Cloudflare Access (Zero Trust)

Cloudflare Access es el módulo de Zero Trust Network Access (ZTNA) de la plataforma Cloudflare Zero Trust (anteriormente conocida como Cloudflare for Teams), desarrollada por Cloudflare Inc., compañía fundada en 2009 en San Francisco y cotizada en la Bolsa de Nueva York desde 2019 (NYSE: NET). Cloudflare es conocida globalmente por su CDN, protección DDoS y servicios de infraestructura web, y en los últimos años expandió agresivamente su portafolio hacia SASE/SSE empresarial con una propuesta que aprovecha su red global como ventaja competitiva.

Cloudflare Access se posiciona como alternativa directa a la VPN tradicional y como pieza central de una arquitectura Zero Trust moderna. Su diferencial más importante no es técnico sino de infraestructura: Cloudflare opera una red de 330+ ciudades en 125+ países con presencia a menos de 50 ms del 95% de la población con internet. Esa red, originalmente construida para CDN, es la misma que sirve de backbone para Cloudflare Access.

Filosofía del producto: Zero Trust nativo, no retrofit

Muchos productos ZTNA actuales son VPNs tradicionales con capas de Zero Trust agregadas. Cloudflare Access fue diseñado desde cero con la premisa Zero Trust y se apoya en tres principios arquitectónicos:

• Nunca confiar en la red — la ubicación del usuario no otorga privilegios; toda solicitud se valida por identidad
• Verificar identidad y dispositivo en cada acceso — no solo al inicio de sesión sino continuamente
• Acceso granular por aplicación — los usuarios se conectan a recursos específicos, no a redes completas

La diferencia filosófica con una VPN clásica es sustancial. Con VPN, el usuario autenticado entra a la red corporativa y tiene acceso horizontal a todo lo que esa red contiene. Con Cloudflare Access, el usuario autenticado accede solo a la aplicación específica autorizada, sin visibilidad ni conectividad hacia el resto. Si la cuenta del usuario se ve comprometida, el atacante no hereda acceso lateral a la infraestructura.

La plataforma Cloudflare Zero Trust

Cloudflare Access es un módulo dentro de la plataforma más amplia Cloudflare Zero Trust, que incluye:

• Cloudflare Access — ZTNA para aplicaciones internas y SaaS
• Cloudflare Gateway — Secure Web Gateway (SWG) con filtrado DNS, inspección de tráfico y políticas de salida
• Cloudflare CASB — descubrimiento y control de aplicaciones SaaS no aprobadas (shadow IT)
• Cloudflare DLP — prevención de fuga de datos con inspección de contenido
• Cloudflare Browser Isolation — aislamiento remoto de navegación riesgosa
• Cloudflare Email Security — protección anti-phishing (tras la adquisición de Area 1 Security)
• Cloudflare WARP — cliente endpoint para usuarios remotos
• Cloudflare Tunnel — conectores seguros hacia recursos internos sin abrir puertos

Todo opera sobre la misma red global y se gestiona desde una consola unificada. En términos de Gartner, Cloudflare es reconocido como Challenger/Visionario en Security Service Edge (SSE), con foco fuerte en pricing agresivo y arquitectura moderna.

Capacidades técnicas principales

Acceso sin agente para aplicaciones web

Uno de los diferenciales de Cloudflare Access: para aplicaciones web internas, no se requiere instalar un agente en el dispositivo del usuario. El acceso se hace a través del navegador, con Cloudflare actuando como proxy inverso autenticado. La aplicación interna queda publicada en una URL única protegida (por ejemplo crm.empresa.com) y Cloudflare valida identidad antes de enrutar el tráfico.

Esto simplifica drásticamente el onboarding de contratistas, partners y empleados con BYOD donde instalar agentes corporativos no siempre es viable.

Acceso con agente para aplicaciones no-web

Para aplicaciones que no son HTTP (SSH, RDP, bases de datos, aplicaciones legacy), el cliente WARP establece conectividad segura hacia los recursos internos. WARP está disponible para Windows, macOS, Linux, iOS, Android y ChromeOS.

Cloudflare Tunnel: cero exposición de puertos

Una de las capacidades arquitectónicas más elegantes del producto. Los recursos internos (servidores, aplicaciones, APIs) se conectan a Cloudflare mediante tunnels salientes — no requieren IPs públicas ni puertos abiertos en el firewall. El atacante externo no puede siquiera ver que los recursos existen.

El flujo es:

1. Cloudflare Tunnel corre en el servidor interno como daemon liviano
2. Inicia conexión saliente a Cloudflare (outbound-only)
3. Los usuarios acceden vía Cloudflare Access con autenticación validada
4. Cloudflare enruta el tráfico autenticado hacia el tunnel

No hay NAT, no hay reglas de firewall inbound, no hay exposición pública. Esto elimina toda una clase de vulnerabilidades (RDP expuesto, SSH con credenciales débiles, apps internas mal protegidas).

Integración con IdPs: múltiples identidades simultáneas

Cloudflare Access soporta integración con múltiples proveedores de identidad simultáneamente, lo que es inusual en el mercado:

• Enterprise — Okta, Microsoft Entra ID, Google Workspace, OneLogin, JumpCloud, Ping Identity
• Social — GitHub, LinkedIn, Facebook, Apple (útil para acceso de contratistas)
• Desarrolladores — GitHub Organizations, GitLab
• Genéricos — SAML 2.0, OpenID Connect, LDAP
• One-time PIN — código enviado por email como factor alternativo para contratistas sin IdP

Se pueden definir políticas que requieran diferentes IdPs según la aplicación: acceso al CRM solo vía Okta, acceso al GitHub interno vía GitHub Organizations, acceso al portal de proveedores vía One-time PIN.

Políticas basadas en identidad, dispositivo y contexto

Las políticas de acceso pueden evaluar simultáneamente:

• Identidad — usuario, grupo, roles del IdP
• Dispositivo — postura del endpoint (MDM registrado, disco cifrado, antivirus activo)
• Geolocalización — país de origen del acceso
• Hora — ventanas temporales permitidas
• Tipo de conexión — IP corporativa vs residencial
• Certificado cliente — para flujos mTLS avanzados

Ejemplo de política real: "acceso al CRM permitido para usuarios en el grupo Comercial, desde dispositivos gestionados por Intune, desde IPs en Argentina o Brasil, entre las 8:00 y las 22:00 hora local".

Device Posture

Cloudflare Access evalúa la postura del dispositivo antes de permitir acceso, integrándose con:

• CrowdStrike Falcon — verifica que el endpoint tiene Falcon instalado y sin amenazas activas
• SentinelOne — integración similar
• Microsoft Intune — dispositivo gestionado y cumpliendo políticas
• Jamf — dispositivos macOS bajo gestión
• Kolide — verificación detallada de configuración
• WARP client — información básica del endpoint (OS, versión, disco cifrado)

Esto permite políticas de acceso condicional similares a las de Azure AD pero aplicables a cualquier aplicación, no solo las integradas con Microsoft.

Log y auditoría

Todos los eventos de acceso se registran con detalle: usuario, aplicación, IP, dispositivo, decisión de política, duración de sesión. Los logs se exportan vía API o integración nativa a:

• SIEM — Splunk, Microsoft Sentinel, Datadog, Sumo Logic
• Analytics — Cloudflare Logpush a S3, GCS, Azure Blob
• SOAR — integraciones con plataformas principales

Rendimiento y red global

El diferencial estructural de Cloudflare frente a competidores ZTNA es la red global propia. Datos concretos:

• 330+ ciudades en 125+ países con puntos de presencia
• A menos de 50 ms del 95% de la población mundial con internet
• Más de 300 Tbps de capacidad de red
• Anycast para ruteo óptimo automático hacia el PoP más cercano

Para el usuario final, esto se traduce en latencia baja consistente sin importar desde dónde se conecte. No hay concentradores regionales congestionados como en arquitecturas ZTNA tradicionales — el tráfico entra al PoP más cercano, es validado y sale optimizado hacia el destino.

Pricing y modelos

Cloudflare tiene una estructura de pricing agresivamente competitiva que fue clave en su expansión:

• Free — hasta 50 usuarios, con Cloudflare Access + Gateway incluidos (raro en el mercado empresarial)
• Zero Trust Standard — desde USD 7 por usuario/mes con features esenciales
• Zero Trust Advanced — USD 10 por usuario/mes con DLP, CASB, Browser Isolation
• Zero Trust Enterprise — cotización custom con SLAs, soporte premium, Log Push incluido

El plan Free con 50 usuarios es poco común en el mercado y convirtió a Cloudflare en la entrada a ZTNA para miles de PyMEs y startups que después se quedaron en la plataforma al crecer.

Casos de uso ideales

• Empresas modernas que quieren reemplazar la VPN tradicional por ZTNA real
• Startups y PyMEs técnicas que aprovechan el plan Free para empezar
• Organizaciones con fuerza de trabajo distribuida y BYOD significativo
• Empresas con contratistas y partners externos que necesitan acceso granular temporal
• Organizaciones con aplicaciones internas que quieren publicar sin exponer puertos
• Empresas con presencia multi-regional que se benefician de la red global
• Organizaciones que ya usan Cloudflare para CDN/DDoS y quieren extender al security edge
• Sectores modernos — SaaS, fintech, medios digitales, e-commerce, tech

Consideraciones

• Curva de aprendizaje para aprovechar políticas avanzadas de Access y Gateway — la profundidad del producto es alta
• Dependencia de Cloudflare como punto de entrada a la red corporativa; si Cloudflare tiene problemas (históricamente raros pero han ocurrido), afecta el acceso
• Aplicaciones muy legacy (mainframe, sistemas industriales propietarios) pueden requerir ingeniería adicional
• Integraciones con stacks on-premise tradicionales menos madura que competidores enterprise históricos
• Browser Isolation es funcional pero no tan pulido como la propuesta de Menlo Security o Zscaler
• Soporte en idioma local (español) disponible pero con variabilidad según región
• Cambio de modelo mental requerido — pasar de "conectarme a la red" a "conectarme a la aplicación" toma tiempo para equipos acostumbrados a VPN
• Compliance específico (FedRAMP High, IRAP) en evolución; verificar estado actual si es requisito

Conclusión

Cloudflare Access es en 2026 una de las opciones más atractivas del mercado ZTNA para cualquier empresa que esté armando o renovando su arquitectura de acceso remoto. Su combinación de red global masiva, pricing agresivo, simplicidad arquitectónica (con Cloudflare Tunnel eliminando exposición de puertos) y plan Free real lo convirtieron en un disruptor legítimo del mercado tradicional de VPN empresarial.

Frente a competidores directos, Cloudflare gana claramente en latencia global y en relación costo-beneficio, aunque Zscaler sigue siendo más maduro en el tier enterprise de muy gran escala y Twingate ofrece mejor DX para perfiles técnicos de mid-market.

Para empresas argentinas y latinoamericanas que quieren dejar atrás la VPN tradicional (con sus problemas de seguridad, rendimiento y operación), Cloudflare Access es probablemente la recomendación más sensata del mercado: técnicamente moderno, económicamente accesible, operativamente simple y respaldado por una de las infraestructuras de red más robustas del mundo.