Cómo funciona
Gestiona el acceso de los usuarios en todo tu entorno
Acceso a la red Zero Trust (ZTNA) de manera rápida y fiable
Cloudflare Access verifica y protege el acceso de usuarios y terceros a todas tus aplicaciones autoalojadas, SaaS y no web, y ayuda a mitigar el riesgo y a garantizar experiencias de usuario eficaces.
Comprueba el contexto detallado, como la identidad y el estado del dispositivo para cada solicitud, con el fin de brindar un acceso rápido y fiable en toda tu empresa.
Ventajas de Cloudflare Access
Mejora la productividad del equipo
Logra que el uso de las aplicaciones locales sea tan fácil como el de las aplicaciones SaaS. ZTNA reduce un 80 % las incidencias de acceso remoto en comparación con una VPN.
Simplifica la gestión
Simplifica la configuración y el funcionamiento de ZTNA con sólidos conectores de software y políticas unificadas Zero Trust.
Elimina el movimiento lateral
Reduce tu superficie de ataque con la implementación de políticas de acceso en función del contexto y con privilegios mínimos para cada recurso.
Escala fácilmente con Zero Trust
Protege primero las aplicaciones esenciales y los grupos de usuarios de mayor riesgo, y luego amplía ZTNA nativo de nube para proteger toda tu empresa.
How it works
Manage access across your internal environment
Cloudflare Access verifies and secures employee and third-party access across all of your self-hosted, SaaS, and non-web applications, including AI tools, helping mitigate risk and ensure a smooth user experience.
It checks granular context like identity and device posture for every request to provide fast, reliable access across your business.
Descubre cómo funciona Access en la plataforma SASE de Cloudflare
RECONOCIMIENTOS DE ANALISTAS
Opinión de los principales analistas
Cloudflare fue reconocida como empresa visionaria en el informe Gartner® Magic Quadrant™ for SASE Platforms
Obtuvo la segunda puntuación más alta en la categoría "Estrategia" en The Forrester Wave™: Zero Trust Platforms, 3.º trimestre de 2025
Cloudflare, reconocida como empresa "líder" en el informe "2023 IDC MarketScape for Zero Trust Network Access (ZTNA)".
Qué dicen nuestros clientes
"Cloudflare Access cambió las reglas del juego para Bitso. Esto hizo que Zero Trust fuera mucho más fácil. "Ahora gestionamos el acceso a los recursos internos de manera más eficiente, lo que garantiza que las personas adecuadas tengan el nivel apropiado de acceso a los recursos correctos, independientemente de su ubicación, dispositivo o red".
Director de ciberseguridad, Bitso
PRINCIPALES CASOS DE USO DE ACCESS
Cloudflare Access simplifica y protege el acceso de los usuarios a tus recursos internos, sin VPN
Complementa / sustituye tu VPN
Transfiere las aplicaciones esenciales para mejorar la seguridad y la experiencia del usuario.
Gestiona el acceso de terceros
Autentica a usuarios de terceros (como contratistas) con opciones sin cliente, proveedores de identidad social, entre otras.
Brinda a los desarrolladores las herramientas que necesitan
Garantiza que los usuarios técnicos con privilegios puedan acceder a la infraestructura crítica, sin afectar el rendimiento.
Ayudamos a organizaciones de todo el mundo a avanzar hacia la seguridad Zero Trust
Precio
Funciones de control de Access en toda la plataforma Zero Trust
Plan gratuito
USD 0
para siempre
Ideal para equipos de menos de 50 usuarios o pruebas de concepto empresariales.
Pago por uso
USD 7
por usuario/mes (pago anual)
Ideal para equipos de más de 50 usuarios que resuelven casos de uso de SSE limitados y no necesitan servicios de soporte empresarial.
Plan de contrato
Precio personalizado
por usuario/mes (pago anual)
Ideal para organizaciones que se preparan para una implementación completa de SSE o SASE y que también desean el máximo nivel de soporte.
Plan gratuito
Pago por uso
Plan de contrato
Plan gratuito
Pago por uso
Plan de contrato
Controles de Access (incluidos en la plataforma Zero Trust)
Políticas de acceso personalizables
Políticas personalizadas de aplicaciones y redes privadas, además de un controlador de políticas. Admite la autenticación temporal, la justificación del propósito y cualquier método de autenticación proporcionado por el proveedor de identidad.
Protege el acceso a todas tus aplicaciones y redes privadas
Protege las aplicaciones autoalojadas, SaaS y no web (SSH, VNC, RDP), las direcciones IP y los nombres de servidores internos, o cualquier tráfico TCP o UDP arbitrario de las capas 4 a 7.
Autenticación a través de proveedores de identidad (IdP)
Autenticación a través de proveedores de identidad empresariales y sociales, que incluye varios proveedores simultáneamente. También puede utilizar conectores genéricos SAML y OIDC.
Contexto basado en la identidad
Configura el acceso contextual en función de los grupos de proveedores de identidad, la geolocalización, el estado del dispositivo, la duración de la sesión, las API externas, etc.
Integración del estado del dispositivo
Verifica el estado del dispositivo mediante integraciones de proveedores de protección de puntos conexión de terceros.
Opción de acceso sin cliente
Acceso sin cliente para aplicaciones web y SSH o VNC en el navegador
SSH y VNC basados en el navegador
Acceso SSH y VNC privilegiado a través del terminal integrado en el navegador
Túnel dividido
Túnel dividido para conectividad local o VPN
Iniciador de aplicaciones
Iniciador de aplicaciones personalizable para todas las aplicaciones, lo que incluye marcadores a aplicaciones fuera de Access
Autenticación de token
Soporte del token de servicio para servicios automatizados
Internal DNS - Soporte
Configura el dominio de reserva local. Define una resolución de DNS interna para resolver las solicitudes de la red privada.
Automatización de la infraestructura como código (a través de Terraform)
Automatiza la implementación de recursos y conexiones de Cloudflare.
Autenticación de mTLS
Autorización basada en certificados para IoT y otros casos de uso de mTLS
Funciones clave
Tiempo activo
Acuerdos de nivel de servicio (SLA) fiables para los planes pagos, con un tiempo activo del 100 % y un servicio en el que puedes confiar.
Más información >
Retención de registros estándar
Los registros Zero Trust se almacenan durante un periodo de tiempo que varía en función del tipo de plan y del servicio utilizado. Los usuarios con planes pagos pueden exportar registros a través de Logpush.
Ver documentos técnicos >
Software de conectores de aplicaciones
Conecta de forma segura recursos a Cloudflare sin una dirección IP enrutable públicamente. No requiere infraestructura de máquina virtual y no tiene limitaciones de rendimiento.
Ver documentos técnicos >
Software cliente del dispositivo (agente)
Envía el tráfico de los dispositivos de los usuarios finales a la red global de Cloudflare de forma segura y privada. Permite funciones como la creación de reglas de estado del dispositivo o la aplicación de políticas de filtrado en cualquier lugar. Autoinscripción o implementación a través de MDM.
Ver documentos técnicos >
Acceso a la red Zero Trust (ZTNA)
ZTNA brinda acceso detallado en función de la identidad y el contexto a todos tus recursos internos autoalojados, SaaS y no web (por ejemplo, SSH).
Ver documentos técnicos >
Secure Web Gateway (SWG)
SWG protege contra ransomware, phishing y otras amenazas con el uso de políticas de filtrado de red, DNS y HTTP (capas 4-7) para garantizar una navegación por Internet más rápida y segura.Ver documentos técnicos >
Digital Experience Monitoring (DEX)
Ofrece visibilidad centrada en el usuario sobre el rendimiento de dispositivos, redes y aplicaciones en toda tu organización Zero Trust.
Ver documentos técnicos >
Supervisión del flujo de red
Brinda visibilidad del tráfico de red y alertas en tiempo real para tener una visión unificada de la actividad de la red. Disponible de forma gratuita para todos.
Ver documentos técnicos >
Agente de seguridad de acceso a la nube (CASB)
CASB supervisa continuamente las aplicaciones SaaS en reposo para detectar posibles exposiciones de datos debidas a errores de configuración o a la detección de estados poco seguros.
Ver documentos técnicos >
Prevención de pérdida de datos (DLP)
DLP detecta datos confidenciales en tránsito y en reposo a través de la web, aplicaciones SaaS y aplicaciones privadas, con controles o guías de corrección para detener fugas o exposiciones.
Ver documentos técnicos >
Log Explorer
Plan gratuito y de pago por uso: gratis para los primeros 10 GB, $1 por GB al mes a partir de entonces
Enterprise: precios personalizados
Aislamiento remoto del navegador (RBI)
RBI aplica controles adicionales de protección frente a amenazas y protección de datos en las actividades de navegación mediante la ejecución de todo el código del navegador en la red global de Cloudflare.
Ver documentos técnicos >
Seguridad del correo electrónico
La seguridad del correo electrónico ayuda a bloquear y a aislar las amenazas de phishing multicanal, incluso el malware y las amenazas al correo electrónico empresarial.
Ver documentos técnicos >
Servicios de red para SASE
Cloudflare One es nuestra plataforma SASE de proveedor único que combina los servicios de seguridad Zero Trust de los planes anteriores con los servicios de red, que incluye Magic WAN y Firewall.
Ver documentos técnicos >
Controles de acceso
Políticas de acceso personalizables
Políticas personalizadas de aplicaciones y redes privadas, además de un controlador de políticas. Admite la autenticación temporal, la justificación del propósito y cualquier método de autenticación proporcionado por el proveedor de identidad.
Protege el acceso a todas tus aplicaciones y redes privadas
Protege las aplicaciones autoalojadas, SaaS y no web (SSH, VNC, RDP), las direcciones IP y los nombres de servidores internos, o cualquier tráfico TCP o UDP arbitrario de las capas 4 a 7.
Autenticación a través de proveedores de identidad (IdP)
Autenticación a través de proveedores de identidad empresariales y sociales, que incluye varios proveedores simultáneamente. También puede utilizar conectores genéricos SAML y OIDC.
Contexto basado en la identidad
Configura el acceso contextual en función de los grupos de proveedores de identidad, la geolocalización, el estado del dispositivo, la duración de la sesión, las API externas, etc.
Integración del estado del dispositivo
Verifica el estado del dispositivo mediante integraciones de proveedores de protección de puntos conexión de terceros.
Opción de acceso sin cliente
Acceso sin cliente para aplicaciones web y SSH o VNC en el navegador
SSH y VNC basados en el navegador
Acceso SSH y VNC privilegiado a través del terminal integrado en el navegador
Túnel dividido
Túnel dividido para conectividad local o VPN
Iniciador de aplicaciones
Iniciador de aplicaciones personalizable para todas las aplicaciones, lo que incluye marcadores a aplicaciones fuera de Access
Autenticación de token
Soporte del token de servicio para servicios automatizados
Internal DNS - Soporte
Configura el dominio de reserva local. Define una resolución de DNS interna para resolver las solicitudes de la red privada.
Automatización de la infraestructura como código (a través de Terraform)
Automatiza la implementación de recursos y conexiones de Cloudflare.
Autenticación de mTLS
Autorización basada en certificados para IoT y otros casos de uso de mTLS
Protección contra amenazas
Categorías completas de seguridad
Bloquea por ransomware, phishing, dominios DGA, túneles DNS, C2 y botnet, y más.
Filtrado de DNS recursivo
Filtra por categoría de contenido o seguridad. Implementación a través de nuestro cliente de dispositivo o a través de enrutadores para ubicaciones.
Filtrado HTTP(S)
Controla el tráfico en función del origen, el país de destino, los dominios, los servidores, los métodos HTTP, las URL, etc. Inspección TLS 1.3. ilimitada
Filtrado de firewall de capa 4
Permite o bloquea el tráfico en función de los puertos, las direcciones IP y los protocolos TCP/UDP.
Control antivirus
Analiza los archivos cargados/descargados de todo tipo (PDF, ZIP, RAR, etc.)
Información integrada sobre amenazas
Detección mediante nuestros propios algoritmos de aprendizaje automático y fuentes de información de amenazas de terceros.
Soporte de solo IPv6 y doble pila
Toda la funcionalidad disponible para la conectividad IPv4 e IPv6.
Redireccionamiento mediante proxy a SSH y registro de comandos
Crea políticas de red para gestionar y supervisar el acceso SSH a tus aplicaciones
Políticas a nivel de red para ubicaciones físicas
Conectividad segura para el filtrado de DNS directamente desde las oficinas.
Aislamiento remoto del navegador (integrado de forma nativa)
Representa todo el código del navegador en el perímetro, en lugar de hacerlo localmente, para mitigar las amenazas. Implementación con o sin un cliente de dispositivo. Controla selectivamente qué actividad aislar y cuándo.
Seguridad del correo electrónico
Evita el phishing y las amenazas al correo electrónico corporativo.
Puntos de conexión de proxy para la compatibilidad con archivos PAC
Aplica políticas HTTP a nivel de navegador configurando un archivo PAC. Aplica filtros sin implementar software de cliente en los dispositivos de los usuarios.
Direcciones IP de salida exclusivas
Rango exclusivo de direcciones IP (IPv4 o IPv6) geolocalizadas en una o más ubicaciones de la red de Cloudflare.
Protección de datos
Acceso Zero Trust para mitigar la filtración de datos (a través de ZTNA)
Establece políticas de privilegio mínimo por aplicación para garantizar que los usuarios solo accedan a los datos que necesitan.
Controles de carga/descarga de archivos en función del tipo MIME (a través de SWG)
Permite o bloquea cargas/descargas de archivos en función del tipo MIME.
Controles de aplicaciones y tipos de aplicaciones (a través de SWG)
Permite o bloquea el tráfico a aplicaciones o tipos de aplicaciones específicos.
CASB para detectar el riesgo de fuga de datos de las aplicaciones SaaS
Agrega el CASB de Cloudflare para detectar si los errores de configuración en las aplicaciones SaaS causan la filtración de datos confidenciales. Ver lista completa de integraciones compatibles.
Prevención de pérdida de datos (DLP)
Inspecciona el tráfico HTTP(S) y los archivos para detectar la presencia de datos confidenciales. El nivel gratuito incluye perfiles predefinidos, como información financiera, mientras que los planes con contrato incluyen además perfiles personalizados, conjuntos de datos personalizados, OCR, registros de DLP y mucho más.
Controles sobre las interacciones de datos dentro de un navegador (a través de RBI)
Restringe las acciones de carga/descarga, copiado/pegado, entrada de teclado e impresión dentro de páginas web y aplicaciones aisladas. Evita la filtración de datos a los dispositivos locales y controla las entradas de los usuarios en sitios web sospechosos. Implementación con o sin un cliente de dispositivo.
Protección de aplicaciones SaaS
Controles de acceso y de tráfico en línea para cada aplicación SaaS
Todos los controles de acceso, los controles de datos y las funciones de protección contra amenazas (como se indica en las secciones anteriores) se aplican de forma consistente en todas las aplicaciones SaaS.
Controles de inquilinos de aplicaciones SaaS
Permite el tráfico solo a los inquilinos corporativos de las aplicaciones SaaS. Evita la filtración de datos confidenciales a los inquilinos personales o consumidores.
Detección de Shadow IT
Revisa las aplicaciones que visitan tus usuarios finales. Configura el estado de aprobación de esas aplicaciones.
Integración completa de aplicaciones SaaS
Intégralo con tus aplicaciones SaaS más utilizadas (p. ej. Google Workspace, Microsoft 365) para escanear, detectar y controlar los problemas de seguridad. Ver lista completa de integraciones compatibles.
Supervisión continua de los riesgos de seguridad de los datos y de las actividades de los usuarios
Las integraciones de API supervisan continuamente las aplicaciones SaaS para detectar las actividades sospechosas, la exfiltración de datos, los accesos no autorizados, etc.
Detección de archivos compartidos
Identifica los comportamientos inapropiados de intercambio de archivos en tus aplicaciones SaaS más utilizadas.
Gestión y corrección del estado de las aplicaciones SaaS
Identifica los errores de configuración y los permisos de usuario incorrectos en las aplicaciones SaaS. Actúa inmediatamente sobre los resultados de seguridad identificados con guías de corrección paso a paso.
Detección de phishing para aplicaciones de correo electrónico en la nube
Evita la suplantación de identidad y las amenazas del correo electrónico empresarial con la seguridad del correo electrónico de Cloudflare.
Visibilidad
Retención del registro de actividad estándar
En los planes contractuales, los registros de DNS quedan almacenados 6 meses, y los registros de red y HTTP por 30 días.
Registros de acceso y autenticación
Detalles completos de todas las solicitudes, usuarios y dispositivos, incluidos los motivos de bloqueo. Las decisiones de la política de bloqueo se almacenan durante una semana, y los registros de autenticación durante 6 meses.
Registros del conector de aplicaciones (túnel)
Registros de auditoría para el estado de conexión de los túneles y para cuando se registra un nuevo registro DNS para una aplicación.
Visibilidad de Shadow IT con grupos de aplicaciones clasificados
Realiza un seguimiento del uso y revisa el estado de aprobación de las aplicaciones que visitan los usuarios finales.
Registro de comandos SSH
Reproducción completa de todos los comandos ejecutados durante una sesión SSH. Proporciona visibilidad de SSH a nivel de red.
Detección de redes privadas
Supervisa en forma pasiva el tráfico de la red privada para clasificar las aplicaciones descubiertas y los usuarios que acceden a ellas.
Exclusión de la información de identificación personal (PII)
Por defecto, los registros no almacenarán información de identificación personal (PII) de los empleados (IP de origen, correo electrónico del usuario, ID de usuario, etc.) ni estarán disponibles para todos los roles de tu organización.
Digital Experience Monitoring (DEX)
Incluye información predictiva, histórica y en tiempo real sobre las interrupciones de las aplicaciones, los problemas de red y la ralentización del rendimiento, para mantener la productividad de los usuarios. Ver capacidades.
Rendimiento de la red y accesos de conectividad
Red global Anycast
Red Anycast que abarca 330 ciudades en 125 países con 405 TB/s de capacidad de perímetro de red
Interconexiones globales
13 000 interconexiones, incluidos los principales proveedores de acceso a Internet, servicios en la nube y empresas
Un plano de control para todos los servicios perimetrales
La red está diseñada para que todos los servicios que operan en el perímetro funcionen en todos los centros de datos y estén disponibles para todos los clientes.
Inspección de paso único para el tráfico de capas 3 y 4
Todo el tráfico se procesa en un solo paso en el centro de datos más cercano a su origen. Sin redireccionamientos.
Enrutamiento inteligente a través de la red troncal virtual
Rutas optimizadas para evitar problemas de congestión.
Software cliente del dispositivo (agente)
Disponible en los principales sistemas operativos (Win, Mac, iOS, Android, Linux, ChromeOS).
Modos múltiples para el cliente del dispositivo (agente)
El modo predeterminado envía el tráfico a través de los túneles de WireGuard para habilitar todas las funcionalidades de seguridad.
Utiliza el modo DoH para aplicar solo las políticas de filtrado de DNS, o utiliza el modo proxy para filtrar el tráfico solo a aplicaciones específicas.
Opciones de implementación administrada y de autoinscripción
Implementación para todo tu conjunto de dispositivos a través de herramientas MDM. O bien, los usuarios se pueden descargar el cliente de dispositivo para autoinscribirse.
Conector de aplicaciones (túneles)
Conecta tus recursos a Cloudflare sin una dirección IP enrutable públicamente. Implementación a través de IU, API o CLI.
Recursos
Blog
Cloudflare Access es el proxy Zero Trust más rápido
Comprueba cómo las pruebas de rendimiento demuestran que el servicio ZTNA de Cloudflare es un 50-75 % más rápido que el de la competencia.
Blog
Aumenta o reemplaza tu VPN con Cloudflare
Aprende a transferir aplicaciones clave de las VPN tradicionales a Cloudflare Access.
Documento técnico
Proceso de sustitución de las VPN
Si bien muchas organizaciones tienen previsto reemplazar las VPN por ZTNA, tienen dificultades para comenzar. Descubre cómo agilizar la migración a un moderno acceso remoto seguro.