Análisis

WAF (Web Application Firewall): cómo funciona y para qué sirve

Un firewall de aplicaciones web (WAF, por su sigla en inglés) es una herramienta digital que sirve para proteger las apps de internet (webapps). A continuación, de qué se trata y todo lo que necesitás saber.

Actualizado el 18 Jul 2024

WAF

Llamado WAF, es el acrónimo de Web Application Firewall, y su significado es una tecnología que mejora la protección de las aplicaciones web corporativas y ayuda a las organizaciones a defenderse adecuadamente contra diferentes tipos de ciberataques, resguardando los datos de forma segura.

La última generación, denominada WAF 3.0, gracias a una especialización en la protección de las aplicaciones, también se ha vuelto muy interesante para quienes tienen que gestionar entornos basados en la nube, normalmente basados en un enfoque definido por software.

¿Qué es un WAF y para qué sirve?

Un firewall de aplicaciones web (WAF, por su sigla en inglés) es una herramienta digital que sirve para proteger las apps de internet (webapps) al monitorizar y filtrar el tráfico HTTP (protocolo de transferencia de hipertexto) entre el internet y una aplicación alojada en la web.

Un WAF es tan importante que, según The Brainy Insights, su mercado podría pasar de los USD 6.900 millones actuales a los USD 31.800 millones para el 2033. La razón es sencilla: cubre al usuario de varias amenazas, como la inclusión de archivos, la falsificación entre sitios, etc.

¿Cómo funciona un WAF?

En pocas palabras, un cortafuegos se sitúa entre una red geográfica y una red local. Es decir, un componente que, como un muro ideal, ofrece una defensa perimetral para controlar el acceso a los recursos de un sistema, filtrando todo el tráfico que se intercambia entre el entorno interno y el mundo exterior. La especialización en aplicaciones web proviene del hecho de que los WAF funcionan interceptando y analizando e inspeccionando el tráfico HTTP.

Un WAF puede implementar un modelo de ciberseguridad positiva, de forma que sólo pasen las transacciones válidas, o uno analítico: los mensajes pueden ser interceptados y analizados en busca de acciones o contenidos potencialmente dañinos, normalmente comparándolos con las bases de datos de políticas, firmas y listas negras/blancas. Un punto importante es que la implementación de políticas en un WAF a menudo depende del tipo de diseño utilizado para hacer la aplicación y requiere una actualización con el tiempo.

Características y evolución de la tecnología WAF

“Casi todas las empresas”, afirma Massimo Romagnoli, director de país para Italia de Positive Technologies, “utilizan a diario cientos o incluso miles de aplicaciones de red, web, móviles, ERP y cliente-servidor para gestionar sus operaciones”.

Hoy en día, es relativamente común utilizar Firewalls y sistemas de prevención de intrusiones (IPS) para asegurar las aplicaciones corporativas. Sin embargo, los atacantes explotan las vulnerabilidades todo el tiempo, aprovechando los errores en la lógica de las aplicaciones.

Los Firewalls detectan y aíslan los posibles patrones de ataques sin sobrecargar los dispositivos en los que está instalado el software y sin afectar a la velocidad de la red. Su tarea consiste en supervisar y ofrecer informes completos, de modo que se pueda conocer con detalle el nivel de seguridad de las aplicaciones web en uso. De este modo, los usuarios pueden supervisar constantemente el progreso del tráfico de la red e intervenir rápidamente en caso de ataques”.

¿Cuál es la diferencia entre un firewall y un WAF?

Aunque suelen utilizarse erróneamente como sinónimos, lo cierto es que un firewall (cortafuego) convencional y un WAF son dos herramientas de ciberseguridad distintas.

En concreto, un WAF protege las webapps al dirigirse al tráfico HTTP, mientras que un cortafuego estándar ofrece una “barrera” entre el tráfico de red externo e interno.

Funciones del WAF

La función del WAF es identificar y bloquear las solicitudes maliciosas antes de que alcancen a los usuarios o a las aplicaciones web. De esta manera, protegen aplicaciones web críticas para el negocio y servidores web contra amenazas como ataques de día cero y otros dirigidos a la capa de aplicación.

Funciones del firewall

Por otro lado, un firewall de red protege una LAN segura contra accesos no autorizados para mitigar riesgos de ataques. Su principal objetivo es establecer una barrera entre una zona segura y una menos segura, controlando rigurosamente las comunicaciones entre ambas.

¿Debería haber un WAF delante o detrás del firewall?

Al implementar un firewall de aplicaciones web es importante tener en cuenta que se debería colocar detrás del firewall convencional dentro de una arquitectura informática. De esta manera, se optimiza la utilización, la confiabilidad y el rendimiento, a la vez que se genera la protección necesaria para todas las apps expuestas en internet.

WAF: entre el pasado, el presente y el futuro

La tecnología WAF se introdujo a finales de la década de 1990 con conjuntos de reglas básicas y posteriormente evolucionó hasta convertirse en potentes aparatos capaces de analizar el tráfico y mantener patrones estadísticos basados en muestras de uso normal.

WAF 1.0

La primera generación de protecciones de aplicaciones web, denominada WAF 1.0, se caracterizó por dos innovaciones principales en los IDS/IPS: el uso de atributos HTTP y la conversión de datos antes del análisis. Estas soluciones no contaban con mucha inteligencia: utilizaban un enfoque basado en firmas y estaban orientadas a proteger los ataques a los servidores.

WAF 2.0

La complejidad y el gran número de aplicaciones web hicieron que el enfoque clásico basado en firmas quedara obsoleto. El número de falsos positivos fue en algún momento demasiado grande para manejarlo, por lo que se introdujeron métodos de perfilado dinámico. Las tecnologías web 2.0, AJAX y el crecimiento explosivo del número de aplicaciones web críticas condujeron posteriormente al desarrollo de la tecnología WAF 2.0, que incluye métodos para ayudar a proteger a los usuarios de los ataques y un enfoque de seguridad de Capa 7. Situado en medio de la ruta de las transacciones, el WAF 2.0 es capaz de comprender los mensajes, la lógica de las aplicaciones y los mecanismos de nivel de seguridad, como las cookies, y es capaz de identificar las técnicas más utilizadas para explotar las vulnerabilidades en este contexto.

WAF 3.0

Para eludir el análisis de las firmas, los piratas informáticos dirigieron posteriormente su atención a las vulnerabilidades de día cero. Esto llevó a la creación de cortafuegos de aplicaciones capaces de utilizar el tráfico malicioso, mixto y bueno, para aprender, proteger e impedir los intentos de derivación: es la tecnología WAF a 360°. En lugar de esperar a que se produzca un ataque, la nueva generación de WAF defiende de forma proactiva la seguridad de las aplicaciones web activando un sistema de protección que localiza e identifica las vulnerabilidades, implementando un control de usuarios que rastrea y reconstruye la cadena de eventos de una sesión concreta.

“Gracias a la integración con los sistemas antifraude para evitar el robo de datos y el fraude de los usuarios”, concluye Romagnoli, “se habla cada vez más de WAF 3.0 porque es una tecnología WAF más moderna que adopta un enfoque integral, ayudando a las organizaciones a gestionar los riesgos relacionados con los usuarios sin necesidad de modificar sus aplicaciones web”.

Los firewalls de aplicaciones web son un arma poderosa para la seguridad de los datos y amplían el ciclo de vida del software, protegiéndolo de las vulnerabilidades que puedan surgir del entorno operativo, por ejemplo, tras una actualización del servidor web. No es casualidad que el WAF y las API abiertas reduzcan los costos de los centros de datos y de los servicios en la nube.

¿Qué es bloqueo de WAF?

Dentro del campo informático, se le llama bloqueo de WAF o bloqueo WAF a la acción de un firewall de webapps cuando detecta una solicitud o tráfico que clasifica como malicioso o potencialmente peligroso.

Este bloqueo se puede configurar para simplemente detener la comunicación con el atacante o para directamente bloquear la solicitud sospechosa. Todo depende de la política de seguridad establecida por el equipo de gestión.

¿Qué es un WAF en Fortinet?

Dentro del ecosistema Fortinet, existe un WAF llamado FortiWeb que defiende las apps web y las API contra amenazas OWASP Top-10, ataques de bots maliciosos y ataques de denegación de servicio distribuido (DDoS).

Detalladamente, el WAF de Fortinet ofrece tres grandes grupos de beneficios:

  • Seguridad de aplicaciones web: FortiWeb utiliza aprendizaje automático para proteger aplicaciones web contra amenazas conocidas y de día cero, sin afectar a usuarios legítimos ni aumentar la carga administrativa.
  • Defensa contra bots: la herramienta también defiende contra bots maliciosos mientras permite el acceso a bots legítimos mediante técnicas avanzadas como engaño de bots y detección biométrica.
  • Descubrimiento y protección de API: asimismo, asegura API críticas para comunicaciones B2B y aplicaciones móviles mediante la integración de políticas de seguridad automáticas y la protección continua en el ciclo de desarrollo.

¿Dónde se instala un WAF?

Un WAF se instala como un software de complemento o plugin dentro del servidor web que hay que proteger. Para que opere adecuadamente y de forma optimizada, se utilizan tanto los recursos de hardware como los de software del servidor en el que se haya instalado.

A día de hoy, existen firewalls de aplicaciones web desarrollados para entornos Windows, Unix y GNU/Linux. También están disponibles para los distintos servidores web más populares, como Amazon Web Services (AWS) de Amazon, Azure de Microsoft y Google Cloud de Google, entre otros.

Resumidamente, un WAF se puede instalar de diversas maneras:

  • En la nube y administrado como un servicio.
  • En la nube y administrado por autogestión.
  • En la nube y autoprovisto.
  • Directamente en un dispositivo virtual o en el hardware.

¿Qué tipo de ataques puede evitar un WAF?

Instalar un WAF es una de las mejores formas de proteger un servidor, ya que brinda cobertura para distintos tipos de ataques informáticos:

Ataques de inyección

Los ataques de inyección, como SQL, NoSQL, OS y LDAP, permiten a los hackers ejecutar comandos no autorizados o acceder a datos al insertar datos maliciosos en aplicaciones. La inyección SQL es común y accesible, potencialmente comprometiendo servidores de bases de datos con código malicioso.

DDoS HTTP (saturación)

Por otra parte, los ataques de saturación HTTP sobrecargan servidores web al dirigir una gran cantidad de solicitudes, dificultando la diferenciación entre tráfico legítimo y malicioso y requiriendo métodos avanzados de detección debido al cifrado HTTPS.

Falsificación de solicitud del lado del servidor (SSRF)

En tanto, los ataques SSRF explotan aplicaciones web para realizar solicitudes HTTP a dominios arbitrarios, potencialmente dando acceso no autorizado a sistemas internos o ejecución de comandos arbitrarios.

Ataques de localización de recursos predecibles

Este tipo de ataque revela archivos y directorios ocultos al adivinar nombres estándar mediante fuerza bruta. Puede exponer información sensible como contraseñas o archivos de configuración, lo que aumenta el riesgo de vulnerabilidades adicionales.

Clickjacking

A su vez, el clickjacking engaña a los usuarios para que interactúen con elementos ocultos maliciosos en una página web. Esto compromete la seguridad al registrar clics y posiblemente exponer información confidencial del usuario.

Contrabando de solicitudes HTTP

El método permite a los atacantes desviar solicitudes HTTP para eludir controles de seguridad, acceder a datos sensibles y comprometer la seguridad del servidor web.

Recorrido transversal de ruta de archivo

Esta vulnerabilidad hace que los atacantes puedan acceder a archivos fuera de la carpeta raíz de la web, incluyendo datos críticos de aplicaciones y sistemas operativos.

¿Qué es un archivo WAF?

Dentro del ecosistema de los WAF, existen los archivos WAF, cuya extensión es “.WAF”. Categorizados normalmente como archivos temporales, están asociados con el formato de caché de Internet Explorer para Mac. Pueden visualizarse con el paquete de software Internet Explorer de Microsoft y son documentos de palabras y figuras.

¿Cómo protege WAF contra DDoS?

Uno de los puntos fuertes de los WAF es que protegen contra los DDoS. Como se mencionó anteriormente, en este tipo de ataque de saturación, se sobrecarga la web al “inundarla” de tráfico de internet no deseado.

Y desafortunadamente, este tipo de ataque es cada vez más popular: según un informe de Cloudflare, hubo un incremento interanual del 20% durante el segundo trimestre del año.

Sin embargo, un WAF ayuda a bloquear los ataques mediante políticas personalizables que pueden filtrar, inspeccionar y hacer que el tráfico HTTP malicioso rebote entre la aplicación web e internet.

¿Dónde se sitúan los WAF en una arquitectura de servidores web?

Dentro de una arquitectura de servidores web, los firewalls de aplicaciones web se implementan directamente en ella. Generalmente, se instalan en la misma zona desmilitarizada (DMZ), la red perimetral que permite que las organizaciones protejan sus redes internas, en donde se encuentra el servidor web.

Por otro lado, el WAF basado en el host se instala en la misma máquina que el servidor de la tienda. Es una solución ideal tanto para empresas con servidores propios como para aquellas que utilizan servidores virtuales privados proporcionados por ISP.

Finalmente, está el WAF basado en la nube, donde toda la infraestructura necesaria reside en la nube, lo que reduce notablemente la inversión en recursos internos de la empresa. Es ofrecido por múltiples proveedores de ciberseguridad que brindan actualizaciones constantes y protección contra las amenazas más recientes.

Artículo publicado originalmente en 23 Dic 2022

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Temas principales

Especificaciones

A
aplicaciones
D
datos

Nota 1 de 4