Seguridad de nube e infraestructura

CDN (Red de Distribución de Contenido)

Se lee en aproximadamente 3 minutos

Última actualización: 2026-03-10

Qué es CDN

CDN (Content Delivery Network) es un mecanismo que almacena en caché contenido en servidores de borde distribuidos por todo el mundo y lo entrega desde el servidor más cercano al usuario. Reduce la latencia de red causada por la distancia física y mejora la velocidad de visualización de sitios web.

El funcionamiento básico de CDN es dirigir la solicitud del usuario al servidor de borde más cercano mediante DNS, responder directamente desde el borde si hay caché, o si no, obtener del servidor de origen, almacenar en caché y responder. Cada vez más CDN soportan no solo archivos estáticos (imágenes, CSS, JavaScript) sino también caché de respuestas API y contenido dinámico.

Efectos de seguridad del CDN

CDN desempeña un papel importante no solo en la aceleración sino también desde la perspectiva de seguridad.

  • Mitigación de ataques DDoS: La red de borde del CDN tiene capacidad para absorber tráfico a gran escala. El tráfico de ataque se dispersa y bloquea en el borde antes de llegar al servidor de origen, protegiendo la disponibilidad del origen
  • Ocultación del origen: Al pasar por CDN, se puede ocultar la dirección IP del servidor de origen al exterior. Dificulta que los atacantes ataquen directamente el origen
  • Terminación de TLS/SSL: Se puede terminar TLS en el borde del CDN y centralizar la gestión de certificados. También se pueden añadir cabeceras HSTS en el borde
  • Integración con WAF: Muchos proveedores de CDN integran funcionalidad WAF, pudiendo bloquear ataques como inyección SQL y XSS en el borde. CloudFront + AWS WAF y Cloudflare WAF son ejemplos representativos

Consideraciones al implementar CDN

CDN no es una solución universal y hay puntos a considerar al implementar.

  • Consistencia de caché: Aunque se actualice el contenido, se sigue entregando contenido antiguo hasta que expire el TTL (Time to Live) de la caché. Es necesario incorporar mecanismos de purga (invalidación) de caché en la operación
  • Prevención de caché de información confidencial: Configurar adecuadamente las cabeceras Cache-Control para que las respuestas que contienen información personal o tokens de autenticación no se almacenen en caché en el borde. Cache-Control: no-store previene con certeza el caché de respuestas confidenciales
  • Restricción de acceso directo al origen: Aunque se implemente CDN, si el acceso directo al servidor de origen sigue siendo posible, el efecto de mitigación de DDoS se reduce a la mitad. Permitir solo acceso desde el rango de IP del CDN en los grupos de seguridad del origen
  • Configuración de DNS: Para usar CDN es necesario apuntar los registros DNS del dominio al endpoint del CDN. Se necesita configuración de registros CNAME o ALIAS y un plan de migración considerando el tiempo de propagación DNS

Funcionamiento de CDN y estrategia de caché

Comprender correctamente el comportamiento de caché del CDN y diseñar una estrategia adecuada es clave para la optimización del rendimiento.

Estructura jerárquica de ubicaciones de borde: Los CDN a gran escala tienen una estructura de 2 capas: el "Edge PoP (Point of Presence)" más cercano al usuario y el "Origin Shield (capa de caché intermedia)" entre el borde y el origen. Al habilitar el Origin Shield, los fallos de caché de múltiples Edge PoP se agregan en el Origin Shield, reduciendo significativamente las solicitudes al servidor de origen.

Diseño de cabeceras Cache-Control: La estrategia de caché se diferencia por tipo de contenido.

  • Cache-Control: public, max-age=31536000, immutable - Activos estáticos con nombre de archivo con hash (CSS, JS, imágenes). Caché de 1 año sin revalidación hasta que cambie el nombre del archivo
  • Cache-Control: public, max-age=3600, s-maxage=86400 - Páginas HTML. Caché del navegador 1 hora, caché CDN 24 horas, permitiendo caché más largo en el lado CDN
  • Cache-Control: no-store - Respuestas autenticadas o páginas con información personal. Sin caché en absoluto

Invalidación de caché (purga): Hay 2 métodos para reflejar inmediatamente las actualizaciones de contenido: purga por ruta (eliminar caché de URL específica) y purga total (eliminar toda la caché). La mejor práctica operativa es incorporar la purga en el pipeline de despliegue para vincular la actualización de contenido con la actualización de caché.

Detalles de las funciones de seguridad del CDN

Los CDN modernos funcionan como plataformas de seguridad integrales más allá de una simple capa de caché.

Mecanismo de mitigación DDoS: La red de borde del CDN tiene un ancho de banda de decenas de Tbps, absorbiendo ataques DDoS volumétricos. Los ataques de capa 3/4 (SYN flood, UDP flood) se descartan automáticamente en el borde, y los ataques de capa 7 (HTTP flood) se manejan con limitación de tasa y detección de anomalías. Como el servidor de origen no recibe ataques directamente, incluso infraestructuras pequeñas pueden resistir ataques a gran escala.

Gestión de bots: Identifica crawlers legítimos (Googlebot, etc.) y bots maliciosos (scrapers, bots de credential stuffing) y bloquea solo los maliciosos. Combina técnicas como desafíos JavaScript, CAPTCHA y análisis de comportamiento.

Terminación TLS en el borde: Al terminar TLS en el borde del CDN, se cifra la comunicación entre usuario y borde mientras se comunica eficientemente entre borde y origen como red interna. La compatibilidad con TLS 1.3, HTTP/2 y HTTP/3 (QUIC) más recientes también se gestiona centralmente en el borde, permitiendo actualizar protocolos sin cambiar la configuración del servidor de origen.

Control de acceso geográfico: El borde del CDN puede determinar la información geográfica del usuario (país, región) y bloquear o redirigir accesos desde países específicos. Se utiliza para bloquear accesos desde países sancionados o restricciones de licencia regional.

Conceptos erróneos comunes

Si implementas CDN, no necesitas medidas de seguridad en el servidor de origen
CDN es una capa de defensa frente al origen, pero existe la posibilidad de que se acceda directamente al origen evitando el CDN. La seguridad del servidor de origen (aplicación de parches, control de acceso, cifrado) sigue siendo necesaria.
CDN solo es necesario para sitios a gran escala
Incluso sitios pequeños se benefician enormemente del CDN. La mitigación de DDoS, la gestión automática de certificados TLS y la mejora de velocidad de distribución global son efectivas independientemente del tamaño del sitio. Existen CDN como el plan gratuito de Cloudflare que se pueden implementar sin costo.

Términos relacionados

Ataque DDoS Un ataque de denegación de servicio distribuido que inunda un servidor o red obj… WAF (Web Application Firewall) Una solución de seguridad que monitorea, filtra y bloquea tráfico HTTP/HTTPS mal… TLS/SSL Protocolos criptográficos que cifran las comunicaciones de internet para garanti… HSTS (HTTP Strict Transport Security) Un mecanismo de seguridad en el que un servidor web envía un encabezado de respu… DNS (Domain Name System) Un sistema que traduce nombres de dominio legibles por humanos (por ejemplo, exa…

Artículos relacionados

Fundamentos de firewalls - Tu primera línea de defensa en la red Comprende cómo funcionan los firewalls, los diferentes tipos disponibles y estrategias prácticas de … Cómo funcionan HTTPS y TLS - El cifrado detrás de la comunicación segura Comprende cómo HTTPS y TLS cifran tu comunicación, el papel de los certificados, las diferencias ent…
← Glosario