A primeras horas de esta mañana 5 de diciembre de 2025, les informamos sobre una interrupción de Cloudflare que provocó fallos generalizados en sitios web y servicios que dependen de su red. Durante aproximadamente 25 minutos, millones de usuarios de todo el mundo experimentaron errores HTTP 500 al intentar acceder a las distintas plataformas.
Aunque el incidente fue breve, su impacto fue significativo: cerca del 28% del tráfico HTTP global que es gestionado por la red perimetral de Cloudflare se vio afectado. La compañía confirmo que el fallo no estuvo relacionado con ningún ataque cibernético, sino con un cambio interno en su sistema de análisis destinados a mitigar una vulnerabilidad crítica en React Server Components.
Causas técnicas de la interrupción de Cloudflare – Dic 5 de 2025
El error se originó tras una actualización en el firewall de aplicaciones web (WAF) de la plataforma. Este componente analiza el cuerpo de las solicitudes HTTP para detectar cargas maliciosas. Como parte de un despliegue de seguridad, la compañía amplió el tamaño del búfer de 128 KB a 1 MB para proteger mejor a los usuarios de una vulnerabilidad identificada como CVE-2025-55182.
El problema no fue causado, directa ni indirectamente, por un ciberataque a los sistemas de Cloudflare ni por ninguna actividad maliciosa. En cambio, se desencadenó por cambios en la lógica de análisis de nuestro cuerpo al intentar detectar y mitigar una vulnerabilidad generalizada en la industria, descubierta esta semana en React Server Components, explicó la compañía.
Durante este despliegue, el equipo técnico desactivó una herramienta interna de prueba del WAF. El cambio, implementado mediante el sistema de configuración global -que propaga actualizaciones en segundos para todos los servidores-, provocó un fallo en la versión FL1 del proxy de Cloudflare. Ese error generó una excepción en Lua al intentar ejecutar una acción inexistente, lo que causó que los servidores devolvieran respuestas HTTP 500 de forma masiva.
Impacto y respuesta inmediata
Los clientes afectados fueron aquellos que utilizan el antiguo proxy FL1 con conjunto de reglas administradas. Para ellos, todos los intentos de acceso a sus sitios devolvían errores, salvo en en endpoints de prueba como /cdn-cgi/trace.
El equipo de ingeniería identificó rápidamente el problema y revirtió la configuración a las 09:12 UTC, restableciendo el servicio completamente.
Cloudflare enfatizó que los usuarios de su red en China no se vieron afectados. La empresa reiteró su compromiso con la resiliencia del sistema y reconoció la gravedad de la interrupción, especialmente tras un incidente similar ocurrido el pasado 18 de noviembre de 2025, también relacionado con un cambio de configuración.
Errores de código y planes de resiliencia
El error central se debió a una condición no prevista en el código Lua del módulo de reglas. El sistema intentó acceder a un campo execute que no existía tras aplicar un “interruptor de seguridad” a una regla. Este tipo de errores, según Cloudflare, no puede producirse en su nuevo proxy FL2, reescrito completamente en Rust, un lenguaje que previene este tipo de fallos de nulos gracias a su sistema de tipos seguro.
Tras el incidente, la compañía reforzará tres líneas clave de trabajo:
- Implementaciones y control de versiones mejorados, con validación de estado y reversión rápida.
- Capacidades optimizadas de respuesta inmediata, para garantizar operaciones críticas incluso durante fallos.
- Manejo de errores con “fail-open”, que permitirá mantener el servicio activo ante configuraciones dañadas.
Antes de finalizar la próxima semana, la plataforma publicará un informe técnico con los avances en sus proyectos de resiliencia. Mientras tanto, ha detenido temporalmente los despliegues en toda su red hasta reforzar sus sistemas de mitigación y reversión.
La interrupción de Cloudflare de hoy 5 de diciembre de 2025 vuelve a evidenciar la dependencia global de las redes de entrega de contenido y la necesidad de fortalecer los mecanismos de seguridad sin comprometer la disponibilidad. La empresa reconoció públicamente su responsabilidad y pidió disculpas a sus clientes y al ecosistema de Internet por los inconvenientes causados.