Bot Fight Mode de Cloudflare: Protección Gratuita Contra Bots (y Por Qué Deberías Activarlo Hoy)

Programación· 5 min de lectura

Bot Fight Mode: La Defensa Que Necesitabas y No Sabías Que Era Gratuita

Hace poco, mientras revisaba los logs de una de mis aplicaciones, noté algo inquietante: casi el 40% del tráfico provenía de bots maliciosos. No eran simples rastreadores de Google. Eran intentos de fuerza bruta, scraping de datos, y ataques de DDoS distribuidos.

Llamé a Cloudflare.

Lo primero que me dijeron: "Activa Bot Fight Mode. Es gratis."

No lo podía creer. Después de años pagando por soluciones de seguridad caras, la defensa más efectiva estaba ahí, sin costo adicional.

¿Qué Es Bot Fight Mode?

Bot Fight Mode es una capa de protección que Cloudflare integra directamente en su WAF (Web Application Firewall). Analiza cada solicitud HTTP que llega a tu dominio y le asigna una puntuación de bot de 1 a 99.

Esta puntuación se basa en:

  • **Patrones de comportamiento**: ¿Se comporta como un navegador real o como un script automatizado?
  • **Historial de IP**: ¿Ha sido esta IP reportada por malware o actividad sospechosa?
  • **Análisis de cabeceras HTTP**: ¿Los User-Agents son legítimos? ¿Las cabeceras están bien formadas?
  • **Velocidad de solicitudes**: ¿Está haciendo requests a una velocidad imposible para un humano?
  • **JavaScript y cookies**: ¿Puede ejecutar JavaScript? ¿Mantiene estado con cookies?

Luego, tú decides qué hacer con esa información.

La Puntuación: De 1 a 99

Aquí es donde empieza lo interesante. Cloudflare no solo te dice "esto es un bot". Te da un número.

  • **1-29**: Probablemente legítimo. Buscadores, herramientas de monitoreo conocidas.
  • **30-70**: Zona gris. Podría ser un bot automatizado o un navegador con configuración extraña.
  • **71-99**: Muy probablemente un bot malicioso.

Esta granularidad es crucial. No quieres bloquear Google Bot (que necesitas para SEO). Pero sí quieres bloquear el script que intenta fuerza bruta en tu formulario de login.

Integración con WAF: El Poder Real

Donde Bot Fight Mode brilla es cuando lo combinas con las reglas del WAF de Cloudflare.

Puedes crear reglas como:

``` Si cf.bot_management.score > 70 ENTONCES bloquea la solicitud

Si cf.bot_management.score > 50 Y la URL es /api/login ENTONCES desafía con CAPTCHA

Si cf.bot_management.score < 30 Y el método es GET ENTONCES permite (sin fricción) ```

Esto significa que puedes ser quirúrgico. No bloqueas todo. Proteges lo que importa.

Ejemplo Real: Mi Caso

Tengo una aplicación SaaS donde los usuarios pueden registrarse. Sin protección, recibía cientos de registros fake cada día. Bots probando contraseñas comunes.

Implementé esta regla:

``` Si cf.bot_management.score > 50 Y la URL es /api/auth/register ENTONCES: Require CAPTCHA ```

Resultado: Los registros fake bajaron 95%. Los usuarios legítimos apenas notaron la fricción (el CAPTCHA solo aparece cuando es necesario).

¿Por Qué Es Tan Poderoso?

1. Es Gratuito

No hay sorpresas en la factura. Bot Fight Mode viene incluido en todos los planes de Cloudflare, incluso el gratuito. Aunque admito que la versión gratuita tiene limitaciones (puedes ver la puntuación pero no usar todas las reglas WAF avanzadas).

2. No Requiere Cambios en Tu Código

No necesitas modificar tu aplicación. Cloudflare intercepta las solicitudes antes de que lleguen a tu servidor. Implementación en 5 minutos.

3. Aprendizaje Continuo

Cloudflare entrena sus modelos con miles de millones de solicitudes diarias. Cada día, Bot Fight Mode se vuelve más inteligente. No es una lista estática de reglas.

4. Visibilidad

Puedes ver exactamente qué tráfico está siendo bloqueado y por qué. Los logs de Cloudflare te muestran la puntuación de bot para cada solicitud. Esto es oro puro para entender qué está pasando.

Cómo Activarlo (En Serio, Es Fácil)

1. Ve al dashboard de Cloudflare 2. Selecciona tu dominio 3. Navega a Security > Bot Management 4. Activa Bot Fight Mode 5. (Opcional) Configura reglas WAF personalizadas

Eso es. En menos de un minuto, tu sitio está protegido.

La Realidad: No Es Perfecto

Bot Fight Mode tiene limitaciones.

No detectará todos los bots sofisticados. Un atacante dedicado que simula comportamiento humano perfecto, que rota IPs, que ejecuta JavaScript, que mantiene cookies... ese es más difícil.

Pero aquí está la verdad: ese nivel de sofisticación cuesta dinero. El 99% de los ataques son automatizados y predecibles. Bot Fight Mode te protege de eso.

Para amenazas más serias, necesitarás capas adicionales: rate limiting, análisis de comportamiento, autenticación multifactor.

Lección para Desarrolladores

Mientras revisaba el ecosistema de herramientas de seguridad (viendo proyectos como CyberChecker, que hace auditorías automatizadas encontrando claves Stripe expuestas en bundles JavaScript), me di cuenta de algo:

La mejor defensa no es la más cara. Es la que está bien pensada.

Cloudflare entendió que los bots son un problema universal. En lugar de vender una solución premium, la incluyeron en el producto base. Ahora tienen miles de millones de datos para entrenar. Todos ganan.

Esto es lo opuesto a vender miedo.

Próximos Pasos

Si estás usando Cloudflare (y si construyes en la web, deberías), activa Bot Fight Mode hoy. No cuesta nada perder.

Luego, observa tus logs durante una semana. Entiende qué está siendo bloqueado. Ajusta las reglas según lo que veas.

Y si construyes un producto que necesita protección real contra bots, este es el primer paso. El cimiento.

El resto lo construyes tú.

---

Una última cosa: Si estás construyendo con Claude (como hago yo), puedes pedirle que genere las reglas WAF personalizadas basadas en tu caso de uso específico. Claude entiende la sintaxis de Cloudflare perfectamente. Es más rápido que buscar en la documentación.

Brian Mena

Brian Mena

Ingeniero informatico construyendo productos digitales rentables: SaaS, directorios y agentes de IA. Todo desde cero, todo en produccion.

LinkedIn