Por qué me deshice de cloudflare (y tú también deberías)
Socialism.tools Admin
2021-07-05

Cuando publiqué la Parte 1 de Tomar el control de las herramientas digitales de su capítulo, elegí Cloudflare como registrador de dominios y servidor de nombres debido a su ubicuidad y bajo coste. Después de publicarlo, un lector me señaló un artículo en el que se enumeraban muchos problemas con Cloudflare de los que yo no era consciente, y añadió a mi lista la búsqueda de alternativas a Cloudflare.

Este mes de junio, ese tema se disparó a lo más alto de mi lista cuando el soporte de Cloudflare me amenazó con banear toda mi cuenta.

Este es el primer correo electrónico que recibí de los sistemas automatizados de Cloudflare. La parte borrosa contiene mi dirección de correo electrónico principal que usé para registrarme en Cloudflare hace años, no el correo electrónico que usé específicamente para este sitio. Yo alojaba otros dominios en Cloudflare en ese momento, y me sentí aterrado de que todos estuvieran ahora fuera de línea (y porque Cloudflare era también mi registrador, totalmente indisponible) debido a una posible violación de los términos de servicio. No sólo se me deja adivinar qué parte de las 39.000 palabras de las condiciones de servicio he violado, sino que ni siquiera se me prohíbe por una violación, simplemente por una posible.

Me conecto a la consola de Cloudflare. No hay ningún mensaje de advertencia, ninguna gran pancarta roja que me avise de mi aparente destierro de la plataforma. Mis sitios están todos en funcionamiento; puedo hacer los cambios que quiera. Ahora me pregunto si me han asustado con un correo electrónico de suplantación de identidad (como es la mejor práctica, no hice clic en ningún enlace del correo electrónico, sino que fui directamente a Cloudflare). Pero después de una revisión, el correo electrónico parecía ser legítimo – DKIM/DMARC/SPF todo comprobado, los enlaces eran a páginas reales de Cloudflare. Tomé el siguiente paso lógico y envié un correo electrónico al soporte de Cloudflare.

Yo: Recibí dos correos electrónicos de abuse@cloudflare diciéndome que estaba violando las TOS, pero no me decía qué estaba violando, qué dominio lo estaba violando, etc. ¿Son legítimos estos correos electrónicos y, en caso afirmativo, qué estoy infringiendo?

Cloudflare (unas horas después): La página intersticial de su sitio web se activó automáticamente porque está sirviendo vídeo o una cantidad desproporcionada de imágenes sin haber pagado por dichos servicios, lo que infringe la sección 2.8 de nuestras condiciones de servicio. Para más información y opciones de productos, consulte este artículo de soporte de KB.

Cloudflare (unas horas después del mensaje anterior, aún no lo había visto): ¿Puedes compartir con nosotros el correo electrónico que has recibido? Por favor, comparta una captura de pantalla del correo electrónico o en formato de texto plano.

Nunca vi ninguna página intersticial en mi sitio web y nunca se me notificó que se pusiera una. Además, ¿por qué no me lo dijeron en el correo electrónico de alerta que recibí? ¿Podría Cloudflare estar tan desesperadamente mal gestionado que su equipo de abuso, su equipo de soporte y sus equipos de plataforma estén tan desincronizados?

Yo: Me aseguré de que mi subdominio de vídeo (watch.socialism.tools) es gris (sólo DNS) ¿había otro subdominio que sirviera vídeo o demasiadas imágenes, y si es así cuál? Mi blog también es gris.

Recibí una última respuesta, y luego nada más de ese caso de soporte:

En un nuevo hilo de correo electrónico (el equipo de seguridad no utiliza Zendesk, evidentemente), tuve el siguiente intercambio

Cloudflare: La cuenta fue suspendida por fraude. Como control de seguridad contra posibles fraudes con tarjetas de crédito, Cloudflare necesitaba algunos datos que usted no proporcionó. Consulte nuestra correspondencia anterior.

Yo: Si mi cuenta fue suspendida por fraude, ¿por qué puedo seguir ingresando y por qué no veo nada en la consola? ¿Tampoco me pidieron ningún detalle?

Cloudflare: Por favor, responda a nuestro correo electrónico con la información solicitada.

Como control de seguridad contra posibles fraudes con tarjetas de crédito, Cloudflare necesitará los siguientes datos antes de proceder a la compra o a la actualización de un plan de nivel de pago:

Por favor, proporcione las siguientes fotos de verificación:
1.) fotos del anverso y el reverso de la tarjeta de crédito que desea utilizar
2.) fotos del anverso y el reverso de su documento de identidad con fotografía emitido por el gobierno que coincida con el mismo nombre de la tarjeta de crédito que desea utilizar.
3.) foto de usted sosteniendo las dos piezas de información

Por favor, envíe su información por correo electrónico a abusebilling@cloudflare.com para su revisión.

Una vez que hayamos recibido y verificado estos datos, podrá proceder a la actualización a un plan de nivel de pago. Tiene 24 horas para acusar recibo de este correo electrónico y, si no responde, rebajaremos su dominio al nivel de servicio gratuito.

En este punto, mi confusión se está convirtiendo más en frustración porque se me pide que enviar por correo electrónico la información de mi tarjeta de crédito y una foto de identificación junto con un selfie (esta información y la foto es lo que suelen pedir los bancos para cumplir con las leyes federales antiterroristas; no hay ninguna razón por la que un registrador o CDN necesite esto). Espero que esto ya esté claro, pero por si acaso: ¡no pongas nunca los datos de la tarjeta de crédito en un correo electrónico! Tampoco deberías enviar por correo electrónico tu documento de identidad con foto, pero es una petición deprimentemente común. Es técnicamente posible mantener la seguridad y la denuncia cuando se envían datos sensibles por correo electrónico, pero también es muy fácil meter la pata y generalmente se recomienda no hacerlo, nunca.

Después de que me pidan que confíe a un tercero casi toda mi documentación financiera y de identidad crítica, hago un valiente esfuerzo por seguir siendo educado:

Yo: No estoy intentando pasar a un plan de nivel de pago y no me siento muy cómodo enviando por correo electrónico las fotos de la tarjeta de crédito.

Cloudflare: Este es un correo electrónico legítimo. Puede comprobarlo a través de nuestro equipo de asistencia si tiene alguna duda. Necesitaremos esta información para verificar sus datos de facturación. Una vez hecho esto, lo borraremos. Hemos suspendido su cuenta hasta que se resuelva este asunto.

Algunas notas aquí: Mi cuenta aún no está suspendida, no parece haber nada malo en absoluto. Me siguen pidiendo que envíe por correo electrónico datos extremadamente sensibles con un propósito poco claro. Sólo a través del correo electrónico me dicen que mi cuenta ha sido prohibida, y el representante no parece saber que todavía puede visitar socialism.tools para obtener tutoriales en profundidad, entradas de blog perspicaces y la combinación de colores más llamativa de la blogosfera de la izquierda. Bromas aparte (la combinación de colores es impecable, obviamente) vuelvo a contestar:

A mí: ¿Qué significa que se suspenda mi cuenta? Todavía puedo iniciar sesión y no veo ningún cambio en mis sitios ni ninguna notificación en ninguna parte del portal de cloudflare.

Cloudflare: Esto significa que no podrás pasar a nuestros planes de pago hasta que verifiques tu información de facturación. Puede comprobarlo a través de nuestro equipo de asistencia si tiene alguna duda. Necesitaremos esta información para verificar sus datos de facturación. Una vez hecho esto, lo borraremos. Hemos suspendido su cuenta hasta que se resuelva este asunto.

Llegados a este punto, me doy cuenta de que todo esto no es más que una venta dura para un plan de pago de Cloudflare. No tengo la capacidad de responder a un correo electrónico como ese amablemente, así que no lo hago. No me gustan las amenazas de extorsión y empecé a buscar otros proveedores.

Ahora, felizmente, estoy utilizando Gandi para comprar dominios y gestionar mis registros DNS. Gandi se integra con Cloudron, el proceso de transferencia fue bien, y Gandi soporta equipos, por lo que varias personas pueden compartir la responsabilidad de DNS. Todavía no he tenido que contactar con su soporte, así que no puedo hablar de ello, pero es imposible que sean peores que el soporte de Cloudflare.

Por favor, aprenda de mis errores y evite Cloudflare para empezar. No merecen nuestro dinero ni nuestra confianza.

Pin It on Pinterest