Cómo evitar Cloudflare en 2026: herramientas, código y tácticas

Cloudflare no se basa en una única comprobación. Establece una puntuación de confianza compuesta para cada solicitud evaluando múltiples señales en paralelo: características del protocolo de enlace TLS, resultados de la ejecución de JavaScript, reputación de la IP, comportamiento de navegación y respuestas al desafío de Turnstile. Si la puntuación combinada cae por debajo de un umbral específico del sitio, Cloudflare muestra una página de desafío o bloquea directamente el acceso.

Lo que dificulta las cosas a los scrapers es que Cloudflare utiliza modelos de aprendizaje automático específicos para cada cliente. Estos modelos aprenden los patrones de tráfico normales de cada sitio protegido, incluyendo la duración típica de las sesiones y las secuencias de navegación por las páginas. Una técnica de elusión que funcione en un sitio puede fallar en otro, incluso cuando ambos utilicen el mismo plan de Cloudflare.

Las cinco capas de detección principales son la huella digital de TLS/red, la huella digital de JavaScript/navegador, el análisis de comportamiento, la reputación de IP y los CAPTCHA de Turnstile. Cada capa marca las sesiones de forma independiente. Superar cuatro de las cinco no es suficiente para eludir la protección contra el scraping de Cloudflare; un solo fallo en la comprobación puede hacer que tu puntuación de confianza caiga por debajo del umbral de bloqueo.

El proceso de detección de Cloudflare ejecuta tres grandes categorías de comprobaciones en cada solicitud. Comprender estas categorías es el primer paso para desarrollar una estrategia fiable de scraping que eluda Cloudflare, ya que cada una exige una contramedida fundamentalmente diferente. Las secciones siguientes desglosan por separado la detección TLS, la huella digital de JavaScript y el análisis de comportamiento.

El protocolo de enlace TLS tiene lugar antes de que se intercambie cualquier código HTML. Durante el protocolo de enlace, su cliente anuncia conjuntos de cifrado, extensiones y versiones de protocolo. Esto crea una huella digital JA3, un hash único para cada cliente HTTP. Los navegadores reales producen hashes JA3 bien conocidos; la requests produce uno totalmente diferente que Cloudflare ha catalogado.

Más allá de TLS, Cloudflare comprueba la versión del protocolo HTTP. La mayoría de los navegadores utilizan HTTP/2, pero muchas bibliotecas de scraping utilizan HTTP/1.1 por defecto. Esa discrepancia es una señal clara. La combinación de un hash JA3 que no es de navegador y HTTP/1.1 es, en esencia, un letrero luminoso que anuncia tráfico automatizado.

Una vez establecida la conexión, Cloudflare inyecta JavaScript que sondea las propiedades del navegador: renderizado de canvas, cadenas del renderizador WebGL, fuentes, navigator campos, dimensiones de pantalla y disponibilidad de API. Estas comprobaciones verifican que el cliente está ejecutando JavaScript en un navegador real, sin devolver encabezados falsificados.

Los marcos sin interfaz exponen indicios de automatización por defecto: un indicador navigator.webdriver , la falta de matrices de complementos y la inconsistencia de window.chrome . Los complementos de ocultación corrigen muchos de estos problemas, pero los sitios que comprueban el tiempo de retraso en la representación o la consistencia del hash del lienzo entre sesiones aún pueden detectar configuraciones de ocultación. Cloudflare también rastrea las huellas digitales entre sesiones, por lo que los hashes de lienzo idénticos en cientos de solicitudes crean un patrón detectable.

La tercera capa observa lo que haces después de que se carga la página. Cloudflare analiza los patrones de navegación, la sincronización de las solicitudes, los movimientos del ratón y el comportamiento de desplazamiento. Los usuarios reales no solicitan 100 páginas en dos segundos; hacen pausas, se desplazan y hacen clic de forma impredecible.

Los modelos de aprendizaje automático de Cloudflare por sitio aprenden la forma típica de las sesiones de cada sitio: duración de la visita, secuencia de páginas y velocidad de navegación. Tu scraper se compara con estas referencias en tiempo real. Incluso indicios sutiles, como intervalos de solicitud perfectamente uniformes, reducen tu puntuación de confianza. Esta es la capa más difícil de falsificar, ya que requiere que tu scraper se comporte como una persona real, no solo que lo parezca.

Antes de elegir una herramienta, responde a tres preguntas: ¿El sitio de destino requiere renderización de JavaScript? ¿Trabajas con Python, Node.js o ambos? ¿Y vas a rastrear decenas de páginas o decenas de miles?

Para sitios que solo verifican TLS y encabezados, curl-impersonate es la opción más ligera. Una vez que entra en juego el fingerprinting de JavaScript o Turnstile, necesitas un navegador real.

*Aproximado; el uso real varía según la complejidad de la página y la versión de Chrome.

Para los desarrolladores de Node.js, las herramientas de navegador sin interfaz gráfica con configuraciones de ocultación siguen siendo la vía principal. Los conceptos de evasión que se indican a continuación se aplican independientemente del lenguaje.

Nodriver fue creado por el mismo desarrollador responsable de undetected-chromedriver. En lugar de modificar un binario de WebDriver, Nodriver se comunica directamente con Chrome a través de CDP. Modifica navigator.webdriver y las firmas de CDP a nivel del controlador, de modo que las sesiones automatizadas parecen indistinguibles de la navegación manual.

import asyncio
import nodriver as uc

async def scrape():
    browser = await uc.start()
    page = await browser.get("target-site.com")
    await page.sleep(5)  # wait for challenge
    html = await page.get_content()
    print(html[:500])
    await browser.stop()

asyncio.run(scrape())

La tasa de éxito de Nodriver frente a las protecciones estándar de Cloudflare se considera generalmente alta, aunque esa valoración es aproximada y no se ha medido de forma independiente. Su ventaja clave es el mantenimiento activo: Cloudflare actualiza la detección y los parches de Nodriver le siguen rápidamente mediante correcciones específicas a nivel de CDP.

La limitación es que Nodriver solo funciona con Python y es asíncrono por defecto. Si tu pipeline es síncrono o necesita compatibilidad con Node.js, considera las alternativas que se indican a continuación.

El modo UC de SeleniumBase es un envoltorio de Selenium listo para usar con capacidades integradas para eludir los sistemas antibots de Cloudflare: parches de huellas digitales, prevención de fugas de CDP y ayudantes de CAPTCHA de Turnstile.

from seleniumbase import SB

with SB(uc=True, headless=False) as sb:
    sb.uc_open_with_reconnect("https://target-site.com", reconnect_time=5)
    sb.uc_gui_click_captcha()
    html = sb.get_page_source()
    print(html[:500])

El uc_gui_click_captcha() método gestiona la interacción con las casillas de verificación de Turnstile en modo con interfaz gráfica. Para servidores sin interfaz gráfica, ejecútelo dentro de una pantalla virtual (Xvfb) o utilice un solucionador externo.

Aquí es importante la diferencia entre el modo con interfaz gráfica y el modo sin interfaz gráfica. Algunas configuraciones de Cloudflare detectan específicamente indicadores de modo sin interfaz gráfica: falta de composición de GPU, ausencia window.outerHeighty señales similares. Si pasas la prueba en modo con interfaz gráfica pero fallas en modo sin interfaz gráfica, esas diferencias en la huella digital son la causa. Un framebuffer virtual te permite mantener las huellas digitales del modo con interfaz gráfica en un servidor sin interfaz gráfica.

La mayoría de las herramientas de elusión se dirigen a Chrome, por lo que algunas implementaciones de Cloudflare han desarrollado reglas de detección específicas para Chrome. Camoufox elude esto presentando huellas digitales auténticas de Firefox a través de una versión modificada de Firefox.

from camoufox.sync_api import Camoufox

with Camoufox(headless=False) as browser:
    page = browser.new_page()
    page.goto("https://target-site.com")
    page.wait_for_timeout(5000)
    html = page.content()
    print(html[:500])

Dado que Camoufox utiliza Playwright en segundo plano, la API te resultará familiar. Las instancias de Firefox consumen menos RAM que sus equivalentes de Chromium, lo que resulta útil al ejecutar sesiones simultáneas.

La contrapartida es la amplitud del ecosistema: las herramientas de Chrome cuentan con más complementos y recursos comunitarios. Camoufox es la elección adecuada cuando la detección específica de Chrome es tu cuello de botella, o cuando deseas diversificar las huellas digitales de los navegadores en tu parque de dispositivos para reducir el riesgo de bloqueo basado en patrones.

No todas las páginas protegidas por Cloudflare necesitan JavaScript. Algunos puntos de acceso solo comprueban las huellas TLS y los encabezados HTTP. curl-impersonate reproduce las firmas TLS exactas del navegador (hashes JA3/JA4), lo que te permite eludir Cloudflare en la capa de red sin necesidad de un navegador.

from curl_cffi import requests

response = requests.get(
    "https://target-site.com/api/data",
    impersonate="chrome",
    headers={"User-Agent": "Mozilla/5.0 ..."}
)
print(response.status_code, response.text[:500])

Haga coincidir su User-Agent con el navegador suplantado. Un hash JA3 de Chrome emparejado con un User-Agent de Firefox es una señal de detección inmediata. La tasa de éxito es moderada: eficaz para protecciones basadas únicamente en TLS, ineficaz contra los retos de JavaScript. Considérelo como un primer intento rápido y ligero antes de pasar a un navegador completo.

Para eludir la capa de comportamiento de Cloudflare, tu rastreador debe imitar una navegación realista. Una secuencia de calentamiento navega por el sitio de forma orgánica antes de llegar a la URL de destino:

1. Empieza por la página de inicio.
2. Navega por una página de categorías o realiza una búsqueda.
3. Acepta los banners de cookies y deja que los recursos (CSS, fuentes, imágenes) se carguen por completo.
4. Añade retrasos aleatorios de entre 2 y 5 segundos entre pasos.
5. Navega al punto final protegido solo después de que finalice el calentamiento.

Más allá del calentamiento, aleatoriza los tamaños de la ventana de visualización entre sesiones, simula movimientos del ratón y eventos del teclado, y evita tiempos uniformes. La carga de recursos también es importante: un rastreador que solo recupere HTML pero omita CSS e imágenes parece anormal en los registros de Cloudflare.

Alterna los detalles de la huella digital entre sesiones. Reutilizar el mismo hash de lienzo y la misma resolución de pantalla en cientos de solicitudes crea un patrón rastreable que socava el resto de tu trabajo de evasión. El objetivo es hacer que cada sesión parezca un visitante único y real.

Tu dirección IP es una señal de primer orden en la puntuación de Cloudflare. Las IP de centros de datos tienen una confianza baja por defecto. Las IP residenciales obtienen una puntuación mucho más alta. Las IP móviles suelen ser las que más confianza generan.

Los proxies residenciales enrutan el tráfico a través de direcciones ISP reales, haciendo que las solicitudes parezcan navegación doméstica normal. El coste es mayor que el ancho de banda de los centros de datos, pero la mejora en la confianza es significativa para cualquier operación de scraping que eluda Cloudflare.

Los proxies IPv6 son una alternativa infrautilizada. Las bases de datos de reputación de Cloudflare se han centrado históricamente en IPv4. Las asignaciones IPv6 de los ISP residenciales tienen menos historial de reputación y es menos probable que aparezcan en listas de bloqueo, lo que las convierte en una opción rentable cuando el destino admite IPv6.

Para la lógica de rotación, utilice sesiones persistentes (la misma IP para una secuencia de navegación completa) al mantener las cookies. Cambie a IP rotativas para las solicitudes masivas sin estado. Un patrón común asigna una IP residencial por sesión de navegador y rota solo al iniciar una nueva sesión.

Turnstile es el sistema CAPTCHA de Cloudflare, más difícil de eludir que las versiones anteriores de reCAPTCHA. Realiza comprobaciones en segundo plano en el navegador y, en ocasiones, presenta un desafío con casillas de verificación. La mayoría de las herramientas de automatización no pueden resolver Turnstile de forma independiente.

Detecta Turnstile buscando un iframe con src que contenga challenges.cloudflare.com/turnstile.

Hay dos enfoques que funcionan cuando necesitas eludir Cloudflare Turnstile:

1. Interacción con la interfaz gráfica del navegador. En modo «headed», SeleniumBase puede hacer clic directamente en la casilla de verificación de Turnstile.
2. Solucionadores externos. Servicios como 2Captcha aceptan la clave del sitio de Turnstile y devuelven un token que se inyecta. Esto añade entre 10 y 30 segundos de latencia por resolución.

Para la producción, utiliza un método híbrido: intenta primero resolver el desafío con la automatización del navegador y, si falla, recurre a un solucionador externo.

Cloudflare es menos agresivo con los visitantes recurrentes. Presentar cookies válidas de una sesión anterior a menudo omite el desafío por completo.

import json

# Save after successful visit
cookies = await page.get_cookies()
with open("session_cookies.json", "w") as f:
    json.dump(cookies, f)

# Restore on next run
with open("session_cookies.json", "r") as f:
    saved = json.load(f)
for c in saved:
    await page.set_cookie(c)

Las cookies caducan, así que supervisa las tasas de éxito y vuelve a ejecutar una secuencia de calentamiento cuando las sesiones almacenadas dejen de funcionar. Rotar entre un conjunto de sesiones válidas es más resistente que depender de un único estado guardado.

Ejecutar una sesión sigilosa es sencillo. Ejecutar cientos de forma simultánea plantea retos de ingeniería reales. Cada instancia de Chrome necesita aproximadamente 500 MB de RAM (aunque el uso real varía, así que compara con tu carga de trabajo específica). Cincuenta sesiones simultáneas podrían requerir 25 GB antes de la capa de orquestación.

Principales preocupaciones operativas a gran escala:

• Aislamiento de recursos. Cada instancia necesita su propio directorio temporal, proxy y configuración de huellas digitales.
• Recuperación ante fallos. Los navegadores se bloquean; su orquestador necesita comprobaciones de estado y reinicios automáticos.
• Fijación de versiones. Las actualizaciones automáticas de Chrome pueden romper los parches de sigilo. Fija los binarios y prueba las actualizaciones en el entorno de staging.
• Diversidad de huellas digitales. Ejecutar 200 sesiones con ventanas de visualización idénticas frustra el objetivo. Genera configuraciones variadas y realistas.

Las opciones de autoalojamiento incluyen pods de Kubernetes o Selenium Grid. Ambas requieren una inversión significativa en DevOps en comparación con las alternativas gestionadas.

Cuando fallan los intentos de elusión, Cloudflare devuelve códigos de error específicos:

Lista de comprobación de depuración: confirma que Cloudflare está activo (busca el cf-ray ), verifica tu hash JA3 con ja3er.com, asegúrate de que HTTP/2 esté habilitado, prueba una solicitud en modo headed antes de escalar y supervisa las tasas de éxito continuamente, ya que Cloudflare actualiza la detección sin previo aviso.

• puppeteer-stealth: la elusión de la detección se ha quedado obsoleta. Los usuarios de Node.js deberían evaluar los servicios de navegadores sin interfaz gráfica gestionados. Los usuarios de Python pueden migrar a Nodriver, que es el equivalente más cercano con soporte activo para eludir Cloudflare.
• FlareSolverr: El mantenimiento por parte de la comunidad se ha ralentizado. SeleniumBase UC Mode es el sustituto más directo con compatibilidad actual con Cloudflare.
• Antiguo undetected-chromedriver: Nodriver es el sucesor oficial del mismo autor. Es probable que haya que reescribir el código de interacción, ya que Nodriver utiliza CDP asíncrono en lugar de binarios WebDriver parcheados.

El enfoque «hágalo usted mismo» falla cuando:

• Las horas de ingeniería dedicadas a la antidetección superan el tiempo dedicado a su canal de datos real.
• Las actualizaciones de Cloudflare rompen tu configuración más de una vez al mes.
• Los requisitos de escalabilidad superan la capacidad de tu infraestructura.

Las API de bypass gestionadas se encargan de la rotación de proxies, la identificación de huellas TLS, la representación del navegador y la resolución de retos detrás de un único punto de acceso. Envías una URL y recibes HTML a cambio. Cambias el control granular de las sesiones por fiabilidad y precios predecibles por solicitud, en lugar de costes de infraestructura impredecibles.

• Cloudflare combina cinco métodos de detección (TLS, JavaScript, comportamiento, reputación de IP, Turnstile) en una puntuación de confianza compuesta. Tu bypass debe abordar los cinco simultáneamente.
• Adapta tu herramienta a la protección del objetivo: curl-impersonate para páginas solo TLS, Nodriver o SeleniumBase para retos de navegador completos, Camoufox cuando la detección específica de Chrome es el cuello de botella.
• Las secuencias de calentamiento de sesión y los patrones de comportamiento realistas son tan importantes como la suplantación de huellas digitales, ya que los modelos de aprendizaje automático de Cloudflare comparan su comportamiento con las referencias de usuarios reales.
• Los proxies residenciales IPv6 son una alternativa a IPv4 poco utilizada y rentable para mantener puntuaciones de confianza de IP altas.
• Cuando los costes de mantenimiento por cuenta propia superan su presupuesto de ingeniería, un servicio gestionado con precios por solicitud es la opción más pragmática.

Depende de la jurisdicción, de los términos de servicio del sitio y de los datos que recopiles. En EE. UU., la CFAA y sentencias como hiQ contra LinkedIn han configurado un panorama matizado. El scraping de datos disponibles públicamente suele tratarse de forma diferente al acceso a contenido autenticado. Revisa el archivo robots.txt y los términos de servicio, y consulta a un asesor legal para proyectos comerciales.

Sí. El Chrome sin interfaz gráfica predeterminado expone la falta de composición de la GPU, la ausencia window.outerHeight, un indicador navigator.webdriver indicador, y matrices de complementos inconsistentes. Los parches de Stealth cubren la mayoría de estos aspectos, pero las configuraciones avanzadas también comprueban la sincronización de la representación y la consistencia del hash del lienzo, lo que hace que el Chrome sin interfaz gráfica sin parchear sea detectable de forma fiable.

Cloudflare implementa actualizaciones de detección de forma continua en lugar de seguir un calendario fijo. Los cambios importantes en la detección de huellas digitales se producen cada pocas semanas, mientras que el reentrenamiento de los modelos de aprendizaje automático ocurre con mayor frecuencia, ya que los modelos aprenden del tráfico en tiempo real. Un script de elusión que funciona puede dejar de hacerlo en cuestión de días, lo que hace que el mantenimiento activo de las herramientas y la supervisión de la tasa de éxito sean esenciales.

Para trabajos a pequeña escala, sí. Nodriver y curl-impersonate son de código abierto. Si el destino no evalúa agresivamente la reputación de las IP, tu IP doméstica puede funcionar para unas pocas solicitudes. Con volúmenes más altos o frente a sitios con una evaluación estricta de IP, los proxies residenciales se vuelven prácticamente necesarios, y estos requieren un presupuesto.

Bot Management es el conjunto completo de detección que se ejecuta de forma pasiva en cada solicitud: huellas digitales TLS, retos de JavaScript, análisis de comportamiento, puntuación de IP y modelos de aprendizaje automático. Turnstile es específicamente el componente CAPTCHA interactivo, un reto visible que requiere la verificación del usuario. Un sitio puede utilizar Bot Management sin Turnstile, pero Turnstile siempre opera dentro del marco más amplio de Bot Management.

Eludir Cloudflare en 2026 es un problema con múltiples capas. La huella digital TLS, las pruebas de JavaScript, los modelos de aprendizaje automático de comportamiento, la reputación de IP y los retos de Turnstile se integran en una única puntuación de confianza, y es necesario cumplir con cada capa para obtener resultados consistentes. Empieza con la herramienta más sencilla que se ajuste al nivel de protección de tu objetivo, añade proxies residenciales o IPv6 para reforzar la confianza de la IP e invierte en secuencias de calentamiento que hagan que tu rastreador se comporte como un visitante real.

A medida que crecen las necesidades de scraping, los gastos de mantenimiento derivados de la gestión de flotas de navegadores, grupos de proxies, rotación de huellas digitales y solucionadores de CAPTCHA se acumulan rápidamente. Si te encuentras dedicando más tiempo a luchar contra los sistemas antibots que a procesar datos, WebScrapingAPI ofrece una infraestructura gestionada que se encarga de la rotación de proxies, la resolución de retos y el bypass de Cloudflare a través de un único punto de acceso de API.

Las técnicas de esta guía te proporcionan una base sólida. Pruébalas con tus objetivos, supervisa continuamente las tasas de éxito y mantente preparado para adaptarte a medida que evoluciona la detección.