitar que Cloudflare me bloquee?
A. Si eres un visitante, asegúrate de que tu navegador tiene activados JavaScript y las cookies, e intenta poner en pausa los bloqueadores de anuncios estrictos. Si eres el propietario del sitio y los usuarios reales están siendo bloqueados, vuelve a bajar tu nivel de seguridad de Cloudflare a «Medio».
Abdul Rehman
Abdul es un experto en tecnología, aficionado al café y al marketing creativo al que le encanta estar al día de las últimas actualizaciones de software y aparatos tecnológicos. También es un hábil escritor técnico capaz de explicar conceptos complejos de forma sencilla para un público amplio. Abdul disfruta compartiendo sus conocimientos sobre el sector de la Nube a través de manuales de usuario, documentación y entradas de blog.
