Un Jedi no muestra su posición. Ya lo vimos con Cloudflare Tunnel: sin puertos abiertos, sin IP expuesta, invisible desde internet. Ya sabemos que cuántas más capas de protección, mejor. Invisible no tiene que ser inaccesible. La URL existe. Cloudflare la atiende. Y cualquiera que la conozca puede llamar a esa puerta.

Sun Tzu lo escribió hace dos mil quinientos años: defender la posición no es suficiente. Hay que controlar quién entra y quién nos observa.

Cloudflare Access es esa capa de control. Antes de que una sola petición llegue a tus dominios, el usuario tiene que identificarse, tenemos que saber si es de confianza o no — con Google, GitHub o un código de un solo uso enviado al email. Sin contraseña compartida. Sin VPN. Sin cuenta local que gestionar. Solo: demuestra quién eres. Y si tu identidad cumple la política y eres de confianza, entras. Con el plan gratuito, hasta 50 usuarios.

Un Jedi no muestra su sable hasta que es necesario. Un sysadmin no abre puertos hasta que no queda otra opción.

El acceso remoto clásico hace lo contrario: abre puertos en el router y publica tu posición. El 8443 de tu Proxmox, el 8096 de tu Jellyfin, el 22 de tu SSH — visibles para cualquier bot que escanee internet, esperando a que alguien encuentre el exploit del mes.

Cloudflare Tunnel gira esa lógica. Tu servidor establece una conexión saliente hacia Cloudflare — son ellos quienes reciben el tráfico exterior y lo reenvían hacia ti. El router no abre nada. Tu IP real no aparece en ningún sitio. El atacante no puede atacar lo que no ve.

Sin un solo puerto abierto. Sin IP fija. Sin NAT. Y tu Jellyfin accesible desde cualquier lugar del mundo con HTTPS y con tu propio dominio.

La investigación OSINT siempre ha requerido combinar herramientas distintas, copiar resultados entre terminales y sintetizar todo a mano. harper-osint integra maigret, holehe, sherlock, theHarvester y varias librerías especializadas en un único servidor MCP. Claude hace la investigación. Tú lees el informe.

Administrar Windows desde Linux siempre ha sido incómodo: RDP para operaciones gráficas, PSExec para scripts remotos, soluciones parcheadas. WinRM es el protocolo nativo de Microsoft para gestión remota — y harper-winrm lo conecta directamente a Claude Code.

SSH ya lo tienes configurado. Sabes dónde viven tus claves y tienes tus hosts en ~/.ssh/config. harper-ssh conecta ese conocimiento con Claude Code para que puedas pedir “reinicia el servicio en servidor01” y que ocurra — sin abrir un terminal.

Obsidian es donde vive el conocimiento: notas, documentación, proyectos, ideas. Claude Code es donde ocurre el trabajo. Con harper-obsidian, el asistente puede leer y escribir en tu vault directamente — sin copiar y pegar, sin cambiar de ventana.

Llevas años automatizando tu infraestructura con scripts, Ansible y cron. Funciona. Pero cada vez que quieres que algo haga algo tienes que decirle exactamente cómo hacerlo. Con MCP, Claude Code puede hacer el trabajo directamente — sin que tú escribas ni un comando.

Cuando empecé a usar Claude Code para tareas de administración real — conectarse a servidores, autenticarse en APIs, gestionar servicios — llegó el momento inevitable: Claude necesita una contraseña.

La respuesta obvia es escribirla en el chat. Y es un error.

Esta web es un sitio estático generado con Hugo. No tiene base de datos, no tiene PHP, no tiene WordPress. Y aun así, si miro los logs de Cloudflare, veo peticiones a /wp-admin, /wp-login.php y /xmlrpc.php cada pocos minutos. Bots que recorren internet buscando instalaciones de WordPress vulnerables sin importarles lo que hay realmente en el servidor.

Llevo meses con un asistente de IA corriendo sobre infraestructura propia: notas, servidores, tareas, automatizaciones. Funciona bien. Demasiado bien, de hecho. Tan bien que llegó el momento de añadirle la agenda de contactos personales. Y ahí me detuve.