Volver al centro de aprendizaje

Prácticas recomendadas relativas al firewall de aplicaciones web (WAF)

Un firewall de aplicación web (WAF) es un componente clave de cualquier programa AppSec moderno. Disponer de un conjunto de buenas prácticas sobre cómo implementar y aprovechar eficazmente la solución en tu organización puede ayudarte a mantenerte seguro. 

¿Qué es un WAF?

Un WAF es una solución de seguridad especializada que blinda una aplicación web frente a Internet, y protege el servidor mediante la detección y el bloqueo del tráfico HTTP y HTTPS malicioso hacia y desde un servicio web. 

Los WAF suelen funcionar como proxies inversos entre Internet y las aplicaciones web protegidas. No obstante, también se pueden desplegar WAF en varias configuraciones, como en línea, en la nube o en el propio entorno local, para adaptarse a requisitos de seguridad específicos. Independientemente del método de despliegue, el WAF inspecciona todo el tráfico entrante antes de que llegue a los servidores de aplicaciones, lo que crea un escudo protector contra posibles amenazas.

¿Cuáles son las buenas prácticas de WAF para los equipos de seguridad? 

En el nivel más alto, las buenas prácticas para los equipos de seguridad que despliegan y mantienen un WAF deben centrarse en habilitar el WAF a su máxima capacidad y ajustar sus políticas para obtener el máximo rendimiento. 

Entre las mejores prácticas WAF más específicas que deben aplicarse se incluyen las siguientes:

El uso de las políticas WAF. 

Los WAF funcionan sobre la base de políticas que ayudan a determinar qué tráfico se considera seguro y cuál malicioso, es decir, qué tipos de tráfico permitirá o bloqueará un WAF. Cada empresa o persona que use un WAF puede personalizar las políticas según sus requisitos únicos. La actualización de políticas se puede hacer al momento e incluso de manera automática. Esta es una de las ventajas de un WAF: como las políticas pueden modificarse fácilmente, es posible responder más rápidamente a diversos tipos de ataques.

La realización de pruebas continuas y la actualización de las reglas WAF con frecuencia. 

Las reglas WAF son directrices de seguridad individuales dentro de las políticas WAF más amplias. Una política WAF puede contener múltiples reglas WAF. Las reglas WAF incluyen tanto condiciones (qué buscar en las solicitudes de tráfico) como acciones (qué hacer si se cumplen las condiciones de la regla). Piensa en ello como una declaración condicional. Una regla definirá: «si» sucede esto, «entonces» haz esto, para una solución WAF. 

Actualizar las reglas WAF con frecuencia y añadir las nuevas que sean necesarias debería ser siempre una práctica recomendable. De este modo, se evita el bloqueo de tráfico legítimo (falsos positivos) y el permiso accidental de tráfico malicioso (falsos negativos). Las pruebas continuas permiten mantener las reglas WAF precisas y exactas. 

La implantación de la gestión de bots.

 Las reglas de gestión de bots ayudan a filtrar el tráfico de bots maliciosos y a prevenir que causen daños. 

El uso de la limitación de frecuencia.

 La limitación de frecuencia ayuda a restringir la velocidad de las peticiones que llegan a tus aplicaciones web. De este modo, se puede controlar el volumen total de tráfico, evitar una sobrecarga y proteger los recursos. 

Los 10 principales ataques según OWASP.

Asegúrate de que realizas pruebas y de que dispones de normas y políticas adecuadas para las vulnerabilidades OWASP conocidas. 

La implantación de la gestión y la supervisión. 

Integra los registros de tu WAF con tus herramientas existentes (por ejemplo, SIEM) para ayudar a supervisar cualquier actividad de tráfico anormal y obtener una mayor visibilidad de cualquier problema identificado

Uso de la elaboración de perfiles y la lista de permitidos. 

Utiliza la inteligencia del WAF para analizar el comportamiento normal de las aplicaciones. Crea una lista de tráfico/IP permitidos para evitar falsos positivos. Algunas soluciones WAF ofrecen capacidades propias en este sentido, por lo que resulta muy fácil evitar el bloqueo de tráfico legítimo. 

¿Cuáles son las prácticas recomendables de WAF para DevOps? 

Las prácticas recomendables anteriores analizan el rendimiento y el impacto de los WAF desde la perspectiva de los equipos de seguridad y su eficacia. Sin embargo, también se debe tener en cuenta el impacto en los equipos de desarrollo, que está directamente relacionado con la eficacia y la intrusión que supone la implementación de un WAF en sus canales de desarrollo existentes. 

Pon un WAF delante de cada API

Los WAF ayudan a las empresas a obtener visibilidad sobre el estado del tiempo de ejecución de sus aplicaciones y sobre el tipo de peticiones y ataques que afectan a su software. Por tanto, las organizaciones deberían colocar un WAF delante de todas las aplicaciones expuestas a internet. También deberían colocarse entre contenedores en arquitecturas de microservicios o API. 

Sin una solución WAF sólida, una organización solo tiene una cobertura escasa de su cartera de aplicaciones, en el mejor de los casos. Sin un conocimiento y una visibilidad completas de las amenazas dirigidas a sus aplicaciones, dejan un gran vacío de seguridad. Las empresas pueden utilizar los registros y análisis del WAF en combinación con otros datos de seguridad de toda la organización para obtener una visión en profundidad del riesgo organizativo. 

Los WAF que ofrecen una mayor observabilidad son imprescindibles, ya que permiten a los equipos automatizar e integrar los registros de supervisión y los ataques en sus procesos y decisiones de seguridad. 

Integración de la seguridad en el código. 

Apoyarse en un enfoque de seguridad como código dentro de un entorno de desarrollo permite a los desarrolladores comunicar los supuestos de seguridad en tiempo de ejecución a la infraestructura de la aplicación en el momento de desplegarla. Al limitar los tipos de peticiones a una aplicación, se puede preprocesar las entradas en el borde de la infraestructura de la aplicación. Un WAF también puede ayudar a hacer frente a vulnerabilidades más complejas: los equipos pueden crear un parche virtual que puede desplegarse en el WAF, lo que simplifica las correcciones y las convierte en un obstáculo menor para los equipos de desarrollo. 

Realización de pruebas continuas de los cambios del WAF. 

Como se mencionó anteriormente, este paso también es crítico cuando se tienen en cuenta los equipos de desarrollo. Los WAF configurados en modo «registrar y bloquear» pueden provocar fallos en las aplicaciones si no se prueban correctamente los cambios y actualizaciones del WAF.

Los grupos que realizan pruebas suelen integrar el WAF en el proceso de pruebas, como un componente de la aplicación. Al igual que los cambios en la aplicación, es útil poder ver cualquier impacto potencial de las herramientas de seguridad antes de que se haga el cambio en producción. 

La obtención de aceptación para las decisiones de WAF. 

En el caso de una empresa cuya aplicación web sea su negocio, como un retailer online, la optimización de un WAF puede requerir un esfuerzo adicional, ya que el bloqueo de clientes legítimos potenciales puede provocar pérdidas económicas. 

Por tanto, es importante colaborar estrechamente con los directivos de las empresas en la estrategia general que se empleará con el WAF y en los criterios específicos que guiarán las decisiones.

Los WAF modernos aportan una utilidad significativa a los equipos DevOps cuando se utilizan correctamente, ya que proporcionan una mayor inteligencia, permiten una implementación y respuesta de seguridad más rápidas y trasladan parte de la responsabilidad de la configuración de seguridad. Garantizar que el despliegue de un WAF tenga en cuenta tanto las necesidades de seguridad como las de desarrollo debería ser siempre una buena práctica. 

Así te ayuda Fastly

Cuando elijas un proveedor de WAF, es esencial que selecciones uno con cobertura global, detección potente y capacidades de integración adaptadas a las infraestructuras modernas. 

El WAF de última generación de Fastly está diseñado desde cero teniendo en cuenta estas características. Al ser la mayor plataforma global en la nube, está a milisegundos de usuarios de todo el mundo.

Este posicionamiento estratégico permite a Fastly proteger sitios web y aplicaciones más rápido que un WAF convencional. Inspeccionar el tráfico más cerca de los usuarios finales ayuda a limitar el alcance de las amenazas y bloquear los ataques antes de que lleguen a los servidores de origen.

Entre sus principales ventajas, el WAF de última generación de Fastly ofrece:

  • Protección integral: Fastly detecta y bloquea los 10 principales ataques según OWASP y las amenazas personalizadas que defines mediante reglas sencillas.

  • Tiempos de respuesta rápidos:  Gracias a su red global de POP, el WAF de última generación de Fastly realiza las inspecciones con una latencia ultrabaja, por lo que ofrece una experiencia de uso excepcional incluso si se produce un ataque.

  • Configuración flexible: Puedes personalizar reglas, páginas de respuesta y más a través de la interfaz fácil intuitiva de Fastly sin depender de largas ventanas de cambio.

  • Análisis en tiempo real: El panel y la API de identificación proactiva de problemas de Fastly te proporcionan información valiosa sobre el tráfico y los eventos de seguridad.

  • Integración perfecta: El WAF de última generación de Fastly funciona de manera transparente con tus servicios de CDN e informática en el edge para ofrecer capacidades unificadas de seguridad, rendimiento y distribución.

Descubre cómo el WAF de última generación de Fastly puede ofrecer protección avanzada para tus aplicaciones, API y microservicios con opciones de despliegue flexibles y capacidades de detección de última generación. 

Aprende sobre el WAF de última generación de Fastly

Aprende más

© Fastly 2025