Si tienes una web hecha con WordPress y los fines de semana, justo cuando hay partido, recibes quejas de gente que no puede entrar, bienvenido al club. No es tu hosting, no es tu plugin de caché, no es nada que hayas configurado mal, es La Liga de fútbol de España, sí, la liga, de fútbol, española, y como tú hay miles más.

El problema lleva con nosotros desde febrero de 2025 y, lejos de arreglarse, en la temporada 2025/2026 ha ido a más. Así que toca dejar el lloro y pasar a la parte práctica, ver qué puedes hacer, desde ya, para que los bloqueos de LaLiga no te dejen la web fuera de servicio cuando le den a la pelotita.

Índice de contenidos

Qué está pasando (legalmente, por injusto que sea)

El 18 de diciembre de 2024 el Juzgado de lo Mercantil número 6 de Barcelona dio luz verde a una resolución pedida por LaLiga y Telefónica Audiovisual que permite ordenar a las operadoras de internet españolas (Movistar, MasOrange, Vodafone, DIGI y todas sus marcas) el bloqueo de direcciones IP usadas para retransmisiones piratas de fútbol.

En marzo de 2025 ese mismo juzgado tumbó los recursos de Cloudflare y RootedCON. Desde entonces, cada jornada de LaLiga, las operadoras aplican bloqueos a rangos de IPs durante las horas de los partidos. Y el problema no está en la idea de perseguir la piratería, que es legítima, sino en cómo se ejecuta.

Cloudflare, igual que cualquier CDN o proveedor cloud moderno, asigna la misma IP a miles de clientes a la vez (las IPv4 son un recurso escaso y caro).

Cuando LaLiga señala una IP que aloja una web pirata, en esa misma IP suele haber cientos o miles de webs legítimas que no tienen nada que ver. Y todas caen a la vez.

La lista de damnificados es larga e incluye perlas como la web de la Real Academia Española, TDTChannels, parte de Vercel, GitHub, Twitch, partes de RedSys (la red de pagos con tarjeta mayoritaria en España), foros, blogs personales, tiendas online y, sí, decenas de miles de pymes que ni son piratas ni tienen nada que ver con el fútbol.

Cloudflare ha llevado el caso al gobierno de Estados Unidos en noviembre de 2025, y plataformas como BunnyCDN o Vercel han empezado a sacar nodos de España o a restringir sus servicios aquí precisamente por esto. Vamos, que como siempre dando ejemplo en España de cómo no hacer las cosas para fomentar la innovación.

Por si fuera poco, desde agosto de 2025 LaLiga ha empezado a mandar emails amenazantes a propietarios de webs que comparten IP con sitios de fútbol pirata, usando la normativa ICANN como vía.

El caso más sonado fue el del blog de Lázaro, un blog personal sobre GNU/Linux que recibió uno de estos correos. Si te llega uno, hablamos al final del artículo.

Hasta aquí los antecedentes. Si quieres más detalle puedes pasarte por laligagate.com, que documenta el desastre con calma y rigor, pero ya vamos a lo que de verdad nos interesa.

Cómo saber si tu web está siendo bloqueada

La herramienta de referencia es hayahora.futbol. La montaron entre varios ingenieros (en palabras de Tebas, «cuatro frikis») que rastrean en tiempo real qué IPs están bloqueadas en cada operador y mantienen un histórico público con sondas en conexiones reales. Tiene tres cosas que vienen muy bien:

Un indicador grande de si hay partido y hay bloqueos ahora mismo.
Un buscador donde metes tu dominio y te dice si tu IP está afectada.
Unos archivos TXT y JSON públicos (https://hayahora.futbol/estado/blocked-any.txt y https://hayahora.futbol/estado/data.json) que cualquier plugin o script puede consultar.

Si tienes dudas sobre si tu web está cayendo los fines de semana por los bloqueos, lo primero es entrar ahí cuando haya partido de liga en España, y comprobarlo. Si tu IP aparece en la lista de bloqueadas o si tu dominio sale como afectado, ya tienes la respuesta.

Y si no aparece pero sigues recibiendo quejas, lo siguiente es pedirle a alguien con Movistar, Vodafone, MasOrange o DIGI que pruebe a entrar en tu web justo cuando hay partido. Si a ti, con otra red, te carga sin problema y a esa persona no, no hay misterio, te están jodiendo por obra y gracia del fútbol.

Y NO, desactivar el proxy de Cloudflare NO deja tu web indefensa

Antes de entrar en soluciones tengo que pararme aquí, porque cada vez que alguien recomienda desactivar el proxy de Cloudflare para sortear los bloqueos aparece un coro de cuentas (muchas nuevas, muchas idénticas, muchas sospechosamente activas) repitiendo la misma cantinela: «eso no es un bypass, eso es dejar tu web expuesta«, «vas a comerte un DDoS«, «estás revelando la IP de tu servidor«.

A ver, pedazo de bobos (no es para ti, es para los que dicen esas cosas), eso es una tontería, falso y, encima, es hasta un insulto a cualquiera que haya tenido una web en internet antes de 2015.

La mayoría de webs del mundo no están detrás del proxy de Cloudflare ni de ningún CDN similar, y funcionan perfectamente.

La idea de que una web «queda indefensa» sin la nubecita naranja viene de mezclar dos cosas distintas, la protección activa y los servicios añadidos.

La seguridad real de tu WordPress está en muchas capas, y no dependen de Cloudflare:

Hosting con buena protección anti-DDoS por defecto (que casi todos los hosting españoles serios la tienen).
El cortafuegos, también, de tu hosting (pues la mayoría tienen WAF a nivel de servidor).
Los plugins de seguridad que uses (Wordfence, Solid Security, AIOS, Vigilante).
Las contraseñas fuertes, el 2FA y unas claves salt de WordPress bien generadas.
Mantener actualizado WordPress, los plugins y el tema.
Reglas básicas de .htaccess o de Nginx para bloquear lo más obvio.

Cloudflare es un complemento muy útil que te da CDN, caché distribuida, ocultación de la IP de origen y freno temprano de ataques DDoS, pero no es la columna vertebral de tu seguridad, solo una capa recomendable. Y si lo era, tu seguridad ya tenía un problema antes de que LaLiga apareciera.

Aclarado esto, vamos a las soluciones.

Solución 1: No usar ninguna CDN

La opción más radical y, curiosamente, la que más gente lleva décadas usando sin saber que está «indefensa», ejem.

Quitas Cloudflare del medio, cambias de nuevo los NS a los de tu hosting, y tu dominio apunta directamente a la IP de tu servidor. Fin del problema con los bloqueos, tu IP ya no está en ningún rango compartido de CDN.

Lo que pierdes:

Caché global distribuida (las visitas internacionales irán algo más lentas si tu servidor está solo en España).
Ocultación de la IP de origen (cualquier herramienta tipo nslookup ve tu IP real).
Mitigación de DDoS volumétricos a nivel de Cloudflare (sigues teniendo la del hosting, que para el 99% de los casos es suficiente).
Algunos servicios de optimización como Rocket Loader, Polish, Mirage o APO.
Reglas de seguridad de la CDN.

Lo que ganas es que tu web ya no está expuesta a los bloqueos de IPs de CDN compartida. Sigues teniendo SSL (cualquier hosting decente trae Let’s Encrypt gratis), DNS, correo y todo lo demás. Si tu web no es enorme no recibe ataques constantes y tu hosting tiene buena infraestructura, esta opción es perfectamente viable.

La gente que tiene su WordPress en un buen hosting español sin Cloudflare por delante lleva, no años, décadas funcionando sin problemas.

Si tu web es un blog personal, una web corporativa pequeña o una tienda con tráfico nacional esta opción es razonable. Pero si vas a hacerlo, hazlo bien, revisa que tu hosting tenga protección anti-DDoS básica, ten activado un plugin de seguridad serio, mantén todo actualizado y monitoriza con algo tipo UptimeRobot.

Solución 2: Cambiar de CDN (con sus matices)

La idea suena bien, porque si Cloudflare es el problema, me voy a otra CDN y ya está ¿no?. La realidad es más complicada…

Cualquier CDN o cualquier proveedor cloud con IPs compartidas puede acabar también en el punto de mira de LaLiga. Ya ha pasado con Vercel, con Akamai, con BunnyCDN. De hecho, según ha trascendido en foros como BandaAncha, BunnyCDN ha empezado a restringir sus POPs (puntos de presencia) de España a cuentas Enterprise desde diciembre de 2025, en parte por este lío.

Justo cuando más útil sería tener una alternativa europea con servidores en España, esa alternativa empieza a desaparecer.

Dicho esto, sí tienes opciones que ahora mismo están menos afectadas o que no comparten infraestructura con las webs de fútbol pirata:

Bunny.net sigue siendo una alternativa muy buena en relación calidad-precio (a partir de 0,01 € por GB), aunque con la advertencia anterior sobre los POPs de España. Para el resto de Europa funciona de maravilla.
KeyCDN en pago por uso, sin tarifas mensuales fijas, más barato que Cloudflare Pro para webs medianas.
Sucuri si lo que te interesa es el paquete WAF + CDN + limpieza de malware en uno.
QUIC.cloud si usas LiteSpeed Cache, con plan gratuito para webs pequeñas.

Migrar de CDN tampoco es trivial, pues implica cambios de DNS, reconfigurar reglas de caché, regenerar certificados, reapuntar registros. Si lo haces solo para sortear los bloqueos de LaLiga, piénsatelo bien, porque mañana puede ser ese mismo proveedor el que esté en esa lista infame.

Solución 3: Desactivar y reactivar el proxy de Cloudflare manualmente

Si quieres seguir aprovechando las ventajas de Cloudflare la mayor parte del tiempo y solo dejarlo fuera cuando hay partido, esta es tu solución, y no es difícil de aplicar.

En el panel DNS de Cloudflare cada registro tiene una nubecita, si está naranja el tráfico pasa por el proxy de Cloudflare (y por tanto por las IPs que LaLiga bloquea), si está gris Cloudflare solo resuelve el DNS y el tráfico va directo a la IP de tu servidor, sin tocar las IPs de Cloudflare.

Para activar este modo «Solo DNS» basta con entrar a Cloudflare, ir a DNS, pulsar el icono de la nube en los registros A, AAAA y CNAME de tu dominio y dejarlos en gris. El cambio es instantáneo, no afecta a la resolución del dominio y, sobre todo, saca tu web del rango de IPs que LaLiga bloquea.

Cuando termine el partido, vuelves a poner las nubes en naranja y listo. Pierdes durante un par de horas la caché de Cloudflare, la ocultación de tu IP de origen y algunos servicios derivados, pero sigues teniendo SSL, DNS y, sobre todo, una web que carga.

El inconveniente es obvio, que hay que estar pendiente del calendario y hacerlo a mano cada fin de semana. Si tienes una sola web y eres ordenado, es viable, pero si llevas varias o si simplemente no te quieres ocupar o no siempre vas a poder, pasa a la solución 4.

Apunte breve sobre ECH (y por qué no te salva)

Es probable que hayas leído sobre ECH (Encrypted Client Hello), una extensión del protocolo TLS que cifra el campo SNI, que es donde el navegador le decía a la operadora a qué dominio querías acceder. Cloudflare lo activó por primera vez en 2023, lo tuvo que desactivar un tiempo, y lo reactivó a partir de septiembre de 2024.

Desde marzo de 2026 es estándar oficial del IETF y está disponible gratis para cualquier cliente de Cloudflare, sin hacer nada por tu parte.

El detalle importante es que ECH protege contra los bloqueos basados en analizar el SNI, que son los antiguos, los bloqueos actuales de LaLiga ya no funcionan así, porque al ver que ECH les complicaba el filtrado, pasaron a bloquear directamente por IP.

Contra el bloqueo por IP, ECH no hace nada, porque la IP sigue siendo visible para la operadora antes incluso de empezar a resolver el TLS.

Está bien que ECH exista y mejora la privacidad de todos, pero no es solución a los bloqueos actuales.

Solución 4: Automatizar la desactivación del proxy con un plugin

Llegamos a la solución más cómoda y la que realmente recomiendo si quieres olvidarte del tema. Hay dos plugins de WordPress, los dos gratuitos, los dos de código abierto, los dos hijos de la misma idea. Te cuento la historia rápida porque tiene su gracia.

El planteamiento original lo publicó David Carrero en GitHub, y era un plugin que consulta hayahora.futbol cada X minutos y, si detecta bloqueos activos, llama a la API de Cloudflare para poner en gris las nubes de los registros DNS que tú elijas. Cuando los bloqueos terminan, las vuelve a poner en naranja.

Sobre esa primera versión hice una adaptación (un fork dicho en friki) en mi GitHub donde fui simplificando la interfaz, pensando más en el usuario final que en el técnico, añadiendo avisos por email, opciones de omisión manual, límite de operadores y unas cuantas mejoras más. Esas mejoras han ido pasando con el tiempo al plugin original, que ahora está publicado en el directorio de WordPress.org, así que por una cosa o por otra son prácticamente hermanos.

Así que tienes dos opciones, según prefieras:

ES Football Bypass for Cloudflare (en WordPress.org)

Es el plugin de David Carrero, instalable directamente desde Plugins → Añadir nuevo buscando «ES Football Bypass for Cloudflare».

Si te gusta tirar de directorio oficial con actualizaciones automáticas, es el camino más cómodo. Tiene dos modos de interfaz (simple y avanzado), admite Global API Key y para API Tokens de Cloudflare, diagnóstico del feed, panel de «¿Hay fútbol ahora?» para enseñarle al cliente, y notificaciones por email.

¿Hay ahora fútbol? – Bypass #LaLigaGate (en GitHub)

Es mi adaptación, disponible en github.com/fernandotellado/bypass-laligagate.

Hace exactamente lo mismo, consultar hayahora.futbol, gestionar la API de Cloudflare y automatizar el bypass. La descarga es manual (te bajas el zip y lo subes a tu WordPress) porque no está publicado en WordPress.org, y lo creé y mantengo principalmente para mis clientes del servicio de mantenimiento, pero está abierto al que quiera usarlo.

Al estar fuera del directorio oficial las actualizaciones son manuales también, así que valóralo según lo cómodo que estés con ese flujo.

¿Que por qué no lo he subido a wordpress.org?, pues porque ya estaba en ese proceso el de David, y porque esto es temporal (espero) y no me gusta subir plugins a WordPress para cosas que son temporales.

Cualquiera de los dos te resuelve el problema.

Si quieres comodidad de instalación y actualización automática vete al de WordPress.org. Si prefieres una versión que voy puliendo casi a diario, según los baches que voy encontrando con mis clientes y los usuarios que se han ido apuntando, el que tengo en GitHub funciona perfectamente, y como soy un intenso casi siempre tendrá alguna cosilla más.

Lo que tienes que tener a mano para configurarlos

Da igual cuál de los dos uses, vas a necesitar:

El ID de zona de tu dominio en Cloudflare. Lo tienes en el panel principal del dominio, abajo a la derecha.
Conexión con la API de Clouflare, y tienes dos posibilidades, ambas funcionan sin problema:
- Un token de API de Cloudflare con permisos de Zone:Read, DNS:Read y DNS:Edit. Lo creas en My Profile → API Tokens → Create Token → Custom Token.
- La Global API Key, disponible en tu perfil de Cloudflare, más sencilla de usar, porque no tienes que configurar nada, aunque es como más seguro usar el anterior, porque eliges qué permisos das y cuáles no.
Decidir qué registros DNS quieres que se gestionen. Lo normal es activar el bypass solo en los registros del dominio principal y de www, y dejar tranquilos los de correo (MX, registros de Google Workspace, etc.) que no están afectados.

Una vez configurado el plugin (cualquiera de los dos) se encarga solo. Te puede mandar un email cuando active el bypass y otro cuando lo desactive, por si quieres tener constancia, pero es opcional. Los ajustes son casi iguales en ambos plugins también, yo soy más pijotero con la interfaz, David más puntilloso con la información técnica.

Aquí te dejo unas capturas del mío, pero se llevan poco…

Si has llegado a este artículo desde un buscador y resulta que tienes una tienda hecha con PrestaShop en vez de WordPress, también hice una versión (me la pidieron), bypass-laligagate-prestashop. Funciona todo igual, pero en vez de plugin WordPress es un módulo para Prestashop (sí, yo también fui de Prestashop).

Si recibes un email de LaLiga (sí, está pasando)

Para ir terminando, ahora que ya sabes qué hacer (o no) y cómo actuar, por si acaso, te cuento esta mierda, que lo es.

Desde agosto de 2025 LaLiga manda correos a propietarios de webs que comparten IP con sitios señalados como piratas. El correo suele venir de un email de la liga o desde Cloudflare a través del sistema de notificaciones ICANN, y te avisa de que «tu web está en una IP usada para distribuir contenido ilegal» y sugiere que pidas a Cloudflare que te asigne otra IP que no se comparta con piratas.

Si te llega uno, no te asustes:

No es una demanda, es una notificación para presionar, y de paso lo usan de márketing propio.
Tu web no ha hecho nada ilegal, solo comparte una IP con otra que sí. Es como si te dicen que en tu edificio vive un traficante en el 4º C y tú vives en el bajo o incluso en el portal de al lado.
La solución técnica que LaLiga sugiere (pedir IP no compartida a Cloudflare) no es factible para clientes del plan gratuito ni del Pro. Hace falta plan Business o Enterprise para tener IPs dedicadas, y aún así no es trivial.
La solución de verdad es la misma de la que llevamos hablando todo el artículo, o sea desactivar tu web del proxy de Cloudflare, manual o automáticamente, para que tu tráfico no pase por esas IPs durante los bloqueos y ¡a tomar por culo ya!.

Guarda el correo por si hace falta para registrarte en plataformas de afectados como afectadosporlaliga.palbin.com, que documenta estos casos.

Lo que no recomiendo (y por qué)

Hay un par de «soluciones» que circulan por ahí y que no aplican si lo que tienes es una web WordPress propia y afectada:

Recomendar a tus visitantes que usen una VPN: Sirve para que ellos puedan saltarse el bloqueo en su navegación, pero no es práctico ni razonable pedir a tus usuarios que se instalen software adicional para entrar en tu tienda online o leer tu blog. Una VPN soluciona el lado del visitante, lo tuyo es solucionarlo en el lado del servidor.
Cambiar de hosting: El hosting no es el problema. El problema está en el CDN delante del hosting (Cloudflare) y en el bloqueo que aplican las operadoras. Cambiar de hosting sin cambiar la configuración DNS no soluciona absolutamente nada.
Esperar a que se arregle solo: Lleva año y pico sin arreglarse, hay una proposición no de ley (que no implica nada), está en manos del Tribunal Constitucional, Cloudflare ha tenido que ir a Estados Unidos a quejarse, pero la Comisión Europea por ahora avala a LaLiga. No esperes nada rápido.

¿Tengo que hacer algo ya mismo?

Si has llegado hasta aquí y todavía no sabes por dónde tirar, este es el plan mínimo:

Entra en hayahora.futbol cuando haya partido de la liga de fútbol española, mete tu dominio y comprueba si estás afectado.
Si lo estás y tienes Cloudflare activo, abre el panel DNS de Cloudflare y prueba a poner en gris las nubes de los registros A, AAAA y CNAME de tu dominio principal. Hazlo justo antes del próximo partido y observa qué pasa.
Si funciona y no quieres estar pendiente cada fin de semana, instala uno de los dos plugins de bypass que hemos visto (el de WordPress.org o el de GitHub) y configúralo con tu ID de zona y demás (mira arriba).
Si tu web no recibe ataques constantes ni necesita CDN global, plantéate dejar de usar de Cloudflare y apuntar al servidor.
Si te llega un correo de LaLiga, guárdalo, no te asustes, y aplica las soluciones técnicas. No requiere respuesta legal por tu parte.

Ojalá este artículo deje de tener sentido pronto. Mientras tanto, si tienes que mantener una web WordPress operativa los fines de semana en España, ya sabes lo que toca.