¿Tu empresa utiliza aplicaciones web? Entonces, el WAF (Web Application Firewall, firewall de aplicaciones web) es un componente esencial para proteger tu negocio. Después de todo, el volumen y la complejidad de los ataques cibernéticos dirigidos a este tipo de aplicaciones nunca han sido tan altos como en la actualidad, y con tantos datos confidenciales que almacenan las aplicaciones, la seguridad es imprescindible.
¿Qué pasa con el firewall de red que ya usas? Desempeña un papel importante en tu línea de defensa, pero es insuficiente para hacer frente a los ataques dirigidos a la capa de aplicación. Es necesario contar con herramientas diseñadas para combatir este tipo de amenazas, como es el caso del WAF.
¿Qué es un Web Application Firewall?
WAF es un tipo de firewall que protege las aplicaciones web mediante el control y monitoreo del tráfico HTTP y HTTPS. Con él, es posible crear un conjunto de reglas para que amenazas como Cross-Site Scripting, inyecciones de SQL y DDoS sean identificadas y tratadas antes de que lleguen a la aplicación.
A diferencia de un firewall tradicional, que opera en la capa de red y evita accesos no autorizados o ataques a redes privadas siguiendo una lógica previamente implementada por el administrador del firewall — al que llamamos “stateless”—, WAF protege los componentes de la aplicación expuestos a la web usando un abordaje diferente.
El WAF no reemplaza un firewall de red, sino que lo complementa, evaluando en tiempo real si una solicitud se ajusta a patrones de ataque conocidos de una base independiente de las acciones del administrador.
Esta lógica, a su vez, se conoce como “stateful”. A través de ella, el WAF considera todas las preconfiguraciones de los perfiles de tráfico definidos y realiza su clasificación.
¿Cómo funciona un WAF?
La implementación de un WAF tiene lugar entre la aplicación web e Internet. Cuando una solicitud atraviesa las capas de red y transporte (3 y 4) y llega a la capa de aplicación (7), el WAF, a través de un conjunto de reglas, realiza un filtrado del tráfico, bloqueando las solicitudes que representan amenazas potenciales.
Imagina tu aplicación como un concierto o evento deportivo. Para poder acceder, los aficionados tienen que pasar por el primer control de acceso, donde se identifican, presentan su entrada, son inspeccionados por detectores de metales, etc.
Sin embargo, hay un sector reservado para invitados que deben cumplir con los requisitos para obtener acceso o de lo contrario se les prohibirá. En el contexto de las aplicaciones web, cuando el usuario no reúne las condiciones que lo califican como legítimo, su solicitud es bloqueada.
¿Qué tipos de ataques puede prevenir un WAF?
Top 10 de OWASP
El OWASP (Open Web Application Security Project, proyecto abierto de seguridad de aplicaciones web) mantiene un documento popularmente conocido como “OWASP Top 10”, que “representa un amplio consenso sobre los riesgos de seguridad de aplicaciones más críticos para las aplicaciones web”, además de ser “reconocido mundialmente por los desarrolladores como el primer paso hacia una codificación más segura”.
La lista OWASP comprende vectores de ataque que representan la mayor parte de los eventos de ciberseguridad, como inyecciones SQL, Cross-Site Scripting (XSS) y XML External Entities (XXE). Por lo tanto, la capacidad de un WAF para prevenir los riesgos y amenazas relacionados con el OWASP Top 10 debe considerarse un requisito.
Bots
Los ataques de bots se caracterizan por su automatización. Los bots son softwares programados para ejecutar varios tipos de prácticas y técnicas maliciosas, como ATO (Account Takeover, apropiación de cuentas), abuso de API y DDoS. Hoy en día, los bots sofisticados simulan el comportamiento humano con tal grado de perfección que llegan a generar dudas sobre si realmente hay un ataque en curso.
Día cero
Los ataques de día cero consisten en explotar una vulnerabilidad recién descubierta en un sistema para atacarlo. Casos como Log4Shell ilustran el efecto de un ataque de día cero y sus repercusiones en todo el mundo.
Cuanto más se tarde en reparar una vulnerabilidad, mayores serán las posibilidades de sufrir un ataque potencialmente devastador.
DDoS
Como explicamos anteriormente, los ataques DDoS en la capa de aplicación pueden ser causados por bots y el trabajo de distinguir una solicitud maliciosa es complicado. Por lo general, el objetivo del atacante es derribar el servidor web mediante la aplicación de métodos basados en volumetría, directamente sobre alguna vulnerabilidad del sistema.
Vulnerabilidades desconocidas
Las vulnerabilidades no solo existen cuando se descubren y apenas una vulnerabilidad existente en tu aplicación, considerando todos los sistemas operativos y los terceros que la compongan, ya puede abrirle la puerta a, por ejemplo, un ataque de día cero.
En casos como este, no cualquier solución WAF tendrá la capacidad de proteger tu aplicación. Dado que una vulnerabilidad en sí no tiene una firma, no habrá forma de que un WAF basado en firmas resuelva el problema.
Por cierto, el método de bloqueo es un aspecto determinante para la eficacia de un WAF. Para entender más al respecto, consulta esta publicación en la que explicamos las diferencias entre los WAF basados en firmas y en puntaje.
