Este artículo analiza de forma honesta Cloudflare Page Shield — el producto al que Cloudflare cambió el nombre por Client-Side Security en 2026.
Dado que estás en el sitio web de cside, reconocemos nuestra parcialidad. Dicho esto, hemos construido nuestro caso de manera honesta y basado nuestro análisis en información públicamente disponible, información del sector y nuestras propias experiencias o las de nuestros clientes. Cuando Cloudflare ha mejorado el producto de verdad, lo decimos.
Algunos miembros del equipo de cside han trabajado en Cloudflare e incluso contribuyeron al desarrollo de Page Shield. Aunque somos competidores en algunas áreas, tenemos a Cloudflare en alta estima.
Si deseas verificar sus afirmaciones por ti mismo, por favor visita sus páginas de producto.
Lo que cambió: Page Shield ahora es "Client-Side Security"
En 2026 Cloudflare renombró Page Shield como Client-Side Security, y los cambios son más que cosméticos:
- El complemento de pago (antes el complemento Page Shield) ahora es Client-Side Security Advanced, y Cloudflare lo abrió a los clientes de autoservicio en lugar de limitarlo a la venta Enterprise.
- La inteligencia de amenazas basada en dominios ahora es gratuita para todos los clientes en el nivel base de Client-Side Security.
- Cloudflare añadió detección de scripts maliciosos con aprendizaje automático al nivel Advanced que analiza el código JavaScript real, no solo el dominio de origen.
- Las "políticas de Page Shield" ahora se llaman content security rules.
Estas son mejoras reales, y hemos actualizado la comparación de abajo para reflejarlas. La conclusión principal: Cloudflare ahora inspecciona el contenido del script, pero sigue inspeccionando una copia obtenida y muestreada — no lo que realmente se ejecuta en los navegadores de tus usuarios. Esa distinción es donde cside continúa yendo más allá.
| Criterio | cside | Cloudflare Client-Side Security (Page Shield) | Por qué importa | Cuáles son las consecuencias |
|---|---|---|---|---|
| Enfoque utilizado | Monitoreo en vivo dentro de la sesión + análisis de cargas útiles con IA del lado del servidor | Informes CSP muestreados + análisis estático de código con IA (nivel Advanced) | ||
| Monitorea el 100% de las sesiones (sin muestreo) | Full support |
No support |
Los ataques pueden activarse entre muestras o solo para un subconjunto de visitantes | Cloudflare muestrea solo una pequeña fracción del tráfico (~1%); los skimmers raros o dirigidos pasan desapercibidos |
| Detección de comportamiento en tiempo de ejecución y a nivel del DOM | Full support |
No support |
Observa cómo se comportan realmente los scripts a medida que se ejecutan, incluidos los cambios en el DOM | El análisis estático del archivo obtenido pasa por alto los ataques basados en el DOM y los que ocurren en tiempo de ejecución |
| Detecta cargas útiles dinámicas / dirigidas (por usuario, momento, ubicación) | Full support |
No support |
Identifica ataques que solo se activan para algunos usuarios, momentos o geografías | Un skimmer que se sirve a 1 de cada 1.000 visitantes nunca aparece en una copia obtenida y muestreada |
| Analiza el script exacto que recibió el usuario | Full support |
No support |
Alinea el análisis con lo que realmente se ejecutó, no con una copia obtenida por separado | Cloudflare descarga desde sus propias IPs con encabezados diferentes — a menudo no es la carga útil del usuario, y a menudo no puede obtener el script en absoluto |
| Análisis de scripts con IA / ML | Full support |
Full support (nivel Advanced) |
Detecta amenazas nuevas mediante modelado de código y comportamiento, no solo feeds de amenazas | El clasificador de Cloudflare es exclusivo del nivel Advanced y omite los scripts de más de 300 KB |
| Análisis completo de la carga útil sin importar el tamaño del script | Full support |
Partial support |
Los scripts grandes y agrupados son comunes, y son donde se ocultan las cargas útiles | El clasificador de Cloudflare solo se ejecuta en scripts de hasta 300 KB |
| Seguimiento histórico y forense completo | Full support |
Partial support |
Necesario para respuesta a incidentes, auditoría y cumplimiento | Cloudflare elimina los datos de los recursos después de 30 días sin un nuevo informe |
| Archiva la carga útil real como evidencia | Full support |
No support |
Los auditores y los equipos de respuesta necesitan el código de ataque real, no solo una puntuación o un registro | Sin la carga útil archivada no puedes demostrar lo que realmente hizo un ataque |
| Funciona en cualquier stack (sin dependencia de un CDN / WAF) | Full support |
No support |
El riesgo del lado del cliente existe sin importar qué CDN o firewall uses | Cloudflare Client-Side Security requiere enrutar tu dominio a través de Cloudflare |
| Dashboard PCI DSS validado por QSA | Full support (VikingCloud) |
Partial support |
La validación QSA independiente es la prueba más fiable de que una solución cumple con PCI DSS | Cloudflare tiene una guía de aplicabilidad de QSA, pero una interfaz de monitoreo genérica, no un dashboard mapeado a PCI |
| Flujo de justificación de scripts PCI dentro del producto (6.4.3) | Full support |
No support |
6.4.3 exige una justificación de negocio y técnica por escrito para cada script | Cloudflare exporta un CSV; los equipos documentan y justifican cada script manualmente |
| Inventario y UI de gestión de scripts utilizable | Full support |
No support |
Revisar, aprobar y justificar cada script requiere un espacio de trabajo real, no una exportación de datos | Page Shield muestra una lista; los equipos terminan rastreando scripts y aprobaciones a mano en hojas de cálculo |
| Cubre PCI DSS 6.4.3 y 11.6.1 | Full support |
Full support (nivel Advanced) |
Ambos cumplen los requisitos; la profundidad de la evidencia y el flujo de trabajo difieren | La cobertura de Cloudflare necesita el complemento Advanced de pago — el nivel gratuito no es suficiente |
| Endpoint gratuito de informes CSP | Full support (todos los planes, incluido el gratuito) |
Partial support |
El reporte de violaciones CSP es la base de la visibilidad del lado del cliente | Las content security rules de Cloudflare están limitadas a 5 y restringidas al nivel Advanced |
| SOC 2 Tipo II | Full support |
Full support |
Muestra controles de seguridad operacional consistentes a lo largo del tiempo | Una base que ambos proveedores cumplen |
| Integraciones de Tickets (Linear, Jira) | Full support (Linear y Jira) |
No support |
Las integraciones nativas permiten que las alertas de seguridad fluyan hacia los flujos de trabajo de desarrollo existentes | Sin tickets nativos, los equipos crean tickets manualmente, ralentizando los tiempos de respuesta |
¿Qué es Cloudflare Client-Side Security (antes Page Shield)?
Cloudflare Client-Side Security solo compite con la solución de seguridad del lado del cliente y PCI Shield de cside. Otros servicios de cside como la detección de VPN, la detección de agentes de IA y Privacy Watch no están dentro de su alcance.
Client-Side Security es la herramienta de Cloudflare para monitorear el JavaScript de terceros, las conexiones y las cookies que se ejecutan en los navegadores de tus visitantes. Crea un inventario de scripts, te alerta cuando cambian o parecen maliciosos, y te permite aplicar una lista de permitidos mediante content security rules (CSP). En el nivel Advanced añade análisis con aprendizaje automático del código de los scripts y detección de cambios en el código.
¿Es buena idea comprar una solución de seguridad del lado del cliente de un proveedor de firewall?
Los grandes proveedores de seguridad a veces intentan lanzar un producto secundario rápido. Hacen esto porque saben que sus compradores ya están comprometidos con la plataforma — la opción fácil es añadir el propio módulo del proveedor. Sin embargo, muchos equipos notan que estos productos secundarios no recibieron la atención que necesitaban, y a menudo no abordan del todo el requisito. El navegador es una superficie de ataque fundamentalmente distinta a un paquete de red en un firewall, y merece una herramienta creada para él.
Cloudflare sí añadió capacidades reales desde 2024 — análisis de código con ML y más monitoreo. Pero el producto todavía se comporta como una función atornillada a un firewall en lugar de una herramienta creada para el navegador: tienes que enrutar tu dominio a través de Cloudflare para usarlo, la detección más profunda está detrás del complemento Advanced de pago y — como mostraremos más abajo — el flujo de trabajo del día a día te devuelve a ti el trabajo real de seguridad y cumplimiento.
Cómo funciona Cloudflare Client-Side Security
La detección de Cloudflare depende de un encabezado Content Security Policy en modo solo informe que añade a solo una pequeña muestra de respuestas — en la práctica, del orden del 1% del tráfico. No ocurre nada hasta que regresa uno de esos informes muestreados. Solo entonces Cloudflare descarga el script fuera de banda y, en el nivel Advanced, lo pasa por su flujo de puntuación con aprendizaje automático y LLM.
Ese paso de descarga es donde el modelo se desmorona. Cloudflare obtiene el script desde sus propios rangos de IP, con encabezados de solicitud diferentes a los del navegador de un visitante real — así que la copia que puntúa con frecuencia no es la carga útil que recibió un usuario real:
- Por lo general no es la carga útil del usuario. Un script que varía según la cookie, la sesión, el referente, la geografía o la hora del día le sirve al obtenedor de Cloudflare algo distinto de lo que recibe una víctima dirigida. Un atacante solo tiene que devolver una versión limpia a la infraestructura bien conocida de Cloudflare para seguir robando datos en sesiones reales sin ser detectado.
- A menudo no puede obtener el script en absoluto. Muchos scripts se sirven desde URLs de un solo uso o ligadas a la sesión, o están detrás de encabezados que el obtenedor de Cloudflare no replica. Cuando la obtención falla, simplemente no hay nada que el flujo de LLM pueda analizar.
- El muestreo deja amplios puntos ciegos. Como solo una pequeña fracción de las respuestas lleva el encabezado de solo informe, las páginas de bajo tráfico y las cargas útiles raras y dirigidas pueden tardar mucho tiempo en aparecer — o no aparecer nunca. Para comprobarlo por ti mismo, busca un sitio que lo use, abre la consola de desarrollador de tu navegador y actualiza la página varias veces.
- El historial es de corta duración. La propia documentación de Cloudflare dice que elimina la información sobre un recurso reportado previamente después de 30 días sin un nuevo informe, y su clasificador solo se ejecuta en scripts de hasta 300 KB.
Por debajo, la aplicación de controles sigue apoyándose en CSP, que confía en el origen, no en el contenido de cada recurso. Como explicamos en Por qué CSP no funciona:
CSP opera en un modelo de lista de permitidos, que permite recursos de dominios de confianza pero no puede bloquear scripts o recursos individuales de esos dominios.
Esa brecha es exactamente como funcionó el mayor ataque del lado del cliente de 2024 — Polyfill: el dominio era de confianza, la carga útil era maliciosa.
Por último, adoptar Cloudflare Client-Side Security requiere que seas un cliente existente de Cloudflare.
Cómo es operarlo en la práctica
La cobertura en una página de funciones es una cosa; operar el producto es otra. Page Shield te muestra una lista de scripts, pero no te da un espacio de trabajo real para gestionarlos. Para producir el inventario y las justificaciones por escrito que exige PCI DSS 6.4.3, exportas un CSV y rastreas las aprobaciones, los responsables y las justificaciones a mano — la propia evaluación de QSA de Cloudflare les dice a los clientes que exporten el informe de scripts y documenten ellos mismos la justificación de negocio y técnica. Para un control que se supone que debes evidenciar de forma continua, eso se convierte en una hoja de cálculo que mantienes para siempre.
Junta las brechas de detección y el flujo de trabajo, y la imagen es honesta pero poco favorecedora: una muestra de tráfico de ~1%, una descarga fuera de banda que a menudo no es la carga útil del usuario o que no puede recuperarse en absoluto, una memoria de 30 días y una lista que reconcilias en una hoja de cálculo. Puede parecer cobertura en una lista de verificación mientras rara vez detecta el ataque real — o produce la evidencia — cuando importa.
Cómo cside va más allá
Tanto cside como Cloudflare analizan ahora el código de los scripts. La diferencia está en qué analizamos y con qué exhaustividad.
cside refleja cada sesión de usuario en vivo y observa cómo se comportan realmente los scripts a medida que se ejecutan en el navegador — los cambios que hacen en el DOM, las llamadas de red que activan y las cargas útiles que sirven a visitantes reales. Cloudflare puntúa una copia que obtuvo por separado, desde las IPs de su propio centro de datos, de forma muestreada. Así que cuando un CDN de confianza empieza a servir un skimmer a 1 de cada 1.000 usuarios después de las 5 de la tarde, cside lo ve en las sesiones donde realmente se activa; una copia obtenida y muestreada a menudo no lo contiene en absoluto.
Como el análisis de cside ocurre del lado del servidor, es invisible para los atacantes — no pueden identificar nuestra infraestructura y servirle un script limpio como pueden hacerlo con un crawler predecible.
También conservamos un historial completo de cada versión de script servida a tus usuarios y archivamos la carga útil real. Cuando un auditor o un equipo de respuesta a incidentes pregunta qué ocurrió, tienes el código de ataque real y una línea de tiempo completa — no una puntuación, ni un informe que caducó después de 30 días.
En cuanto al cumplimiento, ambos productos abordan ahora PCI DSS 6.4.3 (autorizar, inventariar y justificar cada script de las páginas de pago) y 11.6.1 (detectar y alertar sobre cambios no autorizados en los scripts y en los encabezados con impacto en la seguridad). Cloudflare te da monitoreo y una exportación CSV, y te deja a ti las justificaciones por escrito y la evidencia de auditoría — y solo en el nivel Advanced de pago. cside incluye un dashboard específico para PCI, validado de forma independiente por la firma QSA VikingCloud, con justificación de scripts con un clic y asistida por IA, de modo que la pista de auditoría se genera por ti.
cside también incluye un endpoint gratuito de informes CSP en todos los planes, incluido el nivel gratuito. Obtienes todo lo que ofrece Page Shield para el monitoreo de CSP, más protección en vivo dentro de la sesión y a nivel de carga útil por encima de eso — y no tienes que mover tu dominio a un CDN específico para conseguirlo.
Regístrate o agenda una demo para comenzar.
Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.
