{"id":41370,"date":"2026-04-11T23:12:33","date_gmt":"2026-04-11T23:12:33","guid":{"rendered":"https:\/\/ramsdata.com.pl\/waf-en-f5-como-funciona-el-cortafuegos-de-aplicaciones-y-contra-que-protege\/"},"modified":"2026-04-11T23:12:33","modified_gmt":"2026-04-11T23:12:33","slug":"waf-en-f5-como-funciona-el-cortafuegos-de-aplicaciones-y-contra-que-protege","status":"publish","type":"post","link":"https:\/\/ramsdata.com.pl\/es\/waf-en-f5-como-funciona-el-cortafuegos-de-aplicaciones-y-contra-que-protege\/","title":{"rendered":"WAF en F5: c\u00f3mo funciona el cortafuegos de aplicaciones y contra qu\u00e9 protege"},"content":{"rendered":"

Un cortafuegos de aplicaciones web (WAF) es uno de los componentes de seguridad clave de cualquier organizaci\u00f3n con aplicaciones basadas en web accesibles desde Internet. Por desgracia, \u00abtenemos un WAF\u00bb no siempre significa \u00abestamos protegidos\u00bb: muchas implementaciones de WAF funcionan en modo \u00abs\u00f3lo monitor\u00bb, tienen firmas obsoletas o est\u00e1n configuradas con tanto cuidado que dejan pasar la mayor\u00eda de los ataques. El WAF de F5<\/a> Networks es una soluci\u00f3n que -cuando se configura correctamente- protege de verdad las aplicaciones, no s\u00f3lo genera registros. <\/p>\n

\u00cdndice<\/h3>\n
    \n
  1. \u00bfQu\u00e9 es un WAF y en qu\u00e9 se diferencia de un cortafuegos de red?<\/li>\n
  2. C\u00f3mo funciona WAF F5 – Mecanismos de inspecci\u00f3n<\/li>\n
  3. Protecci\u00f3n contra los 10 ataques principales de OWASP<\/li>\n
  4. Protecci\u00f3n de API: \u00bfpor qu\u00e9 el WAF necesita entender las API?<\/li>\n
  5. Gesti\u00f3n de bots: \u00bfc\u00f3mo distinguir un buen bot de uno malo?<\/li>\n
  6. WAF en modo aprendizaje – configuraci\u00f3n autom\u00e1tica de pol\u00edticas<\/li>\n
  7. Principales conclusiones<\/li>\n
  8. PREGUNTAS FRECUENTES<\/li>\n
  9. Resumen<\/li>\n<\/ol>\n

    \u00bfQu\u00e9 es un WAF y en qu\u00e9 se diferencia de un cortafuegos de red?<\/h3>\n

    Un cortafuegos de red cl\u00e1sico (L3\/L4) controla el flujo de paquetes bas\u00e1ndose en direcciones IP, puertos y protocolos -permitiendo o bloqueando conexiones TCP\/UDP sin ver el contenido. El WAF funciona en la capa de aplicaci\u00f3n (L7) y entiende el protocolo HTTP\/HTTPS: analiza el contenido de las solicitudes y respuestas, las cabeceras HTTP, los par\u00e1metros de las URL, el cuerpo de la solicitud POST y las estructuras JSON\/XML. <\/p>\n

    Esta diferencia es fundamental: un ataque de inyecci\u00f3n SQL enviado a trav\u00e9s del puerto 443 (HTTPS) a un cortafuegos normal parece tr\u00e1fico web normal. El WAF ve el contenido de la solicitud, reconoce el patr\u00f3n de inyecci\u00f3n SQL y lo bloquea. El cortafuegos protege la red, el WAF protege la aplicaci\u00f3n, y uno no sustituye al otro. <\/p>\n

    F5<\/a> Networks ofrece WAF como dispositivo de hardware (BIG-IP ASM), como software virtual y como servicio en la nube (F5 Distributed Cloud WAAP), lo que proporciona la flexibilidad necesaria para adaptarse a diferentes arquitecturas de despliegue.<\/p>\n

    C\u00f3mo funciona WAF F5 – Mecanismos de inspecci\u00f3n<\/h3>\n

    WAF F5 (Advanced WAF \/ BIG-IP ASM) utiliza varios mecanismos de inspecci\u00f3n que se ejecutan en paralelo. La inspecci\u00f3n de firmas compara las solicitudes con una base de datos de patrones de ataque conocidos: cientos de miles de firmas para inyecci\u00f3n SQL, XSS, inyecci\u00f3n de comandos, path traversal, SSRF y otras categor\u00edas. F5 Threat Intelligence actualiza peri\u00f3dicamente la base de datos de firmas. <\/p>\n

    El an\u00e1lisis del protocolo HTTP comprueba que la petici\u00f3n es una petici\u00f3n HTTP correctamente estructurada y conforme a la RFC: las anomal\u00edas del protocolo suelen indicar ataques o herramientas automatizadas. El Modelo de Seguridad Positiva define lo que est\u00e1 permitido (a diferencia de la seguridad negativa, que define lo que est\u00e1 prohibido): s\u00f3lo se permite el paso a las solicitudes que cumplen el formato definido, todo lo dem\u00e1s se bloquea. <\/p>\n

    El an\u00e1lisis del comportamiento analiza el comportamiento del usuario a lo largo del tiempo: se identifican y bloquean patrones de petici\u00f3n espec\u00edficos de herramientas automatizadas (esc\u00e1neres, bots), independientemente de la firma del ataque concreto.<\/p>\n

    Protecci\u00f3n contra los 10 ataques principales de OWASP<\/h3>\n

    El OWASP Top 10 es una lista de las 10 categor\u00edas m\u00e1s graves de vulnerabilidades de aplicaciones web, publicada por el Open Web Application Security Project. WAF F5 est\u00e1 optimizado para bloquear cada una de estas categor\u00edas. <\/p>\n

    Inyecci\u00f3n (SQL, NoSQL, LDAP, inyecci\u00f3n de comandos OS) – WAF analiza los par\u00e1metros de las peticiones en busca de secuencias caracter\u00edsticas de intentos de inyecci\u00f3n de c\u00f3digo. El mecanismo es resistente a las t\u00e9cnicas t\u00edpicas de elusi\u00f3n (codificaci\u00f3n, fragmentaci\u00f3n, comentarios SQL). <\/p>\n

    Cross-Site Scripting (XSS): bloquea los intentos de inyectar c\u00f3digo JavaScript en las solicitudes que podr\u00edan realizarse en los navegadores de otros usuarios. F5 WAF entiende el contexto: una misma palabra clave puede estar permitida en el contenido de una entrada de blog y bloqueada en el par\u00e1metro de b\u00fasqueda. <\/p>\n

    Control de acceso roto y desconfiguraci\u00f3n de la seguridad – WAF puede aplicar pol\u00edticas de acceso a nivel de URL, bloqueando el acceso a recursos a los que un usuario no deber\u00eda tener acceso.<\/p>\n

    La combinaci\u00f3n de WAF con soluciones de cortafuegos de nueva generaci\u00f3n<\/a> crea una protecci\u00f3n multicapa desde la red hasta la aplicaci\u00f3n.<\/p>\n

    Protecci\u00f3n de API: \u00bfpor qu\u00e9 el WAF necesita entender las API?<\/h3>\n

    Las aplicaciones web modernas son en gran medida API: los frontends se comunican con el backend mediante API REST, los microservicios se comunican entre s\u00ed mediante API, las aplicaciones m\u00f3viles llaman a API. Esto convierte a las API en una superficie de ataque cada vez m\u00e1s importante que los WAF cl\u00e1sicos (dise\u00f1ados para aplicaciones web HTML) no manejan bien. <\/p>\n

    F5 Advanced WAF tiene seguridad API dedicada que entiende la estructura REST, JSON y GraphQL. Las pol\u00edticas de seguridad de la API pueden validar la estructura del cuerpo JSON (si la solicitud contiene los campos requeridos, si los tipos de datos son v\u00e1lidos), aplicar l\u00edmites de velocidad para puntos finales espec\u00edficos de la API, proteger contra las 10 principales medidas de seguridad de la API de OWASP (BOLA\/IDOR, autenticaci\u00f3n rota, exposici\u00f3n excesiva de datos y m\u00e1s) y gestionar el acceso a la API mediante la integraci\u00f3n de OAuth\/JWT. <\/p>\n

    Gesti\u00f3n de bots: \u00bfc\u00f3mo distinguir un buen bot de uno malo?<\/h3>\n

    No todos los bots son malos: Googelbot, los bots de monitorizaci\u00f3n, los bots de API de socios son tr\u00e1fico bienvenido. Entre los bots malos se incluyen: raspadores web que roban contenido, bots de relleno de credenciales que intentan apoderarse de cuentas mediante una lista de fugas de contrase\u00f1as, bots que hacen clic en anuncios, bots que realizan ataques DDoS a aplicaciones. <\/p>\n

    F5 Advanced WAF tiene un m\u00f3dulo de gesti\u00f3n de bots integrado que utiliza varias t\u00e9cnicas para identificar bots. Desaf\u00edo JavaScript: la p\u00e1gina env\u00eda un desaf\u00edo JavaScript que debe ser ejecutado por el navegador. Los bots sin un motor JS no superar\u00e1n el desaf\u00edo. Huella digital del navegador – an\u00e1lisis de las propiedades del navegador (fuentes, plugins, WebGL, resoluci\u00f3n de pantalla) comparadas con los valores esperados para el agente de usuario declarado. CAPTCHA como escalado para tr\u00e1fico sospechoso. An\u00e1lisis de comportamiento – patrones de clic, movimiento del rat\u00f3n, tiempo entre acciones espec\u00edficas de humanos frente a aut\u00f3matas. <\/p>\n

    WAF en modo aprendizaje – configuraci\u00f3n autom\u00e1tica de pol\u00edticas<\/h3>\n

    Configurar un WAF desde cero es un proceso tedioso, especialmente para aplicaciones complejas con cientos de puntos finales y miles de par\u00e1metros. F5 Advanced WAF ofrece un modo de aprendizaje (creador autom\u00e1tico de pol\u00edticas) que observa el tr\u00e1fico de aplicaciones durante un periodo definido y genera autom\u00e1ticamente pol\u00edticas de seguridad basadas en los patrones observados. <\/p>\n

    En el modo de aprendizaje, el WAF no bloquea nada, sino que recopila informaci\u00f3n: qu\u00e9 URL est\u00e1n disponibles, qu\u00e9 par\u00e1metros acepta cada endpoint, valores t\u00edpicos y tipos de datos. Tras el periodo de aprendizaje, el WAF genera una propuesta de pol\u00edtica de seguridad positiva, que el administrador revisa y aprueba o modifica. Esto acelera enormemente la implementaci\u00f3n y reduce el riesgo de bloquear tr\u00e1fico v\u00e1lido. <\/p>\n

    Principales conclusiones<\/h3>\n