El DNS es la guía telefónica de internet — traduce nombres legibles como tuempresa.com a direcciones IP como 203.0.113.50. Si tu DNS está mal configurado, tu sitio web no carga, tus correos no llegan y tus servicios no se encuentran. Es invisible cuando funciona y catastrófico cuando falla.
Cloudflare es el proveedor de DNS más popular del mundo — rápido, gratuito, con interfaz intuitiva y funcionalidades extras como CDN, protección DDoS y certificados SSL. En esta guía vas a configurar todos los registros DNS que tu dominio necesita para funcionar correctamente.
Paso 1: Agregar tu dominio a Cloudflare
- Crea una cuenta en cloudflare.com
- Clic en Add a site e ingresa tu dominio
- Selecciona el plan Free
- Cloudflare escanea tus registros DNS actuales e importa los que encuentra
Cloudflare te dará dos nameservers (algo como aria.ns.cloudflare.com y noah.ns.cloudflare.com). Ve al panel de tu registrador de dominio (GoDaddy, Namecheap, etc.) y cambia los nameservers a los de Cloudflare.
Propagación
El cambio de nameservers puede tardar de minutos a 48 horas en propagarse. Cloudflare te notifica por correo cuando detecta que la propagación se completó. Mientras tanto, puedes ir configurando los registros.
Paso 2: Registros esenciales explicados
Registro A — Apuntar dominio a IP
El registro más básico. Traduce un nombre a una dirección IPv4:
| Tipo | Nombre | Contenido | Proxy | TTL |
|---|---|---|---|---|
| A | @ | 203.0.113.50 | Proxied | Auto |
| A | www | 203.0.113.50 | Proxied | Auto |
@representa el dominio raíz (tuempresa.com)wwwes el subdominiowww.tuempresa.com- Proxied (naranja) — el tráfico pasa por Cloudflare, obtiene CDN y protección
tuempresa.com → 203.0.113.50 (tu servidor)
www.tuempresa.com → 203.0.113.50 (tu servidor)
Registro CNAME — Alias de un dominio a otro
Apunta un subdominio a otro nombre de dominio en lugar de una IP:
| Tipo | Nombre | Contenido | Proxy |
|---|---|---|---|
| CNAME | blog | tuempresa.com | Proxied |
| CNAME | tienda | mi-tienda.shopify.com | Proxied |
| CNAME | docs | tu-org.gitbook.io | DNS only |
blog.tuempresa.com → tuempresa.com → 203.0.113.50
tienda.tuempresa.com → mi-tienda.shopify.com
Usa CNAME cuando el destino puede cambiar de IP (servicios cloud, plataformas externas). No puedes crear un CNAME para el dominio raíz (@) — Cloudflare lo maneja con "CNAME flattening" automático.
Registros MX — Correo electrónico
Los registros MX le dicen a internet a qué servidor entregar los correos de tu dominio:
Google Workspace:
| Tipo | Nombre | Contenido | Prioridad |
|---|---|---|---|
| MX | @ | aspmx.l.google.com | 1 |
| MX | @ | alt1.aspmx.l.google.com | 5 |
| MX | @ | alt2.aspmx.l.google.com | 5 |
| MX | @ | alt3.aspmx.l.google.com | 10 |
| MX | @ | alt4.aspmx.l.google.com | 10 |
Microsoft 365:
| Tipo | Nombre | Contenido | Prioridad |
|---|---|---|---|
| MX | @ | tuempresa-com.mail.protection.outlook.com | 0 |
La prioridad indica qué servidor intentar primero (número más bajo = mayor prioridad).
MX siempre DNS only
Los registros MX nunca deben estar en modo Proxied (naranja). El correo electrónico no pasa por HTTP — necesita conexión directa al servidor de correo. Asegúrate de que estén en DNS only (gris).
Registros TXT — Verificaciones y seguridad de correo
Los registros TXT almacenan texto que otros servicios leen para verificar propiedad del dominio y autenticar correos.
SPF (Sender Policy Framework) — Dice qué servidores pueden enviar correo a nombre de tu dominio:
| Tipo | Nombre | Contenido |
|---|---|---|
| TXT | @ | v=spf1 include:_spf.google.com ~all |
Para Google Workspace + tu propio servidor:
v=spf1 include:_spf.google.com ip4:203.0.113.50 ~all
DKIM — Firma digital que autentica que el correo realmente fue enviado desde tu dominio. Google Workspace y Microsoft 365 te dan la clave DKIM para agregar como registro TXT.
DMARC — Política que indica qué hacer con correos que fallan SPF o DKIM:
| Tipo | Nombre | Contenido |
|---|---|---|
| TXT | _dmarc | v=DMARC1; p=quarantine; rua=mailto:dmarc@tuempresa.com |
Con p=quarantine, los correos sospechosos van a spam. Con p=reject, se rechazan completamente.
Registros para servicios específicos
Verificación de Google Search Console:
| Tipo | Nombre | Contenido |
|---|---|---|
| TXT | @ | google-site-verification=abc123... |
Verificación de Microsoft 365:
| Tipo | Nombre | Contenido |
|---|---|---|
| TXT | @ | MS=ms12345678 |
Paso 3: Subdominios para servicios internos
Configura subdominios para cada servicio de tu infraestructura. El proxy de Cloudflare debe estar en DNS only (gris) para servicios que no son HTTP:
| Tipo | Nombre | Contenido | Proxy | Uso |
|---|---|---|---|---|
| A | erp | 10.0.1.10 | Proxied | ERP web |
| A | api | 203.0.113.50 | Proxied | API pública |
| A | grafana | 203.0.113.50 | Proxied | Monitoreo |
| A | vpn | 203.0.113.51 | DNS only | WireGuard VPN |
| A | db | 10.0.1.20 | DNS only | Base de datos (solo red interna) |
| CNAME | nube | 203.0.113.50 | Proxied | Nextcloud |
IPs privadas
Cloudflare no puede hacer proxy a IPs privadas (10.x.x.x, 192.168.x.x). Los registros con IPs privadas deben estar en DNS only y solo se resuelven desde tu red interna. Para servicios internos accesibles solo por VPN, esto es exactamente lo que quieres.
Paso 4: Configuración de SSL
En Cloudflare, ve a SSL/TLS y configura:
- Full (strict) — Cloudflare cifra el tráfico entre el usuario y Cloudflare, Y entre Cloudflare y tu servidor. Requiere que tu servidor tenga un certificado SSL válido (Let's Encrypt funciona).
- Flexible — Solo cifra entre usuario y Cloudflare. Tu servidor puede no tener SSL. Menos seguro pero funciona sin configuración en el servidor.
Recomendamos Full (strict) con certificados Let's Encrypt en tu Nginx o Traefik.
Paso 5: Configuraciones recomendadas
En SSL/TLS → Edge Certificates:
- Always Use HTTPS: On
- Minimum TLS Version: 1.2
- Automatic HTTPS Rewrites: On
En Speed → Optimization:
- Auto Minify: CSS, JavaScript, HTML
- Brotli: On
En Security:
- Security Level: Medium
- Challenge Passage: 30 minutes
- Browser Integrity Check: On
Verificar tu configuración
Después de configurar todo, verifica que funciona:
# Verificar registros A
dig tuempresa.com A +short
# Verificar MX
dig tuempresa.com MX +short
# Verificar SPF
dig tuempresa.com TXT +short
# Verificar DMARC
dig _dmarc.tuempresa.com TXT +short
# Verificar propagación global
# Usa: https://www.whatsmydns.net/
Para correo, verifica SPF, DKIM y DMARC con MXToolbox:
https://mxtoolbox.com/SuperTool.aspx?action=mx:tuempresa.com
Siguientes pasos
Con DNS configurado correctamente:
- Page Rules — redirecciones, caché personalizado y reglas por URL en Cloudflare
- Workers — lógica serverless en el edge de Cloudflare (rate limiting, transformación de headers, A/B testing)
- Zero Trust — acceso seguro a aplicaciones internas sin VPN usando Cloudflare Access
- Redes empresariales — diseño completo de DNS, dominios y conectividad para tu empresa
- Ciberseguridad — WAF, DDoS mitigation y protección avanzada con Cloudflare Pro
Infraestructura de red
¿Necesitas ayuda con DNS, dominios y conectividad?
Configuramos tu infraestructura de DNS, CDN, SSL y protección DDoS para que tu presencia digital sea rápida y segura.
