Cloudflare Security Insights: escaneo 12x mas rapido
Cloudflare llevó su sistema de escaneo de seguridad de unos 10 a más de 120 escaneos por segundo, según el anuncio oficial de ingeniería de Cloudflare de junio de 2026. La mejora en el rendimiento del escaneo de Cloudflare Security Insights salió de optimizar consumidores de Kafka, consultas a PostgreSQL y la latencia entre datacenters, lo que permite escaneos más frecuentes para todos los planes, incluidos los gratuitos.
Cloudflare Security Insights es una función del panel de Cloudflare que revisa de forma automática la configuración de seguridad de tu cuenta (DNS, certificados SSL/TLS, reglas de WAF y políticas de Cloudflare Access) y te avisa cuando detecta algo mal configurado o riesgoso. No mira el código de tu sitio: mira cómo está parada tu seguridad del lado de Cloudflare y prioriza los hallazgos por gravedad.
En 30 segundos
- De 10 a 120+ escaneos por segundo: Cloudflare reescribió el pipeline de escaneo para multiplicar por más de diez la capacidad.
- Cuatro cuellos de botella resueltos: consumidores de Kafka bloqueados, demasiadas inserciones en Postgres, latencia entre datacenters y un planificador lento.
- Escaneo automático gratis: ahora también las cuentas gratuitas escanean sin que tengas que tocar nada.
- Frecuencia según plan: cuentas gratuitas cada 7 días, Pro/Business cada 3 días, Enterprise a diario.
- Detección más temprana: más escaneos por segundo significa que un certificado vencido o una regla de WAF rota se detecta antes.
Cloudflare es una plataforma de seguridad y aceleración web que proporciona servicios de red de distribución de contenido (CDN), protección contra ataques DDoS, firewall de aplicaciones web y DNS. Fue fundada en 2009 y es desarrollada por Cloudflare Inc.
¿Cuáles eran los cuellos de botella que frenaban el escaneo?
Ponele que tenés un sistema que escanea millones de cuentas y, cada vez que aparece una lenta, todo el resto se queda esperando atrás. Eso es más o menos lo que pasaba.
El equipo de Cloudflare identificó cuatro problemas concretos que limitaban el rendimiento. Los consumidores de Kafka se bloqueaban cuando un mensaje tardaba más de la cuenta. Las inserciones a PostgreSQL eran tantas y tan chicas que saturaban la base. La comunicación entre datacenters sumaba latencia de ida y vuelta. Y el planificador que decidía qué escanear y cuándo no daba abasto.
Ninguno de los cuatro era un desastre por sí solo. Juntos, sí.
¿Qué velocidad alcanzó el escaneo de Cloudflare Security Insights?
El salto en el rendimiento del escaneo de Cloudflare Security Insights pasó de un orden de 10 escaneos por segundo a más de 120, según los datos que publicó la propia empresa. Es una mejora de más de diez veces sobre la arquitectura anterior. Para profundizar en seguridad en Workers, consultá nuestro artículo sobre proteger credenciales en Workers.
¿Por qué importa el número? Porque a 10 por segundo, escanear toda la base de clientes con la frecuencia deseada era imposible. A 120+, recién ahí cierra la cuenta para ofrecer escaneo automático incluso a las cuentas que no pagan. La velocidad no es un capricho de ingeniería: es lo que habilita la cobertura.
¿Cómo optimizaron el procesamiento con Apache Kafka?
El problema clásico de Kafka cuando procesás mensajes en orden: si uno tarda, los que vienen atrás esperan. Un solo escaneo pesado bloqueaba la cola entera.
La solución que describe el equipo combina procesamiento en lotes con goroutines en paralelo y, sobre todo, separar el tráfico en dos carriles. Un carril “rápido” para los mensajes livianos y uno “lento” para los pesados. Así un escaneo grande no le frena el paso a cientos de chicos que podrían haberse resuelto en milisegundos. Es la misma lógica de la caja rápida del súper para el que lleva dos productos.
¿Qué cambiaron en las consultas a PostgreSQL?
Acá la decisión fue híbrida. Para algunos casos usaron UNNEST, que arma inserciones eficientes a partir de arrays. Para volúmenes más grandes, COPY, que es el camino más rápido de Postgres para meter muchísimas filas de una. Complementá con almacenamiento seguro de datos.
El criterio: cada técnica gana en un rango distinto de cantidad de datos. En vez de casarse con una sola, eligen según el caso. Menos inserciones individuales, menos presión sobre la base, más margen para escalar.
¿Cómo resolvieron la latencia entre datacenters?
Este es el más fácil de visualizar. Imaginá que el sistema corría activo-activo en dos regiones, ponele Portland y Ámsterdam. Cada consulta tenía que cruzar el océano y volver, y esos viajes de ida y vuelta sumaban timeouts.
El cambio fue pasar a un esquema activo-pasivo, alineando el procesamiento con la zona primaria donde vive el dato. Sin idas y vueltas transatlánticas por cada operación, la latencia baja y los timeouts desaparecen. Menos elegante en el papel, mucho más rápido en la práctica.
¿Con qué frecuencia escanea Cloudflare ahora según el plan?
Con la capacidad nueva, Cloudflare habilitó el escaneo automático por defecto y lo escalonó por plan con esta frecuencia según el anuncio:
| Plan | Frecuencia de escaneo | Escaneo automático |
|---|---|---|
| Gratuito (Free) | Cada 7 días | Sí, habilitado |
| Pro / Business | Cada 3 días | Sí, habilitado |
| Enterprise | Diario | Sí, habilitado |
Esto se conecta con lo que analizamos en pipelines seguros e integración continua.
El dato grande acá es la fila de arriba: que una cuenta gratuita tenga escaneo automático cada 7 días sin configurar nada es algo que antes no entraba en los números. Además podés disparar escaneos manuales cuando los necesités.
¿Qué configuraciones de seguridad detecta Security Insights?
Según la documentación de Cloudflare, los insights se reparten en varias categorías:
- DNS: registros expuestos, configuraciones que filtran tu IP de origen o dejan puertas abiertas.
- SSL/TLS: certificados próximos a vencer, modos de cifrado débiles o mal configurados.
- WAF: reglas faltantes o desactivadas que deberían estar protegiéndote.
- Cloudflare Access: políticas de acceso laxas o aplicaciones sin protección.
Cada hallazgo viene categorizado por gravedad, así sabés qué atacar primero. Un detalle de permisos: el rol de administrador ve y gestiona todos los insights, mientras que otros usuarios tienen visibilidad acotada según su nivel.
Si estás del lado de la infraestructura web (servidores, dominios, hosting), este tipo de chequeo automático te ahorra el laburo manual de revisar configuraciones una por una. Y si tu proyecto vive en infraestructura argentina, un proveedor como donweb.com te resuelve el hosting y los dominios mientras Cloudflare te cubre la capa de seguridad por delante.
Errores comunes al usar Security Insights
- Pensar que escanea tu código: no busca vulnerabilidades en tu app ni en tus plugins. Revisa la configuración del lado de Cloudflare. Para el código necesitás otra herramienta.
- Ignorar los hallazgos de baja gravedad: un certificado a 20 días de vencer figura como aviso menor hasta que se vence un domingo a la madrugada y se te cae el sitio. Atendé los avisos antes de que escalen.
- Asumir que “automático” es “instantáneo”: en plan gratuito el escaneo corre cada 7 días. Si acabás de cambiar una config crítica, disparalo manual en vez de esperar.
Preguntas Frecuentes
¿Qué es Cloudflare Security Insights?
Es una función del panel de Cloudflare que escanea de forma automática la configuración de seguridad de tu cuenta (DNS, SSL/TLS, WAF y Access) y reporta problemas priorizados por gravedad. No analiza el código de tu aplicación, sino cómo está configurada tu seguridad en Cloudflare.
¿Qué velocidad de escaneo alcanzó el sistema?
Más de 120 escaneos por segundo, frente a un orden de 10 por segundo en la arquitectura anterior. Es una mejora superior a diez veces, lograda optimizando Kafka, PostgreSQL y la comunicación entre datacenters. Tema relacionado: automatización segura de despliegues.
¿Cada cuánto escanea mi sitio?
Depende del plan: cuentas gratuitas cada 7 días, Pro y Business cada 3 días, y Enterprise a diario. También podés ejecutar escaneos manuales cuando quieras una verificación inmediata.
¿Cómo mejoró Cloudflare el rendimiento del escaneo?
Separó el tráfico de Kafka en carriles rápido y lento para evitar bloqueos, combinó UNNEST y COPY en PostgreSQL para insertar datos más rápido, y pasó de un esquema activo-activo a activo-pasivo para eliminar la latencia entre regiones.
¿El escaneo automático está disponible en el plan gratuito?
Sí. Con la capacidad nueva, Cloudflare habilitó el escaneo automático por defecto incluso en cuentas gratuitas, con una frecuencia de cada 7 días. Antes esto no era viable por la limitación de rendimiento del sistema.
Conclusión
Lo que cambió no es una función nueva, es que una función existente ahora alcanza para todos. Pasar de 10 a 120+ escaneos por segundo es lo que permitió que hasta una cuenta gratuita tenga revisión automática de seguridad cada semana.
El detalle interesante es de dónde salió la mejora: nada de magia, puro trabajo de plomería sobre Kafka, Postgres y la topología entre datacenters. Si administrás sitios en Cloudflare, entrá al panel, revisá tus insights pendientes y ordenalos por gravedad. Lo que antes era una auditoría manual que postergabas, ahora corre solo. Aprovechalo.
