Cloudflare Tunnel – Expón tus servicios locales al mundo sin abrir puertos ni exponer IPs
Descripción del programa Cloudflare Tunnel
Cloudflare Tunnel es un servicio de túneles cifrados que conecta servidores privados a Internet usando conexiones salientes con cifrado post-cuántico y sin exponer la IP pública del origen.
Cloudflare Tunnel es un servicio de tunelización desarrollado por Cloudflare Inc., la multinacional estadounidense de infraestructura web y seguridad, que permite conectar servidores, APIs y servicios privados a Internet de forma segura sin necesidad de exponer una dirección IP pública. Su funcionamiento se basa en un demonio ligero llamado cloudflared que se instala en el servidor de origen y establece conexiones salientes hacia la red global de Cloudflare.
Una vez establecido el túnel, todo el tráfico hacia los servicios fluye a través de los centros de datos de Cloudflare, donde se aplican automáticamente protecciones como el cortafuegos de aplicaciones web, la mitigación de ataques DDoS y la caché CDN antes de llegar al origen.
La característica más destacada de Cloudflare Tunnel es que elimina por completo la necesidad de abrir puertos de entrada en el cortafuegos o de disponer de una dirección IP pública en el servidor de origen. El demonio cloudflared inicia todas las conexiones desde dentro de la red privada hacia fuera, atravesando sin dificultad routers domésticos, firewalls corporativos restrictivos y entornos con CGNAT de las operadoras de fibra.
Esta arquitectura de solo salida, combinada con la integración nativa en la plataforma Zero Trust de Cloudflare, convierte al servicio en una solución ideal tanto para desarrolladores que quieren exponer un entorno local de pruebas como para empresas que necesitan publicar aplicaciones internas de forma controlada.
Los orígenes de Cloudflare Tunnel se remontan a 2018, cuando Cloudflare lanzó el producto bajo el nombre de Argo Tunnel como una extensión de su servicio de enrutamiento inteligente Argo Smart Routing. En abril de 2021, la compañía anunció que el servicio pasaba a ser completamente gratuito para todos los planes, eliminando la anterior vinculación al ancho de banda de Argo. Posteriormente, el producto fue renombrado a Cloudflare Tunnel y se integró en la plataforma Cloudflare One como pieza central de su oferta de Zero Trust Network Access.
¿Necesitas publicar tus aplicaciones locales en Internet de forma segura sin abrir puertos en el router ni contratar una IP pública?
Características clave de Cloudflare Tunnel
1. Conexiones salientes con cifrado post-cuántico
Cloudflare Tunnel establece conexiones exclusivamente salientes desde el servidor de origen hacia la red de Cloudflare, lo que permite prescindir de puertos abiertos y de direcciones IP públicas. Cada túnel mantiene cuatro conexiones de larga duración hacia dos centros de datos distintos de Cloudflare, proporcionando redundancia integrada de fábrica. Todas las conexiones utilizan TLS 1.3 con acuerdo de clave post-cuántico por defecto, lo que protege el tráfico frente a las amenazas criptográficas actuales y futuras, incluyendo los ataques de tipo harvest-now-decrypt-later.
2. Publicación de aplicaciones HTTP y no HTTP
A través del túnel se pueden exponer servicios web HTTP y HTTPS, servidores SSH, escritorios remotos RDP, bases de datos, recursos compartidos SMB y servicios TCP arbitrarios. Las aplicaciones web están disponibles sin necesidad de instalar ningún cliente en el dispositivo del usuario final. Para los protocolos que no son HTTP, como SSH o RDP, Cloudflare ofrece el cliente cloudflared en el extremo del usuario, que establece la conexión a través de la red de Cloudflare y la dirige hacia el túnel correspondiente.
3. Integración completa con Cloudflare Zero Trust
Cloudflare Tunnel se integra de forma nativa con el resto de la plataforma Zero Trust de Cloudflare, incluyendo Access para la autenticación basada en identidad y Gateway para el filtrado de tráfico.
Esto permite aplicar políticas de acceso granulares que verifican la identidad del usuario y la postura de seguridad del dispositivo antes de permitir la conexión a cualquier aplicación publicada. La integración con proveedores de identidad externos mediante SAML y OIDC facilita el uso del directorio corporativo existente sin necesidad de gestionar credenciales adicionales.
4. Alta disponibilidad mediante réplicas y balanceo de carga
Para entornos de producción, Cloudflare Tunnel permite ejecutar múltiples instancias de cloudflared en paralelo como réplicas de un mismo túnel. El tráfico se distribuye automáticamente entre todas las réplicas disponibles, y si alguna instancia deja de funcionar, las restantes asumen la carga sin interrupción del servicio. Los túneles también pueden configurarse como puntos de origen en los balanceadores de carga de Cloudflare, lo que añade una capa adicional de distribución inteligente del tráfico y tolerancia a fallos.
5. Registro de auditoría y visibilidad centralizada
Todas las solicitudes que atraviesan el túnel quedan registradas en los logs de Zero Trust de Cloudflare, lo que proporciona una trazabilidad completa de quién accedió a qué recurso, desde qué dispositivo y en qué momento. La plataforma incluye herramientas de exploración de logs que permiten investigar incidentes de seguridad, generar informes de cumplimiento y monitorizar patrones de uso. Los planes de pago amplían la retención de logs y habilitan la exportación mediante Logpush hacia sistemas SIEM y almacenamiento en la nube.
Explicación detallada de las funcionalidades
El núcleo técnico de Cloudflare Tunnel reside en el demonio cloudflared, un binario escrito en Go que actúa como puente entre el servidor de origen y la red global de Cloudflare. Cuando se instala y se autentica contra una cuenta de Cloudflare, cloudflared crea conexiones salientes hacia los servidores de borde de Cloudflare utilizando el puerto 7844 para el tráfico del túnel.
Una vez establecida la conexión, el flujo de datos es bidireccional, pero siempre iniciado desde dentro de la red privada, lo que permite atravesar cualquier cortafuegos que permita el tráfico saliente estándar sin modificar su configuración. Esta arquitectura elimina la necesidad de configurar reenvíos de puertos en el router, solicitar una IP pública al proveedor de servicios o mantener un servicio de DNS dinámico para entornos domésticos.
El servicio resuelve el problema fundamental de exponer un servidor local a Internet cuando no se dispone de una dirección IP pública, cuando el operador aplica CGNAT, o cuando las políticas de seguridad corporativas prohíben tajantemente abrir puertos de entrada. En lugar de luchar contra estas restricciones, Cloudflare Tunnel las sortea aprovechando que prácticamente todos los cortafuegos permiten conexiones salientes.
Para el usuario, esto se traduce en poder publicar un servidor web alojado en una Raspberry Pi doméstica, un panel de administración de un contenedor Docker o una API interna corporativa en cuestión de minutos, sin tocar la configuración del router ni exponer la dirección IP del origen.
El beneficio práctico para los desarrolladores y administradores de sistemas es un ahorro considerable de tiempo y una reducción drástica de la superficie de ataque. Al no existir una IP pública que los atacantes puedan escanear, los servidores quedan invisibles para Internet salvo a través del túnel, que está protegido por toda la infraestructura de seguridad de Cloudflare.
Además, la posibilidad de crear túneles temporales con el comando cloudflared tunnel --url http://localhost:8080 permite compartir rápidamente un entorno de desarrollo local con un compañero o cliente sin necesidad de desplegar nada en producción ni configurar DNS alguno.
Descarga e instalación de Cloudflare Tunnel
- Página oficial: Cloudflare Tunnel
- Versión actual: Última versión estable disponible en el repositorio oficial de GitHub de cloudflared
- Tamaño: Ligero; el binario de
cloudflaredocupa aproximadamente entre 30 y 50 MB según la plataforma - Sistemas operativos compatibles: Linux (amd64, 386, arm, armhf, arm64), macOS (amd64 y Apple Silicon), Windows 10 y Windows 11 (64 y 32 bits), FreeBSD y Docker
- Requisitos mínimos: El demonio
cloudflaredes lo bastante ligero para ejecutarse en una Raspberry Pi. Para entornos de producción se recomiendan dos réplicas por ubicación con un mínimo de 4 GB de RAM y 4 núcleos de CPU - Licencia: El cliente
cloudflaredes de código abierto bajo licencia Apache 2.0. La plataforma Zero Trust de Cloudflare es propietaria - Idiomas: La interfaz de administración está disponible en varios idiomas, incluido el español
- Soporte técnico: Documentación oficial en developers.cloudflare.com, foros comunitarios y servidor de Discord. Soporte por chat y ticket para planes de pago
Cómo usar Cloudflare Tunnel
El primer paso para utilizar Cloudflare Tunnel consiste en descargar e instalar el demonio cloudflared en el servidor de origen. En distribuciones Linux, la forma más directa es añadir el repositorio oficial de Cloudflare e instalar el paquete con el gestor del sistema. En macOS se puede instalar mediante Homebrew con brew install cloudflared, y en Windows está disponible a través del gestor de paquetes winget o descargando el ejecutable directamente. Una vez instalado, el siguiente paso es autenticar cloudflared contra la cuenta de Cloudflare ejecutando cloudflared tunnel login, lo que abre una ventana del navegador donde se selecciona el dominio que se va a utilizar para el túnel.
Con la autenticación completada, el flujo de trabajo principal consiste en crear el túnel, configurar el enrutamiento y ponerlo en marcha. Para crear un túnel persistente se ejecuta cloudflared tunnel create nombre-del-tunel, lo que genera un identificador único y las credenciales asociadas. A continuación, se edita el archivo de configuración config.yml para definir las reglas de enrutamiento que asocian nombres de dominio públicos con los servicios locales. Por ejemplo, para publicar una aplicación web que se ejecuta en http://localhost:3000 bajo el dominio app.midominio.com, se añade una entrada con el hostname y el servicio de destino. Después se crea el registro DNS CNAME correspondiente en el panel de Cloudflare y se inicia el túnel con cloudflared tunnel run nombre-del-tunel.
Para los casos en los que solo se necesita exponer un servicio de forma temporal, Cloudflare Tunnel ofrece los túneles rápidos, que no requieren configurar DNS ni crear objetos persistentes. Basta con ejecutar cloudflared tunnel --url http://localhost:8080 y el programa genera automáticamente un subdominio aleatorio bajo trycloudflare.com a través del cual se puede acceder al servicio local de inmediato. Esta funcionalidad es especialmente práctica para mostrar avances a clientes, probar webhooks de servicios externos o depurar integraciones sin desplegar en producción. Para servicios que no son HTTP, como SSH o RDP, es necesario instalar cloudflared también en el dispositivo cliente y ejecutar comandos como cloudflared access ssh --hostname ssh.midominio.com.
Observaciones sobre el programa Cloudflare Tunnel
Cloudflare Tunnel se distingue de otras soluciones de tunelización por su integración profunda con la red global de Cloudflare, una de las infraestructuras de borde más grandes y distribuidas del mundo.
Mientras que servicios como Ngrok o alternativas autoalojables como Pangolin ofrecen funcionalidades similares de exposición de servicios locales, Cloudflare Tunnel aporta como valor diferencial el acceso gratuito e ilimitado a la red de Cloudflare sin restricciones de ancho de banda, así como la aplicación automática de CDN, WAF y DDoS sobre el tráfico tunelizado.
Sin embargo, esta integración tiene como contrapartida que el tráfico se descifra en los servidores de Cloudflare, lo que implica que el operador del servicio tiene visibilidad técnica sobre los datos en tránsito, un aspecto a considerar para quienes manejan información especialmente sensible.
Uno de los beneficios prácticos más valorados por la comunidad es la generosidad del plan gratuito. Cloudflare Tunnel es completamente gratuito para todos los planes, sin límites de ancho de banda ni de número de túneles. La capa gratuita de Zero Trust incluye hasta 50 usuarios sin coste, lo que permite que pequeñas empresas, equipos de desarrollo y entusiastas del autoalojamiento desplieguen soluciones profesionales de acceso remoto sin inversión inicial.
Además, el demonio cloudflared es de código abierto bajo licencia Apache 2.0, lo que permite a cualquier persona inspeccionar, modificar y contribuir al código del cliente que se ejecuta en sus servidores.
Cloudflare Tunnel es mantenido por Cloudflare Inc., la empresa fundada en 2009 que actualmente opera una red de más de 330 centros de datos en más de 120 países y gestiona aproximadamente el 20 % del tráfico global de Internet.
La compañía dedica recursos considerables al desarrollo y mantenimiento del servicio, lo que se refleja en actualizaciones frecuentes y en la evolución constante de sus capacidades. El túnel ha pasado de ser un complemento de pago a una pieza central gratuita de la plataforma Zero Trust, y en los últimos años ha incorporado cifrado post-cuántico, soporte para balanceo de carga y replicación de alta disponibilidad.
El servicio se actualiza de forma continua a través de nuevas versiones del binario cloudflared, que se publican periódicamente en el repositorio oficial de GitHub. Los clientes de Windows requieren actualización manual, mientras que en Linux y macOS el gestor de paquetes correspondiente puede automatizar el proceso.
Cloudflare Tunnel está disponible en dos modalidades principales: los túneles gestionados de forma remota, cuya configuración se almacena en el panel de Cloudflare y que admiten réplicas y alta disponibilidad, y los túneles gestionados localmente, cuya configuración reside en un archivo YAML en el servidor de origen y que resultan adecuados para despliegues sencillos y automatizaciones.
Limitaciones importantes
- ❌ El tráfico se descifra en los servidores de Cloudflare antes de reenviarlo al origen, lo que significa que la empresa tiene visibilidad técnica sobre los datos en tránsito.
- ❌ La capa gratuita de Zero Trust tiene un límite de 50 usuarios. Superada esa cifra, es necesario contratar un plan de pago que cuesta 7 dólares por usuario al mes.
- ❌ La plataforma Zero Trust es propietaria y no se puede autoalojar, lo que implica una dependencia total del proveedor para la operación del servicio.
Alternativa recomendada
Pangolin es una plataforma de acceso remoto de código abierto que combina proxy inverso y VPN sobre túneles WireGuard con control de acceso granular basado en identidad. A diferencia de Cloudflare Tunnel, Pangolin puede instalarse completamente en infraestructura propia, lo que permite que los datos nunca abandonen los servidores bajo control del usuario.
La principal ventaja de Pangolin frente a Cloudflare Tunnel es la soberanía absoluta sobre los datos y la ruta de tráfico, ya que todo el cifrado termina en servidores propios y ningún tercero puede acceder al contenido de las comunicaciones. Para quienes priorizan la privacidad y el control total de su infraestructura, Pangolin representa una alternativa sólida, transparente y respetuosa con los datos. Sin embargo, Cloudflare Tunnel sigue siendo imbatible en simplicidad de despliegue y en la integración con el ecosistema de seguridad y CDN de Cloudflare.
Sección FAQ
¿Cloudflare Tunnel es gratis o de pago?
Cloudflare Tunnel es completamente gratuito para todos los planes de Cloudflare, sin diferencias de funcionalidad entre los distintos niveles de suscripción. No hay límites de ancho de banda ni de número de túneles. El plan gratuito de Zero Trust incluye hasta 50 usuarios sin coste, y si se necesita dar acceso a más usuarios, el plan de pago cuesta 7 dólares por usuario al mes facturados anualmente. No hay costes ocultos ni facturación automática por sobrepasar el límite de usuarios en el plan gratuito.
¿Funciona en Linux, macOS, Windows 10 y Windows 11?
El demonio cloudflared está disponible para Linux (arquitecturas amd64, 386, arm, armhf y arm64), macOS (procesadores Intel y Apple Silicon), Windows 10 y Windows 11 (versiones de 64 y 32 bits), FreeBSD y como imagen de contenedor Docker. El panel de administración de Cloudflare es accesible desde cualquier navegador web moderno, independientemente del sistema operativo. El servicio de túnel es independiente del sistema operativo del servidor de origen, siempre que exista un binario de cloudflared compatible.
¿Qué diferencia a Cloudflare Tunnel de otras alternativas similares?
La principal diferencia de Cloudflare Tunnel frente a alternativas como Ngrok o Pangolin es la integración nativa con la red global de Cloudflare, que aplica automáticamente CDN, WAF, DDoS y balanceo de carga sobre el tráfico tunelizado sin configuración adicional. Además, el plan gratuito no impone límites de ancho de banda, lo que lo convierte en la opción más generosa para proyectos que manejan un volumen de tráfico considerable. La contrapartida es la dependencia de la plataforma propietaria de Cloudflare y el descifrado del tráfico en sus servidores.
¿Es seguro exponer servicios locales con Cloudflare Tunnel?
Cloudflare Tunnel es seguro dentro de su modelo de confianza. Las conexiones entre cloudflared y la red de Cloudflare utilizan TLS 1.3 con cifrado post-cuántico, y el servidor de origen no expone ninguna IP pública. Sin embargo, el tráfico se descifra en los centros de datos de Cloudflare para aplicar las políticas de seguridad, por lo que la empresa tiene visibilidad técnica sobre los datos en tránsito. Para información extremadamente sensible, puede considerarse una alternativa autoalojable que mantenga el tráfico siempre bajo control propio.
¿Se pueden publicar servicios que no sean HTTP, como SSH o RDP?
Sí, Cloudflare Tunnel admite la publicación de servicios HTTP, HTTPS, SSH, RDP, SMB y TCP arbitrario. Para los servicios que no son HTTP, el usuario final necesita instalar cloudflared en su dispositivo y ejecutar el comando de conexión específico, como cloudflared access ssh --hostname ssh.midominio.com para acceder a un servidor SSH o cloudflared access rdp --hostname escritorio.midominio.com para conectarse a un escritorio remoto. La capa gratuita de Zero Trust incluye estas funcionalidades sin coste adicional.