Cortafuegos de aplicaciones web (WAF), explicado

Jazmie Jamaludin

La mayoría de los sitios web están expuestos en la internet abierta, al alcance de cualquiera, incluidas las herramientas automatizadas que buscan constantemente vulnerabilidades. Un firewall de aplicaciones web, casi siempre abreviado como WAF (por sus siglas en inglés), es una capa protectora que se sitúa frente a su sitio web e inspecciona el tráfico entrante antes de que llegue a su aplicación. Su función es reconocer las solicitudes maliciosas, las que intentan penetrar o dañar su sitio, y detenerlas en la entrada, mientras que permite el paso sin problemas a los visitantes genuinos.

Para el propietario de un negocio, un WAF puede parecer una de esas compras técnicas difíciles de evaluar. Esta guía explica qué hace realmente un WAF, los ataques específicos contra los que defiende, en qué se diferencia del firewall de red del que quizás ya haya oído hablar, y cómo decidir si su sitio necesita uno. El objetivo es que pueda tomar una decisión informada en lugar de simplemente aceptar la palabra de un proveedor.

Qué hace un firewall de aplicaciones web

Imagine su sitio web como una tienda y el WAF como un guardia de seguridad en la entrada. Toda persona que intenta entrar pasa primero por el guardia. La mayoría son clientes comunes y se les permite el paso al instante. Pero el guardia está entrenado para detectar a aquellos que llevan herramientas para forzar las cerraduras o causar problemas, y los detiene antes de que entren. Un WAF hace lo mismo con el tráfico web: examina cada solicitud contra un conjunto de reglas y patrones, permitiendo las legítimas y bloqueando las que coinciden con firmas de ataque conocidas o se comportan de forma sospechosa.

Fundamentalmente, un WAF opera a nivel de la propia aplicación web, comprendiendo las solicitudes que los visitantes hacen a sus páginas y formularios. Esto le permite detectar ataques que se dirigen a la forma en que funcionan los sitios web, como intentos de inyectar código malicioso en un cuadro de búsqueda o un formulario de inicio de sesión. Lo hace sin que usted necesite cambiar el código de su sitio web, lo cual es parte de su atractivo: añade una capa de defensa frente a una aplicación que quizás no pueda modificar fácilmente por sí mismo.

Un guardia en la entrada
Un WAF inspecciona cada solicitud y bloquea las maliciosas antes de que lleguen a su sitio.
Fuente: Cloudflare Learning Center

Cómo un WAF difiere de un firewall de red

Es posible que ya haya oído hablar de un firewall, y vale la pena aclarar la diferencia. Un firewall de red tradicional controla qué conexiones se permiten de entrada y salida basándose en direcciones y puertos; funciona a nivel de la infraestructura de red y no comprende el contenido de las solicitudes web. Un firewall de aplicaciones web funciona un nivel por encima, inspeccionando el contenido real de las solicitudes hechas a su sitio web. Ambos son complementarios, no intercambiables: el firewall de red protege el perímetro del edificio, mientras que el WAF inspecciona lo que cada visitante intenta hacer una vez que llega a la puerta de su aplicación específica.

Los ataques contra los que defiende un WAF

Los WAF están diseñados para contrarrestar las formas más comunes en que los atacantes atacan los sitios web. Comprender esto en términos generales le ayuda a apreciar la protección que está obteniendo. Muchos de estos tipos de ataques aparecen en listas de seguridad ampliamente referenciadas precisamente porque se intentan con tanta frecuencia contra sitios comerciales ordinarios.

Ataques comunes que un WAF ayuda a bloquear
Ataque Qué intenta hacer
Inyección SQL Introduce comandos de base de datos en formularios para leer o alterar sus datos.
Scripting entre sitios (XSS) Inyecta scripts maliciosos que se ejecutan en los navegadores de sus visitantes.
Relleno de credenciales Intentos de inicio de sesión automatizados utilizando listas de nombres de usuario y contraseñas robadas.
Bots maliciosos y saturación Rastreadores y picos de tráfico que saturan o abusan de su sitio.

Ataques de inyección y scripting

Dos de las amenazas más persistentes son la inyección y el scripting entre sitios. En un ataque de inyección, un atacante escribe texto especialmente diseñado en un formulario, esperando que su sitio web lo confunda con un comando y lo ejecute, lo que podría exponer o alterar su base de datos. En el scripting entre sitios, el atacante introduce código malicioso en una página para que se ejecute en los navegadores de sus visitantes, lo que puede robar su información o secuestrar sus sesiones. Un WAF reconoce los patrones reveladores de estos intentos y bloquea las solicitudes ofensivas antes de que se produzca cualquier daño.

Abuso automatizado y saturación de tráfico

No todos los ataques intentan irrumpir; algunos intentan desgastarlo. Los bots pueden bombardear su página de inicio de sesión con credenciales robadas, rastrear su contenido a gran escala o inundar su sitio con tantas solicitudes que se ralentiza o colapsa para los clientes reales, un ataque de denegación de servicio. Muchos WAF incluyen límites de velocidad y gestión de bots que detectan estos patrones anormales y los limitan o bloquean, manteniendo su sitio disponible para las personas que importan. Este tipo de abuso automatizado es constante e indiscriminado, por lo que incluso los sitios más modestos lo sufren.

Los ataques son automatizados e indiscriminados
Los bots exploran sitios de todos los tamaños, no solo los famosos.
Fuente: OWASP

¿Realmente necesita un WAF?

Un WAF es valioso, pero no es igualmente esencial para todos los sitios. Si tiene un sitio web sencillo tipo folleto sin inicios de sesión, formularios o datos de clientes almacenados, su exposición es menor, y las protecciones integradas en una plataforma de alojamiento de buena reputación pueden ser suficientes. Si su sitio web maneja cuentas de clientes, procesa pagos, almacena datos personales o ejecuta funcionalidades personalizadas, la necesidad de un WAF aumenta considerablemente, porque tiene más que perder y más objetivos para los atacantes.

La buena noticia es que cada vez es más fácil obtener un WAF. Muchos proveedores de alojamiento y redes de entrega de contenido lo ofrecen como una característica que puede activar, a menudo como parte de un plan que ya paga, en lugar de algo que debe construir y operar usted mismo. Este enfoque gestionado se adapta bien a la mayoría de las pequeñas empresas: las reglas son mantenidas y actualizadas por el proveedor, por lo que usted se beneficia de una protección actualizada sin convertirse en un ingeniero de seguridad. Antes de comprar cualquier cosa por separado, verifique si su configuración actual ya incluye un WAF que no haya habilitado.

Un WAF es una capa, no una panacea

Es importante mantener las expectativas realistas. Un WAF reduce sustancialmente el riesgo, pero no reemplaza otros buenos hábitos. No arreglará software que no haya actualizado, no recuperará datos de los que nunca hizo una copia de seguridad, ni deshará el daño de una contraseña de administrador robada. Trátelo como una capa fuerte en una rutina más amplia que también incluye actualizaciones, contraseñas sensatas, autenticación de dos factores y copias de seguridad. Nuestra guía de conceptos básicos de seguridad web expone esa imagen más completa, y el artículo complementario sobre autenticación de dos factores cubre una capa que protege específicamente sus inicios de sesión.

Usadas en conjunto, estas defensas hacen de su sitio un objetivo mucho más difícil y menos atractivo. Si desea comprender cómo encaja un WAF con todo lo demás, nuestra guía de mantenimiento del sitio web conecta la rutina, y dado que un WAF también ayuda a detectar manipulaciones, nuestra nota sobre cómo detectar malware en sitios web es un complemento útil. Un sitio bien protegido, rápido y fiable también apoya su visibilidad, un tema que exploramos en los conceptos básicos de SEO técnico.

Preguntas frecuentes

¿Cuál es la diferencia entre un WAF y un firewall normal?+
Un firewall de red controla las conexiones basándose en direcciones y puertos sin comprender el contenido web. Un firewall de aplicaciones web inspecciona el contenido real de las solicitudes a su sitio web, por lo que puede detectar ataques dirigidos a cómo funciona el sitio. Se complementan entre sí en lugar de reemplazarse mutuamente.
¿Realmente necesita un WAF un sitio web de pequeña empresa?+
Depende de lo que haga su sitio. Un sitio web de folleto simple tiene una menor exposición, pero cualquier sitio con inicios de sesión, formularios, pagos o datos personales almacenados se beneficia significativamente. Muchos hosts y redes de entrega de contenido incluyen un WAF que puede simplemente activar.
¿Un WAF ralentizará mi sitio web?+
Un WAF bien configurado añade solo un pequeño retraso, y muchos se entregan a través de redes de entrega de contenido que en realidad pueden acelerar su sitio al servir contenido en caché más cerca de los visitantes. Para la mayoría de los sitios, la protección supera con creces cualquier costo adicional insignificante.
¿Puede un WAF bloquear a clientes reales por error?+
Ocasionalmente, un WAF marca una solicitud legítima, lo que se llama un falso positivo. Los buenos WAF gestionados minimizan esto y le permiten ajustar las reglas o permitir casos específicos. La compensación suele valer la pena, y el ajuste se estabiliza rápidamente después de la configuración.
¿Es un WAF suficiente por sí solo?+
Ninguna herramienta es suficiente por sí sola. Un WAF es una capa fuerte, pero no reemplaza las actualizaciones, las copias de seguridad, las buenas contraseñas y la autenticación de dos factores. Úselo como parte de una rutina más amplia y su sitio se convertirá en un objetivo mucho más difícil en general.

Referencias

  1. Cloudflare Learning Center, ¿Qué es un WAF?, cloudflare.com/learning
  2. OWASP, Web Application Firewall, owasp.org

Un firewall de aplicaciones web coloca un guardia experto frente a su sitio, bloqueando los ataques automatizados que apuntan a los sitios web todos los días. Para muchas empresas, ahora es un simple interruptor dentro de su configuración de alojamiento o entrega de contenido existente. Si desea ayuda para evaluar su protección y construir una rutina de seguridad, consulte nuestros servicios de mantenimiento de sitios web o contáctenos.

Regresar al blog

AUTOMATICE. OPTIMICE. DOMINE.

Optimice sus operaciones y ofrezca una experiencia de cliente fluida. Deje que nuestros expertos implementen tecnología de vanguardia y flujos de trabajo optimizados para que pueda concentrarse en lo que mejor sabe hacer.

DISCUTA SUS IDEAS