¿Por qué el resultado dice "probable" en vez de "definitivo"?

**La confianza refleja cuántas fuentes independientes coincidieron**. "Definitivo" necesita una señal inequívoca: una cabecera `CF-Ray` (solo Cloudflare la emite), un `X-Amz-Cf-Id` (solo CloudFront), un `X-Vercel-Id` (solo Vercel). **"Probable"** significa una fuente fuerte, p. ej. un match de rango IP contra `104.16.0.0/12` o una cabecera Server: cloudflare. **"Posible"** es una pista débil, p. ej. una línea Server: nginx que podría ser cualquiera ejecutando nginx. La etiqueta es conservadora a propósito, sin promesas falsas.

¿Puede Cloudflare ocultar realmente el servidor origen?

**Sí, ese es todo el sentido** de Cloudflare en modo proxy. Cuando el registro DNS está **con nube naranja**, tu registro A resuelve a una IP de Cloudflare (104.16.x.x o 172.64.x.x), no a tu servidor real. Los visitantes hablan con Cloudflare, Cloudflare habla con tu origen por un canal trasero. **No tenemos forma de revelar el origen real** desde un detector público, eso anularía la protección. Las fugas comunes (DNS de subdominio no proxiado, registros SPF antiguos, IPs de servidor de correo) necesitan OSINT dedicado, no esta herramienta.

¿Qué es un WAF y por qué la confianza es a menudo "probable"?

Un **WAF (web application firewall)** filtra el tráfico HTTP antes de que llegue a tu app, bloqueando inyección SQL, XSS, patrones de bot sospechosos. **Cloudflare WAF**, **AWS WAF**, **Imperva Incapsula**, **Sucuri**, **Akamai Kona** son los grandes nombres. La detección rara vez es "definitiva" porque los WAFs suelen ser **silenciosos por defecto**: solo emiten cabeceras reveladoras (`X-Sucuri-Id`, `X-Iinfo`, cookie `__cf_bm`) cuando se dispara una regla o el bot-management está activo. Un escaneo pasivo de la home puede no provocar eso, así que decimos "probable WAF tras Cloudflare" en vez de "100% confirmado".

¿Cómo funciona la detección por dentro?

Cuatro comprobaciones en paralelo contra el dominio destino: (1) **DoH (DNS sobre HTTPS)** a Cloudflare 1.1.1.1, obteniendo registros A y NS, (2) un **HTTPS GET** a la ruta raíz con un user-agent Chrome, leyendo las cabeceras de respuesta (CF-Ray, X-Amz-Cf-Id, Server, Via, X-Cdn, X-Powered-By, patrones de set-cookie), (3) un **match CIDR** del registro A contra rangos embebidos para los principales CDNs, (4) un **TLS handshake** para leer el emisor del certificado (Cloudflare Inc ECC CA-3 → Cloudflare, Amazon → AWS). Las señales se fusionan luego: la coincidencia sube la confianza, los conflictos se quedan con la fuente más fuerte.

¿Por qué el sitio de Google aparece a veces como "DNS de Cloudflare"?

Porque **proveedor de DNS y hosting son independientes**. Puedes usar Cloudflare DNS por la comodidad del dashboard mientras alojas en Google, AWS o donde sea. Igualmente, un dominio con **registros NS de Route 53** usa AWS para DNS pero puede perfectamente estar detrás de un edge de Vercel. El detector reporta cada capa por separado. Si ves "DNS: Cloudflare, Hosting: AWS, CDN: CloudFront" eso es perfectamente válido, no una contradicción.

¿Por qué GitHub Pages aparece como "GitHub Pages" en hosting y "Fastly" en CDN?

Porque **esa es la verdad**. GitHub Pages sirve tu repo desde la infraestructura de GitHub pero enruta el tráfico a través de **Fastly** como el CDN de cara al público. La cabecera Server dice `GitHub.com`, la cabecera Via revela `varnish` y la IP pertenece al rango de Fastly. Lo mismo con Shopify (Cloudflare sobre su propia infra), Netlify (Netlify Edge), Vercel (Vercel Edge Network). **Una capa es el origen, la otra es la caché.**

¿Hay falsos positivos que deba conocer?

**Sí, unos cuantos comunes**. (1) La cabecera Server es **controlada por el usuario**: un sitio puede falsearla para decir "nginx" mientras ejecuta Apache, o quitarla por completo. (2) **Let's Encrypt** como emisor TLS no te dice nada sobre hosting (cualquiera puede usarlo), así que nunca clasificamos hosting puramente desde un certificado de Let's Encrypt. (3) Las tablas de rangos IP se quedan obsoletas: un POP de CDN recién lanzado puede no estar en nuestra lista embebida, lo que lleva a un "posible" en vez de "probable". (4) Los sitios que **redirigen a un dominio distinto** (p. ej. `ejemplo.com` → `www.ejemplo.com`) se siguen una vez, así que la detección final refleja el destino, no la entrada original.

¿Funciona para cualquier TLD o solo para dominios populares?

**Cualquier TLD que resuelva por DNS público** funciona: `.com`, `.dev`, `.io`, `.co.uk`, `.es`, `.pl`, modernos `.app`, `.cloud`. Bloqueamos **sufijos que parecen internos** (`.local`, `.internal`, `.lan`, `.intranet`, `.corp`, `.home`, `.localhost`) como protección SSRF: nuestro servidor no va a sondear la red privada de nadie. Las IPs literales también se rechazan: usa un dominio.

¿Se registra la petición?

**No.** La ruta corre en memoria de Node.js: tira de DoH, descarga la página principal, abre un TLS handshake y devuelve el resultado. El rate limiting (30 peticiones por hora por IP) es un mapa en memoria que se reinicia en cada cold start. **Nada se persiste a disco ni a base de datos.** Tus consultas no se asocian con tu cuenta porque no hay cuenta.

Detector de proveedor cloud / CDN - gratis

Qué hace este detector

Esta herramienta te dice quién está realmente operando un sitio web dado: el hosting (servidor origen), el CDN que tiene delante, el proveedor de DNS y un probable WAF (web application firewall). Escribes un dominio, nuestro servidor combina cuatro fuentes de detección independientes y obtienes un único panel con una etiqueta de confianza junto a cada resultado.

Las fuentes que usamos: registros NS vía DNS over HTTPS, las cabeceras de respuesta HTTP del sitio en vivo, la IP del registro A comparada con rangos de CDNs conocidos (Cloudflare, CloudFront, Fastly, Vercel) y el emisor del certificado TLS. Cuando varias fuentes coinciden, la confianza salta de "probable" a "definitivo".

Cómo usarla

Escribe un dominio: solo el hostname, sin esquema, sin ruta. `vercel.com` funciona, `https://vercel.com/pricing` se limpia automáticamente.
Pulsa Detectar. El servidor ejecuta cuatro comprobaciones en paralelo con un presupuesto de 10 segundos.
Lee las cuatro tarjetas: Hosting, CDN, Proveedor DNS, WAF. Cada una lleva una confianza: definitivo (varias fuentes coinciden), probable (una señal fuerte), posible (solo una pista débil).
Abre el bloque Señales en bruto para ver los registros A y NS, cabecera Server, cabecera Via y emisor TLS que alimentaron la detección.
Abre la lista Evidencia para ver la etiqueta exacta que disparó cada resultado, p. ej. `CF-Ray: 7f...` o `104.16.x.x in 104.16.0.0/12 (Cloudflare)`.
Prueba los chips de ejemplo (vercel.com, github.com, cloudflare.com, shopify.com) para ver cómo un deploy limpio de Vercel, un sitio de GitHub Pages, un sitio fronteado por Cloudflare y una tienda alojada en Shopify aparecen de forma distinta.

Cuándo es útil

Escenarios concretos en los que este detector se gana el sueldo:

Investigación competitiva antes de proponer infraestructura: ver si tu prospect corre Cloudflare delante, CloudFront o un origen pelado al que puedes venderle un CDN.
Verificación de proveedor cuando una agencia te dice "alojamos en AWS": el emisor TLS más el rango de IPs confirmarán o contradirán la afirmación.
Respuesta a incidente durante una caída: ¿está caído el origen o solo el CDN? Saber el proveedor te dice qué página de estado abrir (status.cloudflare.com vs health.aws.amazon.com).
Planificación de migración: antes de mover el DNS de Route 53 a Cloudflare quieres un baseline de quién eran los proveedores actuales en cada subdominio.
Auditorías de seguridad: confirma que el WAF que el cliente afirma tener ("usamos Cloudflare") está realmente sirviendo tráfico en el hostname público, no esquivado por una IP de origen filtrada.
Apalancamiento de precios: saber que un competidor corre en Vercel vs AWS vs un VPS pelado te ayuda a dimensionar la conversación sobre coste y escala.

Herramientas relacionadas: consulta DNS, inspector de certificados SSL, consulta WHOIS, inspector de cabeceras HTTP, consulta info IP / ASN.

Preguntas y respuestas

Un CDN (content delivery network) es una caché global que se sitúa entre tus visitantes y tu servidor origen. Ejemplos: Cloudflare, AWS CloudFront, Fastly, Akamai, Vercel Edge Network. Detectarlo importa porque: (1) la IP pública del sitio es el edge del CDN, no tu servidor real, (2) la terminación TLS ocurre en el edge, así que el certificado que ves es el del CDN, (3) las reglas de caché y las protecciones WAF viven en el CDN, no en tu origen. Sin una comprobación del CDN no tienes ni idea de dónde depurar un 503 o un primer byte lento.

Qué hace este detector

Cómo usarla

Escribe un dominio: solo el hostname, sin esquema, sin ruta. `vercel.com` funciona, `https://vercel.com/pricing` se limpia automáticamente.

Pulsa Detectar. El servidor ejecuta cuatro comprobaciones en paralelo con un presupuesto de 10 segundos.

Lee las cuatro tarjetas: Hosting, CDN, Proveedor DNS, WAF. Cada una lleva una confianza: definitivo (varias fuentes coinciden), probable (una señal fuerte), posible (solo una pista débil).

Abre el bloque Señales en bruto para ver los registros A y NS, cabecera Server, cabecera Via y emisor TLS que alimentaron la detección.

Abre la lista Evidencia para ver la etiqueta exacta que disparó cada resultado, p. ej. `CF-Ray: 7f...` o `104.16.x.x in 104.16.0.0/12 (Cloudflare)`.

Prueba los chips de ejemplo (vercel.com, github.com, cloudflare.com, shopify.com) para ver cómo un deploy limpio de Vercel, un sitio de GitHub Pages, un sitio fronteado por Cloudflare y una tienda alojada en Shopify aparecen de forma distinta.

Cuándo es útil

Escenarios concretos en los que este detector se gana el sueldo:

Investigación competitiva antes de proponer infraestructura: ver si tu prospect corre Cloudflare delante, CloudFront o un origen pelado al que puedes venderle un CDN.
Verificación de proveedor cuando una agencia te dice "alojamos en AWS": el emisor TLS más el rango de IPs confirmarán o contradirán la afirmación.
Respuesta a incidente durante una caída: ¿está caído el origen o solo el CDN? Saber el proveedor te dice qué página de estado abrir (status.cloudflare.com vs health.aws.amazon.com).
Planificación de migración: antes de mover el DNS de Route 53 a Cloudflare quieres un baseline de quién eran los proveedores actuales en cada subdominio.
Auditorías de seguridad: confirma que el WAF que el cliente afirma tener ("usamos Cloudflare") está realmente sirviendo tráfico en el hostname público, no esquivado por una IP de origen filtrada.
Apalancamiento de precios: saber que un competidor corre en Vercel vs AWS vs un VPS pelado te ayuda a dimensionar la conversación sobre coste y escala.

Herramientas relacionadas: consulta DNS, inspector de certificados SSL, consulta WHOIS, inspector de cabeceras HTTP, consulta info IP / ASN.

Preguntas y respuestas

Detector de proveedor cloud / CDN

Qué hace este detector

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Consulta DNS

Inspector de certificado SSL

Consulta WHOIS

Inspector de cabeceras HTTP

Info de IP / Lookup ASN

Detector de proveedor cloud / CDN

Qué hace este detector

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Consulta DNS

Inspector de certificado SSL

Consulta WHOIS

Inspector de cabeceras HTTP

Info de IP / Lookup ASN