Publicación legal centrada en la privacidad
Aloja un sitio web anónimamente desde casa con Cloudflare Tunnel y una VPN
Esta guía muestra cómo ocultar tu IP residencial a visitantes publicando un sitio local vía Cloudflare Tunnel y, si quieres, usando VPN antes.
El límite de privacidad importa: los visitantes no deben conocer tu IP residencial, pero Cloudflare conoce tu cuenta y el proveedor VPN sabe que te conectas a Cloudflare.
Está escrito para autoalojamiento legítimo, pruebas, publicación e investigación. No apoya fraude, malware, phishing, acoso ni actividades ilegales.
Índice
Qué protege realmente esta configuración
El objetivo práctico no es desaparecer de todos los proveedores, sino evitar que visitantes, escáneres y consultas DNS rutinarias conozcan tu IP residencial o accedan a tu router.
El DNS puede apuntar a Cloudflare en lugar de a una dirección residencial, evitando revelar dónde se aloja el sitio.
Un túnel nombrado es solo de salida, por lo que no necesitas redirigir puertos entrantes para el sitio web.
Tu sitio puede permanecer en localhost u otra interfaz privada mientras Cloudflare gestiona la accesibilidad pública.
Esto es privacidad frente a visitantes, no invisibilidad ante Cloudflare, el proveedor VPN o tu rastro de cuenta.
Quiénes aún pueden identificarte
La forma más clara de pensar en alojamiento anónimo es separar audiencias. Cada una conoce una parte distinta.
Visitantes
- Pueden ver tu nombre público, superficie TLS y cualquier contenido, cabeceras, analíticas y cookies que expongas intencionadamente.
- Normalmente ven IPs de borde Cloudflare en vez de tu IP residencial cuando el DNS solo apunta al túnel.
- Pueden seguir identificando el navegador admin si inicias sesión en el mismo backend desde el mismo dispositivo o perfil.
Cloudflare
- Cloudflare conoce la cuenta, zona, UUID del túnel, nombres de host configurados y estado del túnel.
- Cloudflare también ve la IP de origen que usa cloudflared para conectar, ya sea tu IP residencial o la IP de salida de la VPN.
- Una VPN puede ocultar la IP residencial a Cloudflare, pero no elimina la relación con la cuenta de Cloudflare.
Proveedor de VPN
- El proveedor VPN puede ver que tu dispositivo mantiene tráfico cifrado hacia Cloudflare.
- Si la VPN está vinculada a tu email o identidad de pago habitual, esa relación sigue fuera del túnel.
- Una VPN cambia la IP de origen que Cloudflare ve. No elimina la confianza que depositas en el proveedor de VPN.
Tu rastro de identidad más amplio
- Datos del registrador, correos de recuperación, pagos y usuarios reutilizados aún pueden vincular el proyecto contigo.
- Iniciar sesión en paneles administrativos desde un perfil personal puede vincular el sitio con tu identidad diaria.
- En la práctica, el anonimato depende tanto de la disciplina operativa como del túnel en sí.
Cómo funciona la ruta del tráfico
La ruta limpia es simple: el lado público termina en Cloudflare, el privado queda local y solo cloudflared accede.
Solicita tu nombre de host y llega a la red de borde de Cloudflare.
Termina HTTPS, aplica reglas y reenvía la solicitud al túnel nombrado.
Mantiene conexiones de túnel solo de salida desde tu máquina Windows hacia Cloudflare.
Responde en localhost u otra dirección privada sin estar expuesto directamente a internet.
Si cloudflared usa primero una VPN, Cloudflare ve la IP de salida de la VPN como origen. Si la VPN cae sin kill switch, cloudflared puede reconectar por la ruta ISP normal.
Qué hace cloudflared.exe en Windows
cloudflared.exe no es una VPN ni una red de anonimato. Es el conector de Cloudflare que autentica un túnel, mantiene conexiones salientes duraderas y asigna un nombre público a un servicio local.
Puedes iniciar sesión una vez, crear un túnel nombrado y reutilizarlo para un nombre estable en vez de enlaces temporales.
Cloudflare documenta que cada túnel mantiene múltiples conexiones duraderas para que la ruta sea resistente si una falla.
Un archivo de configuración puede enviar app.example.com a http://localhost:3000 sin convertir localhost en un origen público.
Puedes probar el túnel en terminal primero y luego convertirlo en un servicio Windows siempre activo.
Cloudflare Tunnel puede publicar servicios HTTP, HTTPS, TCP, SSH, RDP y similares, pero esta guía se centra en sitios web.
Para el flujo exacto del proveedor, compara tu configuración con Guía local de túneles Cloudflare y el Guía del servicio Windows.
Configuración en Windows: cloudflared.exe paso a paso
Este camino asume que el sitio funciona localmente y tu dominio usa DNS Cloudflare. El ejemplo usa app.example.com y servicio local en puerto 3000.
Usa PowerShell 7 para todos los comandos. Cambia el nombre de host, túnel y servicio local antes de copiar.
Paso 1: define los valores que reutilizarás
Inicia en PowerShell 7 y reemplaza el nombre de host, túnel y servicio local por los tuyos antes de continuar.
$TunnelName = "ghostly-home-site"
$PublicHostname = "app.example.com"
$LocalService = "http://localhost:3000"
$CloudflaredHome = "C:\Cloudflared\bin"
$ConfigPath = "$env:USERPROFILE\.cloudflared\config.yml"Paso 2: prepara cloudflared.exe
Renombra el binario descargado, crea una carpeta dedicada y copia el ejecutable allí.
Rename-Item "$env:USERPROFILE\Downloads\cloudflared-windows-amd64.exe" "cloudflared.exe"
New-Item -ItemType Directory -Force $CloudflaredHome
Copy-Item "$env:USERPROFILE\Downloads\cloudflared.exe" "$CloudflaredHome\cloudflared.exe"Paso 3: cambia a la carpeta de trabajo y verifica el binario
Entra en la carpeta y confirma que cloudflared.exe arranca sin errores antes de autenticar.
Set-Location $CloudflaredHome
.\cloudflared.exe --versionPaso 4: inicia sesión y autoriza la zona Cloudflare
Esto abre el navegador para aprobar la zona. El certificado de cuenta se guarda en tu directorio .cloudflared por defecto.
.\cloudflared.exe tunnel loginPaso 5: crea el túnel nombrado y guarda su UUID
Crea el túnel y pega el UUID del comando en la variable abajo para reutilizarlo en los siguientes comandos.
.\cloudflared.exe tunnel create $TunnelName
$TunnelId = "<paste-the-tunnel-uuid-from-the-create-output>"Paso 6: escribe config.yml línea por línea
Estos comandos crean el config.yml local en tu perfil Windows para que el túnel sepa qué nombre público redirige a qué servicio local.
Set-Content $ConfigPath "tunnel: $TunnelId"
Add-Content $ConfigPath "credentials-file: $env:USERPROFILE\.cloudflared\$TunnelId.json"
Add-Content $ConfigPath ""
Add-Content $ConfigPath "ingress:"
Add-Content $ConfigPath " - hostname: $PublicHostname"
Add-Content $ConfigPath " service: $LocalService"
Add-Content $ConfigPath " - service: http_status:404"Paso 7: revisa y valida la configuración
Imprime el archivo para revisarlo, luego deja que cloudflared valide las reglas de ingreso antes de publicar el DNS.
Get-Content $ConfigPath
.\cloudflared.exe tunnel ingress validatePaso 8: crea la ruta DNS e inspecciona el túnel
Esto indica a Cloudflare qué nombre de host debe dirigir al túnel nombrado antes de servir tráfico en vivo.
.\cloudflared.exe tunnel route dns $TunnelName $PublicHostname
.\cloudflared.exe tunnel info $TunnelNamePaso 9: ejecuta el túnel en primer plano
Mantén esta ventana de PowerShell 7 abierta mientras pruebas el sitio desde otra red. Detén con Ctrl+C al terminar.
.\cloudflared.exe tunnel run $TunnelNameHaz esto solo después de que el túnel interactivo funcione. Ejecuta los comandos en PowerShell 7 elevado porque el servicio usa el perfil del sistema y registro.
Paso 1 del servicio: instala el shell del servicio Windows
Abre una ventana PowerShell 7 elevada para este paso opcional e instala primero el servicio Cloudflared.
Set-Location $CloudflaredHome
.\cloudflared.exe service installPaso 2 del servicio: copia cert.pem, credenciales y configuración al perfil del sistema
El servicio Windows corre bajo el perfil del sistema, por lo que necesita su propia carpeta .cloudflared con certificado, credenciales y config.yml.
$SystemCloudflaredHome = "C:\Windows\System32\config\systemprofile\.cloudflared"
New-Item -ItemType Directory -Force $SystemCloudflaredHome
Copy-Item "$env:USERPROFILE\.cloudflared\cert.pem" "$SystemCloudflaredHome\cert.pem"
Copy-Item "$env:USERPROFILE\.cloudflared\$TunnelId.json" "$SystemCloudflaredHome\$TunnelId.json"
Set-Content "$SystemCloudflaredHome\config.yml" "tunnel: $TunnelId"
Add-Content "$SystemCloudflaredHome\config.yml" "credentials-file: $SystemCloudflaredHome\$TunnelId.json"
Add-Content "$SystemCloudflaredHome\config.yml" ""
Add-Content "$SystemCloudflaredHome\config.yml" "ingress:"
Add-Content "$SystemCloudflaredHome\config.yml" " - hostname: $PublicHostname"
Add-Content "$SystemCloudflaredHome\config.yml" " service: $LocalService"
Add-Content "$SystemCloudflaredHome\config.yml" " - service: http_status:404"Paso 3 del servicio: apunta ImagePath a la configuración del sistema y arranca el servicio
La documentación del servicio Windows de Cloudflare requiere que ImagePath de Cloudflared apunte al archivo de configuración del perfil del sistema.
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Cloudflared" -Name ImagePath -Value "C:\Cloudflared\bin\cloudflared.exe --config=C:\Windows\System32\config\systemprofile\.cloudflared\config.yml tunnel run"
sc.exe start cloudflaredEsto refleja el flujo del servicio Windows de Cloudflare: copia cert.pem y credenciales al perfil sistema, escribe config.yml y apunta ImagePath a esa configuración.
Ubicación y reglas de endurecimiento de VPN
El túnel es tan privado como la ruta que usa. Para que Cloudflare vea la IP de salida VPN en vez de la residencial, la VPN debe estar antes de iniciar cloudflared.
Verifica primero la IP pública del host. Si la máquina muestra la IP del ISP, Cloudflare verá esa IP al conectar el túnel.
Si la VPN cae y no hay firewall, cloudflared puede reconectar por la ruta residencial normal.
Asocia el servicio web a localhost o una interfaz privada para que el túnel sea la única vía pública.
La documentación de Cloudflare advierte que el registro de depuración puede capturar URLs, métodos, protocolos, tamaños y cabeceras. Usa registro normal en operación diaria.
Opciones y comparación de VPN
¿Quieres un acceso rápido a VPN o una comparación más amplia?
Si quieres un punto de partida simple, el botón rotativo de VPN abre una opción actual. Para comparar más, usa el directorio completo de proveedores.
Selección rotativa actual: Proton VPN
Si el túnel se detiene y el registro DNS sigue activo, los visitantes ven un error de Cloudflare hasta que el conector vuelve. Es ruidoso pero mejor que filtrar la IP residencial.
Lista de verificación antes de confiar
No asumas que la configuración es privada solo porque el sitio cargue. Verifica la ruta como un operador, no como un comercial.
Una consulta externa rápida debería mostrar registros que apuntan a Cloudflare en lugar de una dirección residencial.
Verifica primero la IP pública de la máquina para saber qué verá Cloudflare en el conector.
Prueba desde datos móviles u otra red externa para evitar atajos de enrutamiento local.
Simula una vez el fallo. Si cloudflared reconecta por la ruta ISP, el modelo de privacidad falla.
Cuando GhostlyShare es la opción más sencilla
Si solo necesitas una vista previa pública temporal, demo rápida o URL de webhook, GhostlyShare es más sencillo y evita la configuración manual de Cloudflare.
Usa cloudflared manual para control total del túnel, DNS, cuenta y hosting prolongado. Usa GhostlyShare si priorizas rapidez sobre configuración.
Ver GhostlySharePreguntas frecuentes sobre alojamiento anónimo desde casa
¿Sigue Cloudflare sabiendo quién soy?
Sí. Cloudflare sigue conociendo la cuenta, zona, túnel y la IP de origen que llega a su borde. Una VPN puede reemplazar la IP residencial que ve Cloudflare, pero no elimina la relación con la cuenta.
¿Ven los visitantes mi IP residencial?
Normalmente no deberían si tu DNS solo apunta a Cloudflare y no has expuesto el origen de otra forma. Los visitantes llegan al borde de Cloudflare y al nombre público, no a la IP residencial.
¿Necesito redirigir puertos en el router?
No. Cloudflare Tunnel es solo de salida, el conector se conecta a Cloudflare sin esperar tráfico entrante de internet.
¿Puedo ejecutar cloudflared.exe solo cuando lo necesito?
Sí. Ejecuta el túnel interactivamente desde PowerShell si solo necesitas el sitio temporalmente. Convierte en servicio Windows para disponibilidad tras cerrar sesión o reiniciar.
Qué pasa si la VPN se desconecta
Sin kill switch, cloudflared puede reconectar por la ruta residencial normal y Cloudflare verá la IP del ISP. Por eso el fallo importa tanto como el éxito.
¿Es esto suficiente para anonimizar todo el proyecto?
No. Registro de dominio, pagos, correos de recuperación, huellas del navegador y comportamiento administrativo aún pueden identificarte. El túnel solo resuelve parte del problema.
Guías relacionadas
Lee los conceptos básicos de la capa de red antes de depender de una VPN para ocultar la IP que ve Cloudflare.
Guía Comprueba tu fingerprint y exposición al rastreo onlineUsa la página de huellas para reducir pistas en el navegador que puedan correlacionar tus sesiones admin.
Herramienta GhostlyShare: comparte localhost en Windows y LinuxUsa la ruta de escritorio más simple para obtener un enlace público sin configurar todo el flujo de Cloudflare.
Directorio Proveedores VPN globales: compara auditorías, privacidad y adecuaciónUsa el directorio completo de VPN si quieres comparar varios proveedores antes de elegir uno para el túnel.