Ciberseguridad

  1. Home
  2. Ciberseguridad
que es un web application firewall

Ciberseguridad

WAF: ¿Qué es y cómo funciona un firewall de aplicaciones web?

Descubre como proteger de los ciberdelincuentes los activos digitales de tu empresas que están expuestos a Internet.

Comparte este artículo:

Escrito por:

Rudy Carlos Ostoa
Rudy Carlos Ostoa

Gerente de Ingeniería Preventa

Fecha:

junio 04/2026

Tu portal de clientes, tu eCommerce y las APIs que conectan tus sistemas internos viven expuestos a Internet las 24 horas. Y ese es exactamente el terreno donde los atacantes concentran su esfuerzo. Según el Verizon Data Breach Investigations Report 2025, el 88% de los ataques contra aplicaciones web básicas se ejecutaron usando credenciales robadas, mientras que los ataques de fuerza bruta contra estas aplicaciones casi se triplicaron en un solo año.

El problema para CIOs y gerentes de TI, es que un firewall tradicional o un NGFW perimetral no fueron diseñados para entender la lógica de una aplicación web. Operan en las capas de red, pero las amenazas más costosas hoy ocurren en la capa 7 (capa de aplicación): inyecciones, abuso de APIs, bots y explotación de vulnerabilidades en el propio código.

Aquí es donde entra el WAF (Web Application Firewall) como parte de la estrategia de ciberseguridad empresarial. En este artículo explicaremos qué es, cómo funciona, qué amenazas neutraliza y qué criterios debe evaluar tu equipo antes de elegir una solución para blindar las aplicaciones críticas de tu empresa.

¿Qué es un WAF (firewall de aplicaciones web)?

Un WAF (Web Application Firewall) es una solución de seguridad que inspecciona, filtra y bloquea el tráfico HTTP/HTTPS entre los usuarios e Internet y una aplicación web o API. Opera en la capa 7 del modelo OSI y protege contra ataques cibernéticos como inyección SQL, cross-site scripting (XSS) y explotación de vulnerabilidades, sin que el atacante alcance la aplicación.

A diferencia de un firewall de red, que decide en función de direcciones IP y puertos, el WAF entiende el contenido y la intención de cada solicitud web. Esto le permite distinguir una petición legítima de un colaborador o cliente de un intento de explotación dirigido al login, al checkout o a una API de pagos.

En ON Empresas contamos con la solución WAF Seguro, el cual es una solución alojada en nuestra nube privada y diseñada para proteger activos digitales claves de nuestros clientes. Garantizando la integridad de los datos, la disponibilidad continua de los servicios y el cumplimiento normativo vigente. 

¿Por qué un firewall tradicional ya no es suficiente?

Durante años, la seguridad perimetral se centró en controlar quién entraba y salía de la red. Pero el riesgo se desplazó hacia el lugar donde el negocio realmente expone valor: las aplicaciones que atienden a clientes y socios.

El atacante ya no toca la puerta: entra por la ventana de la aplicación

Un NGFW filtra tráfico en las capas 3 y 4 (red y transporte), inspeccionando IP, puertos y protocolos. Funciona muy bien para impedir accesos no autorizados a la red. Sin embargo, un ataque de inyección SQL viaja dentro de una petición HTTP perfectamente válida en apariencia: el puerto es legítimo, la IP puede serlo y el protocolo es correcto.

El firewall tradicional deja pasar esa solicitud porque no lee su contenido. El WAF, en cambio, analiza el cuerpo, los encabezados y los parámetros de cada petición para detectar el patrón malicioso oculto.

La ventana de exposición se mide en minutos

La velocidad de explotación cambió las reglas del juego. Según el reporte State of Application Security 2024 de Cloudflare, se observaron intentos de explotación de una vulnerabilidad tan solo 22 minutos después de que se publicará una prueba de concepto.

"Hemos visto exploits tan rápidos como 22 minutos después de que se liberó una prueba de concepto." — Cloudflare, Application Security Report 2024 update

Ningún equipo de TI puede parchear manualmente en ese plazo. El WAF ofrece una capa de mitigación virtual que protege la aplicación incluso antes de que el parche oficial esté disponible.

¿Cómo funciona un WAF en la práctica?

El WAF se ubica como intermediario entre el usuario y la aplicación. Toda solicitud web pasa por él antes de llegar al servidor, y toda respuesta vuelve a pasar antes de regresar al usuario. Su funcionamiento se apoya en tres mecanismos complementarios.

1. Modelos de seguridad: lista negativa, positiva e híbrida

El WAF aplica reglas para decidir qué tráfico permite y cuál bloquea, bajo tres enfoques:

  • Modelo negativo (blocklist): bloquea todo lo que coincide con patrones de ataque conocidos. Es eficaz contra amenazas catalogadas y firmas conocidas.
  • Modelo positivo (allowlist): solo permite el tráfico que cumple reglas explícitas de comportamiento legítimo. Reduce falsos negativos pero exige una configuración cuidadosa.
  • Modelo híbrido: combina ambos enfoques y suma análisis de comportamiento, hoy reforzado con machine learning para detectar anomalías y tráfico automatizado.

2. Inspección del tráfico de capa 7

El WAF descifra el tráfico HTTPS, analiza cada parámetro, encabezado y carga útil, y los compara contra sus reglas. Si detecta una inyección, un patrón de bot o un intento de explotación, lo bloquea, registra o desafía antes de que llegue a la aplicación.

3. Modos de despliegue

Modo de despliegue Cómo opera Mejor para
WAF en la nube (Cloud) Servicio gestionado; el tráfico se enruta a través del proveedor. Empresas que buscan rápida implementación y escalabilidad.
WAF basado en host (Software) Integrado en el servidor de la aplicación. Personalización máxima, con mayor consumo de recursos locales.
WAF en appliance (Red) Hardware o máquina virtual desplegada dentro del datacenter. Entornos on premise con requerimientos de baja latencia y mayor control.


El modelo en la nube se ha consolidado como el preferido por su capacidad de escalar ante picos de tráfico y absorber ataques sin depender de hardware físico propio.

¿De qué amenazas protege un WAF y qué aporta a la empresa?

El WAF se diseñó para mitigar los riesgos catalogados en el OWASP Top 10, el estándar de referencia mundial sobre las vulnerabilidades más críticas en aplicaciones web. Entre los ataques que neutraliza destacan:

  • Inyección SQL (SQLi) y Cross-Site Scripting (XSS): código o scripts maliciosos insertados en formularios y parámetros de URLs para acceder a la base de datos o ejecutarse en el navegador del usuario.
  • Abuso de credenciales y APIs: dado que el 88% de los ataques a aplicaciones web básicas implican credenciales robadas (Verizon DBIR 2025), el WAF protege login, paneles administrativos y APIs frenando fuerza bruta y toma de cuentas.
  • Bots y tráfico automatizado: mitiga el scraping de precios, el acaparamiento de inventario y el fraude automatizado, amenazas críticas para eCommerce y plataformas transaccionales.

Para un líder de TI, esta protección se traduce en continuidad operativa, los servicios expuestos siguen en línea incluso bajo picos de tráfico o explotación masiva, y en cumplimiento normativo, ya que estándares como PCI DSS exigen proteger las aplicaciones que procesan datos de tarjetas. A esto se suma el parcheo virtual: reglas que mitigan una vulnerabilidad recién descubierta mientras los desarrolladores preparan la corrección, cerrando la ventana de exposición que hoy se mide en minutos.

¿Qué criterios evaluar al elegir un WAF?

Un WAF mal configurado genera falsos positivos que bloquean usuarios legítimos, o falsos negativos que dejan pasar ataques. Tres criterios marcan la diferencia:

  • Gestión y actualización de reglas: las amenazas evolucionan a diario, por lo que muchas organizaciones optan por un WAF gestionado, con un equipo especializado que afina la configuración de forma continua. Como el de ON Empresas, donde nos encargamos de configurar, actualizar y monitorear las reglas para bloquear amenazas informáticas críticas gracias a un equipo con conocimiento avanzado de seguridad.
  • Monitoreo y respuesta 24x7: la detección sin respuesta es insuficiente. La integración con un CyberSOC permite contener en tiempo real los eventos sospechosos en aplicaciones críticas.
  • El propio WAF es un activo a proteger: en noviembre de 2025, CISA alertó sobre la explotación activa de dos vulnerabilidades en FortiWeb —un producto WAF— que encadenadas permitían ejecución remota de código. La lección: el WAF debe mantenerse parchado y operado por especialistas, no instalarse y olvidarse.

¿Cómo aborda ON Empresas la protección de aplicaciones web?

En ON Empresas entendemos que la capa más expuesta a Internet, la capa 7, es también donde tu compañía concentra su valor: portales, eCommerce, Marketplace y APIs que sostienen la operación diaria.

Por eso brindamos nuestro servicio gestionado de WAF Seguro, que protege aplicaciones y APIs frente a las amenazas catalogadas por OWASP, bloqueando inyecciones, abuso de credenciales y tráfico automatizado malicioso, a través de un equipo de especialistas en gestión de incidentes. Nuestra solución se integra con un portafolio completo de ciberseguridad que incluye Anti DDoS para blindar la disponibilidad y CyberSOC para el monitoreo y la contención de incidentes 24x7.

Todo respaldado por infraestructura local de baja latencia, redes propias y soporte experto 24x7, para que la protección de tus aplicaciones críticas no dependa de la suerte, sino de un aliado estratégico.

¿Tus aplicaciones y APIs críticas están realmente protegidas?

Conversa con nuestros especialistas en ciberseguridad y descubre cómo el WAF Seguro de ON Empresas blinda tus servicios expuestos. 

Solicita una DEMO de WAF Seguro


Vector Contact

Suscríbete a nuestro blog

Recibe nuestros contenidos semanales y entérate de novedades, lanzamientos y recursos exclusivos.

Completa estos datos

Esta página web usa cookies

Las cookies de este sitio web se usan para personalizar el contenido y los anuncios, ofrecer funciones de redes sociales y analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de redes sociales, publicidad y análisis web.

Para más información, puede revisar nuestra Política de Cookies .

Contacta con un ON Experto