WAF: firewall de aplicaciones web

La primera línea de defensa contra ataques automatizados, inyecciones y tráfico malicioso

9 min

Un Web Application Firewall (WAF) es una capa de protección que se sitúa entre los usuarios e Internet y tu aplicación web. Analiza el tráfico HTTP/HTTPS en tiempo real y bloquea peticiones que coincidan con patrones de ataque conocidos: inyecciones SQL, cross-site scripting (XSS), bots maliciosos y ataques de denegación de servicio (DDoS).

A diferencia de un firewall de red tradicional que opera en capas 3-4 del modelo OSI, un WAF opera en la capa 7 (aplicación), lo que le permite inspeccionar el contenido de las peticiones HTTP y tomar decisiones basadas en la lógica de la aplicación, no solo en puertos e IPs.

¿Cómo funciona un WAF?

Un WAF analiza cada petición HTTP entrante comparándola contra un conjunto de reglas. Estas reglas pueden ser predefinidas (basadas en firmas de ataques conocidos), personalizadas (escritas por tu equipo para tu aplicación específica) o gestionadas por el proveedor con actualizaciones automáticas.

Los WAF modernos combinan detección basada en firmas con análisis de comportamiento y machine learning. Esto permite identificar no solo ataques conocidos sino también patrones anómalos que podrían indicar un ataque zero-day o un abuso automatizado.

  • Modelo positivo (allowlist): solo permite el tráfico que coincide con patrones conocidos como legítimos
  • Modelo negativo (denylist): bloquea el tráfico que coincide con firmas de ataque conocidas
  • Modelo híbrido: combina ambos enfoques para equilibrar seguridad y disponibilidad

Tipos de WAF: cloud, appliance y host

Existen tres categorías principales de WAF, cada una con diferentes modelos de despliegue, coste y complejidad operativa.

  • WAF cloud (SaaS): se despliega como proxy inverso, sin cambios en tu infraestructura. Cloudflare, AWS WAF, Akamai y Sucuri son los principales. El más fácil de implementar y escalar.
  • WAF appliance (hardware/virtual): se instala en tu data center como dispositivo físico o virtual. Mayor control pero mayor coste y complejidad. F5, Fortinet y Barracuda son referentes.
  • WAF basado en host: módulo integrado en el servidor web (ModSecurity para Apache/Nginx). Sin coste de licencia pero requiere expertise para configurar y mantener reglas.

Proveedores principales

La elección del proveedor depende de tu infraestructura actual, presupuesto y nivel de personalización necesario. Para la mayoría de sitios web, un WAF cloud ofrece el mejor equilibrio entre protección, facilidad de uso y coste.

  • Cloudflare: plan gratuito con protección básica, planes pro con reglas WAF gestionadas. Ideal para sitios de cualquier tamaño. CDN integrado.
  • AWS WAF: integrado con el ecosistema AWS (ALB, CloudFront, API Gateway). Reglas personalizables y marketplace de reglas gestionadas. Facturación por petición.
  • Akamai: líder en grandes empresas con tráfico masivo. Kona Site Defender ofrece protección WAF y DDoS de nivel enterprise.
  • Sucuri: especializado en WordPress y CMS. Incluye WAF, CDN, limpieza de malware y monitorización.

Protección contra DDoS

Los ataques DDoS (Distributed Denial of Service) intentan saturar tu servidor con tráfico masivo hasta dejarlo inaccesible. Un WAF cloud absorbe este tráfico en su red distribuida de servidores antes de que llegue a tu origen, manteniendo tu sitio disponible para usuarios legítimos.

Cloudflare mitiga ataques DDoS de hasta varios Tbps gracias a su red global de más de 300 data centers. AWS Shield (incluido con AWS WAF) protege contra ataques volumétricos en la capa de infraestructura. Para protección avanzada, AWS Shield Advanced ofrece respuesta gestionada 24/7.

Configuración y gestión de reglas

Un WAF mal configurado puede ser tan perjudicial como no tener WAF: demasiado permisivo no protege, demasiado restrictivo bloquea usuarios legítimos. La clave es empezar en modo observación (log only) antes de pasar a modo bloqueo.

Despliega el WAF inicialmente en modo detección para analizar el tráfico normal de tu aplicación. Identifica falsos positivos y ajusta las reglas antes de activar el bloqueo. Revisa los logs regularmente y actualiza las reglas cuando cambien las funcionalidades de tu aplicación.

  • Empieza en modo detección (log only) durante al menos dos semanas
  • Ajusta las reglas para eliminar falsos positivos antes de activar el bloqueo
  • Usa managed rulesets del proveedor como base y añade reglas personalizadas según necesites
  • Crea excepciones (bypass) para endpoints internos, APIs o webhooks que generan falsos positivos

WAF dentro de la estrategia de seguridad

Un WAF es una capa de defensa, no la solución completa. Protege contra ataques en la capa de aplicación pero no sustituye las buenas prácticas de desarrollo seguro, la validación de entradas en código, las cabeceras de seguridad o las actualizaciones de software.

La defensa en profundidad combina WAF con firewalls de red, IDS/IPS, hardening del servidor, monitorización activa y pruebas de penetración regulares. Cada capa cubre vulnerabilidades que las demás podrían no detectar.

Puntos clave

  • Un WAF opera en la capa 7 (aplicación) e inspecciona el contenido HTTP, no solo IPs y puertos
  • Los WAF cloud (Cloudflare, AWS WAF) son la opción más práctica para la mayoría de sitios
  • Empieza siempre en modo detección para identificar falsos positivos antes de bloquear
  • La protección DDoS integrada en WAF cloud absorbe ataques volumétricos sin afectar al origen
  • Un WAF complementa pero no sustituye el desarrollo seguro y otras capas de defensa

¿Necesitas proteger tu sitio con un WAF?

Evaluamos tu infraestructura, implementamos el WAF más adecuado y configuramos reglas personalizadas para tu aplicación.