Nuevas fallas con CloudFlare generan complicaciones en muchos sitios web

CloudFlare, la firma que ofrece el servicio de protección y aceleración para sitios web, aplicaciones o APIs, presentó complicaciones para miles de usuarios en el mundo este viernes a primera hora de la mañana y madrugada.

Al igual que sucedió semanas atrás, a la hora de ingresar a diferentes plataformas conectadas a internet, se toparon con un muro blanco y el mensaje “505 Internal Server Error”, acompañado de la “firma” de CloudFlare.

La solución no debió hacerse de forma manual en la mayoría de los casos, remarcando que tampoco se trataba de una responsabilidad del servidor de internet, los responsables de los sitios ni el dispositivo del propio usuario.

CloudFlare funciona como un servidor proxy, una especie de “delivery” del contenido de sus clientes para evitar la acumulación de usuarios en un mismo servidor, mejorando la velocidad de acceso y navegación. A su vez, registra el ingreso de usuarios maliciosos. En este último punto se habían registrado las fallas el 18 de noviembre y según la empresa, este 5 de diciembre el problema es similar.

Qué indicaron desde CloudFlare

El Director de Tecnología (CTO) de CloudFlare, Dane Knecht, escribó en X el jueves que su empresa “ha implementado una nueva regla WAF para proteger a los clientes de una vulnerabilidad de ejecución remota de código que afecta a los componentes de servidor React (CVE-2025-55182) utilizados en frameworks como @nextjs. No se requiere ninguna acción; la regla está habilitada por defecto”.

Con la nueva regla WAF se refiere al firewall de aplicaciones web y las normas que se toman para “registrar” y tomar decisiones sobre si un tráfico de internet es malicioso o no y de qué forma proceder. Esta actualización podría haber provocado nuevas “prohibiciones” de acceso que no corresponden.

Según Knecht, esto afecta puntualmente a los clientes que utilizan React Server Components (React RSC), una herramienta de JavaScript de código abierto para crear interfaces de usuario interactivas.

Ya este mismo viernes, el CTO de la proveedora del servicio volvió a dar algunas breves explicaciones: “Hemos estado siguiendo de cerca la vulnerabilidad de React RSC. Si implementas en Cloudflare Workers, estás protegido. El modelo de seguridad de Workers previene esta vulnerabilidad en la capa de ejecución”, y agregó: “Para los usuarios que dependen de WAF para proteger aplicaciones alojadas en su propio servidor, ya están apareciendo más variantes y estamos evaluando cada una de ellas”.

Insólitamente, pasados 30 minutos de la medianoche en horario argentino, la cuenta oficial de CloudFlare posteó en X un anzuelo de interacciones que parecía una burla al incidente: “Describe una sesión de depuración que duró demasiado tiempo y que se resolvió con algo increíblemente simple (la clásica historia del ‘error tipográfico’)”.