Hay tres modelos de despliegue: appliance on-premise (Imperva, F5), virtual/host (ModSecurity, NAXSI) y cloud/CDN (Cloudflare, AWS WAF, Akamai). Cada uno tiene tradeoffs de latencia, coste y control.
Qué es WAF
Un WAF (Web Application Firewall) es un cortafuegos especializado en inspeccionar el tráfico HTTP/HTTPS y bloquear peticiones maliciosas dirigidas a una aplicación web o a una API. A diferencia de un firewall tradicional, que opera en capas de red y transporte, el WAF entiende el protocolo de aplicación: analiza cabeceras, cuerpo, cookies, parámetros de URL y payload JSON para detectar patrones de inyección, abuso de lógica, scraping agresivo o ataques al catálogo OWASP Top 10.
Por qué importa
El perímetro de muchas organizaciones ya no es la red corporativa: es el conjunto de webs, APIs y portales públicos expuestos en Internet. Un firewall clásico no ve lo que ocurre dentro de una petición HTTPS, y un EDR protege endpoints, no aplicaciones servidas en cloud o detrás de una CDN. El WAF cubre esa capa intermedia: filtra peticiones que intentan inyección SQL, cross-site scripting, traversal de directorios, deserialización insegura o abuso de endpoints de API. Es prácticamente obligatorio en cualquier aplicación que maneje pagos (PCI DSS), datos personales (RGPD) o servicios bajo NIS2/DORA. Bien configurado, evita que vulnerabilidades conocidas se exploten antes incluso de que el equipo de desarrollo parchee.
Puntos clave
Los WAF más útiles combinan reglas estáticas (OWASP CRS, firmas conocidas) con detección por comportamiento y reputación de IPs. Sin esa segunda capa, un atacante con payload novedoso pasa filtros básicos.
Un WAF mal tuneado bloquea tráfico legítimo y genera más coste operativo del que ahorra. Hay que ajustar listas blancas, umbrales de rate limiting y exclusiones por endpoint en piloto antes de poner en modo "blocking".
WAF + SIEM + inteligencia de amenazas = visibilidad completa. WAF detecta y bloquea en frontera; SIEM correlaciona con resto de logs; inteligencia identifica si la IP atacante pertenece a una campaña activa.
Ejemplo: bloqueo de inyección SQL en una API de pagos
Una API de pagos publicada en una CDN con WAF activo recibe peticiones POST a /v1/charge. Un atacante intenta una inyección SQL en el parámetro customer_id con un payload del tipo "1' OR 1=1--". El WAF analiza el cuerpo de la petición, identifica el patrón de inyección a partir de la regla OWASP CRS 942 y devuelve 403 antes de que la petición llegue al backend. Levanta evento al SOC con IP origen, geolocalización, user-agent y firma de la regla, y la IP se añade a la lista de bloqueo automática durante 24h. La aplicación no se entera de la petición maliciosa, no consume recursos defendiéndose y no expone el backend.
Errores habituales
- Activar el WAF directamente en modo 'block' sobre tráfico productivo. La forma correcta es operar primero en 'detect/monitor', medir falsos positivos y solo después bloquear.
- Suponer que el WAF reemplaza al código seguro. Un WAF mitiga, pero el código sigue teniendo el bug. Las dos capas (WAF + secure coding + revisión SAST/DAST) son complementarias.
- No proteger las APIs internas que están detrás del WAF perimetral. Si un atacante consigue una primera ejecución dentro del entorno cloud, las APIs internas suelen quedar sin filtro.
- Confundir WAF con CDN. Una CDN distribuye contenido y reduce latencia, pero solo es WAF si lleva un módulo específico activo. Algunos servicios incluyen ambas funciones, pero hay que activarlas y mantenerlas explícitamente.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿WAF y firewall tradicional son lo mismo?
No. Un firewall de red filtra por IP, puerto y protocolo (capa 3-4). Un WAF entiende HTTP/HTTPS y analiza el contenido de la petición (capa 7): parámetros, cookies, cuerpo JSON, cabeceras. Se complementan, no se sustituyen.
¿Qué relación tiene un WAF con OWASP Top 10?
La mayoría de WAF se calibran contra OWASP Top 10 (inyecciones, XSS, deserialización, autenticación rota, etc.) usando el OWASP Core Rule Set como base. No cubren el 100% de vulnerabilidades, pero bloquean los vectores más explotados activamente.
¿Es suficiente un WAF para cumplir PCI DSS?
Un WAF correctamente configurado cumple el requisito 6.4.2 de PCI DSS v4.0.1 para aplicaciones web públicas, pero no sustituye al resto de controles (gestión de vulnerabilidades, segmentación CDE, monitorización, etc.). Es un componente necesario, no único.