Ir al contenido

AWS WAF

AWS WAF (Web Application Firewall) protege las aplicaciones web de ataques generalizados. Filtra las solicitudes maliciosas antes de que lleguen a la aplicación.

¿Qué es AWS WAF?

AWS WAF (Web Application Firewall) es un cortafuegos específico para aplicaciones web. Mientras que un cortafuegos de red clásico filtra el tráfico a nivel de red, un cortafuegos de aplicaciones web comprueba el contenido de cada solicitud HTTP. Detecta patrones típicos de ataque contra aplicaciones web y bloquea las solicitudes maliciosas antes de que lleguen a la aplicación.

AWS WAF se coloca delante de los componentes accesibles públicamente, normalmente delante de una distribución de CloudFront, un equilibrador de carga o una API Gateway. De este modo, constituye una capa de protección adicional en el perímetro exterior de la aplicación.

Contra qué protege AWS WAF

  • Inyección SQL: intentos de acceder sin autorización a la base de datos mediante entradas manipuladas.
  • Cross-Site Scripting (XSS): introducción de código malicioso en páginas web.
  • Bots maliciosos: accesos automatizados que extraen contenido o prueban diferentes combinaciones de datos de inicio de sesión.
  • Sobrecarga por fuentes individuales: mediante la limitación de la tasa de solicitudes, se pueden interceptar las avalanchas de solicitudes procedentes de una dirección IP.

Reglas y grupos de reglas gestionados

AWS WAF funciona con reglas que determinan qué solicitudes se permiten, se bloquean o se examinan con mayor detalle. No es necesario que desarrolles estas reglas desde cero: AWS y sus socios proporcionan conjuntos de reglas predefinidos —los denominados grupos de reglas gestionados— que protegen contra amenazas comunes y se actualizan continuamente. Un conjunto de reglas habitual se basa en el OWASP Top 10, la lista consolidada de los riesgos de seguridad más frecuentes en las aplicaciones web.

Observar antes de bloquear

Una práctica recomendada es ejecutar las nuevas reglas inicialmente solo en modo de observación. De este modo, se puede identificar qué solicitudes se verían afectadas por una regla sin bloquear accidentalmente a usuarios legítimos. Solo tras esta comprobación se activa la regla.

AWS WAF en las pymes

Cualquier aplicación web accesible al público está expuesta a ataques automatizados; esto no es un caso excepcional, sino la norma en Internet. AWS WAF ofrece aquí una introducción pragmática a la protección de aplicaciones: con los grupos de reglas gestionados se puede alcanzar rápidamente un nivel básico de protección sólido, que posteriormente se puede perfeccionar con reglas propias específicas para la aplicación. WAF no sustituye al código seguro, sino que lo complementa con una línea de defensa adicional eficaz.

Preguntas frecuentes sobre AWS WAF

AWS WAF cobra una cuota mensual por ACL web (alrededor de 5 USD), por regla y por millón de solicitudes comprobadas. Los grupos de reglas administradas pueden conllevar cargos adicionales. Para aplicaciones de tamaño medio, los costes totales suelen rondar los dos dígitos de euros al mes.

Un cortafuegos clásico filtra el tráfico a nivel de red basándose en direcciones IP y puertos. Un cortafuegos de aplicaciones web comprueba el contenido de las peticiones HTTP individuales y reconoce los ataques específicos a las aplicaciones, como la inyección SQL o el cross-site scripting. Ambos se complementan.

No. AWS WAF es una línea de defensa adicional, no un sustituto del desarrollo seguro. La propia aplicación debe seguir comprobando las entradas correctamente. WAF intercepta muchos ataques comunes en el perímetro y proporciona un valioso tiempo de respuesta en caso de emergencia.

Esto es posible si las reglas se configuran de forma demasiado estricta. Por lo tanto, es aconsejable ejecutar primero las nuevas reglas en modo de observación y evaluar qué solicitudes se verían afectadas antes de bloquearlas realmente.

Términos relacionados

DevSecOps Seguridad Zero Trust API Gateway Balanceo de Carga Amazon CloudFront

Servicios relacionados

DevSecOps

Seguridad que no frena: integramos escaneos, políticas y controles de compliance directamente en su pipeline — protegiendo datos sin bloquear el desarrollo.

Edge Networking

Tiempos de carga rápidos en todo el mundo — con CDN, enrutamiento BGP y edge caching que acercan su aplicación a sus usuarios.

¿Te interesa?

Hablemos de tu proyecto. Te asesoramos sin compromiso.

Contactar

Última actualización: mayo 2026