Seguridad web

WAF (Web Application Firewall)

Se lee en aproximadamente 5 minutos

Última actualización: 2026-03-05

Qué es un WAF

Un WAF (Web Application Firewall) es un producto de seguridad que inspecciona el tráfico HTTP/HTTPS hacia aplicaciones web y detecta y bloquea solicitudes maliciosas. Mientras que los firewalls convencionales controlan direcciones IP y números de puerto en la capa de red (L3/L4), el WAF analiza el contenido de las solicitudes HTTP en la capa de aplicación (L7).

Puede defender contra ataques específicos de aplicaciones web como XSS, inyección SQL, CSRF y directory traversal. Muchas de las vulnerabilidades listadas en el OWASP Top 10 pueden mitigarse con un WAF. Sin embargo, el WAF es solo una "medida de mitigación" y no sustituye la corrección de las vulnerabilidades de la propia aplicación.

Métodos de detección del WAF

  • Basado en firmas (método de lista negra): Detecta comparando con patrones de ataque conocidos (firmas). Detecta cadenas como SELECT * FROM o <script> dentro de las solicitudes. Tiene alta tasa de detección para ataques conocidos, pero es débil ante ataques desconocidos o técnicas de ofuscación que evaden las firmas.
  • Método de lista blanca: Define patrones de solicitudes normales y bloquea todo lo demás. Puede responder a ataques desconocidos, pero si la definición de solicitudes normales es incompleta, se producen muchos falsos positivos. Efectivo cuando el formato de entrada está estrictamente definido, como en las API.
  • Método de puntuación: Suma puntuaciones de violación contra múltiples reglas y bloquea las solicitudes que superan un umbral. Puede responder de forma flexible a ataques en zona gris que son difíciles de juzgar con una sola regla. El modo Anomaly Scoring de ModSecurity adopta este método.
  • Basado en aprendizaje automático: Aprende patrones de tráfico normal y detecta como anómalas las solicitudes que se desvían. Puede responder a ataques desconocidos, pero depende de la calidad de los datos de entrenamiento y el ajuste de falsos positivos es difícil.

Modalidades de implementación del WAF

Los WAF se clasifican en 3 tipos según la modalidad de implementación.

  • WAF en la nube: Cambiando el DNS se enruta el tráfico a través del WAF en la nube. AWS WAF, Cloudflare WAF y Akamai son representativos. Fácil implementación, y frecuentemente integra protección contra ataques DDoS. Pago mensual con bajo costo inicial.
  • Tipo appliance: Hardware dedicado instalado en la red. Alto rendimiento y personalización detallada posible, pero alto costo inicial y requiere conocimientos especializados para la operación. Para grandes empresas.
  • Tipo software (basado en host): Se instala como módulo en el servidor web. ModSecurity es representativo. Código abierto y gratuito, pero requiere alta especialización para la creación y ajuste de reglas.

Para sitios pequeños es adecuado el tipo nube, y para entornos grandes que necesitan control detallado, el tipo appliance. En entornos AWS, AWS WAF se puede integrar con CloudFront o ALB sin cambios de infraestructura.

Puntos prácticos de operación del WAF

Un WAF no es "instalar y olvidar"; el ajuste continuo es indispensable.

  • Gestión de falsos positivos: El mayor desafío operativo del WAF son los falsos positivos. Si se bloquean solicitudes normales, se perjudica directamente la experiencia del usuario. En la fase inicial de implementación, operar en modo de detección (solo registro) en lugar de modo de bloqueo, comprender los patrones de falsos positivos y luego cambiar a bloqueo.
  • Actualización regular de reglas: Las técnicas de ataque evolucionan diariamente, por lo que incluso al usar conjuntos de reglas gestionadas, es necesario verificar periódicamente la adición de nuevas reglas y la efectividad de las existentes.
  • Análisis de registros: Los registros del WAF son indispensables para la investigación de incidentes de seguridad. Analizar los patrones de solicitudes bloqueadas para comprender las tendencias de ataque.
  • Combinación con CSP: Mientras el WAF filtra solicitudes del lado del servidor, CSP restringe la ejecución de scripts del lado del navegador. Combinar ambos logra una defensa multicapa contra XSS.

Un WAF no corrige fundamentalmente las vulnerabilidades de la aplicación. No dependa exclusivamente del WAF; es importante combinarlo con medidas del lado de la aplicación como codificación segura, validación de entrada y consultas parametrizadas.

Conceptos erróneos comunes

Implementar un WAF completa las medidas contra vulnerabilidades de aplicaciones web
El WAF mitiga patrones de ataque conocidos, pero las vulnerabilidades de la propia aplicación permanecen. También existen técnicas para evadir las reglas del WAF, por lo que la corrección fundamental de vulnerabilidades y la codificación segura son indispensables.
Un WAF puede prevenir todos los ataques web
El abuso de lógica de negocio (operaciones de descuento fraudulentas, escalada de privilegios, etc.) o el robo de credenciales (phishing) son ataques indistinguibles de solicitudes normales que el WAF no puede detectar. El WAF es bueno detectando solicitudes sintácticamente anómalas como inyección SQL o XSS.

Comparación entre WAF en la nube y WAF tipo appliance

WAF en la nube

Implementable cambiando DNS. Bajo costo inicial, integra protección DDoS. Baja carga operativa con reglas gestionadas. Sin embargo, la libertad de personalización depende del proveedor, y los costos pueden aumentar con el pago por consumo según el volumen de tráfico.

WAF tipo appliance

Se instala dentro de la red propia. Alto rendimiento y personalización detallada de reglas posible. Sin embargo, alto costo inicial y requiere conocimientos especializados para la creación y ajuste de reglas. El mantenimiento y actualización del hardware también es responsabilidad propia.

Términos relacionados

XSS (Cross-Site Scripting) Un ataque que explota vulnerabilidades en aplicaciones web para inyectar y ejecu… Inyección SQL Un ataque que inserta sentencias SQL maliciosas en los campos de entrada o parám… Ataque DDoS Un ataque de denegación de servicio distribuido que inunda un servidor o red obj… Firewall Un mecanismo de seguridad ubicado en los límites de la red que inspecciona y con… CSP (Content Security Policy) Un encabezado de respuesta HTTP que proporciona un mecanismo potente para restri…

Artículos relacionados

Fundamentos de firewalls - Tu primera línea de defensa en la red Comprende cómo funcionan los firewalls, los diferentes tipos disponibles y estrategias prácticas de … Fundamentos de seguridad de API - Cómo proteger el backend de los servicios web Aprende cómo pueden ser explotadas las API y las medidas de seguridad fundamentales como autenticaci…
← Glosario