Proteger una aplicación bancaria como Nexiabank exige más que buenas intenciones: requiere servicios especializados que filtren tráfico malicioso antes de que toque tu infraestructura. AWS Shield y AWS WAF son los dos servicios que te permiten blindar tus aplicaciones contra ataques DDoS, SQL injection y bots maliciosos, integrándose directamente con CloudFront, Application Load Balancer y API Gateway.

Si trabajas con cargas críticas en la nube, entender cómo funcionan estas capas de defensa te ayuda a decidir cuándo basta con la protección por defecto y cuándo necesitas pagar por funcionalidades avanzadas.

¿Qué es AWS Shield y cómo protege contra DDoS?

AWS Shield es el servicio que te defiende contra ataques de Distributed Denial of Service. Estos ataques usan bots o múltiples endpoints para inundar tu aplicación con solicitudes falsas, dejándola tan ocupada que no puede atender a tus usuarios legítimos.

Shield trabaja en las capas 3, 4 y 7 del modelo OSI, es decir, red, transporte y aplicación. Pero hay un detalle importante: el alcance depende de la versión que actives.

¿Qué es un ataque DDoS? Es un ataque en el que múltiples bots envían solicitudes falsas a tu aplicación al mismo tiempo, saturándola para que no pueda responder a usuarios reales.

¿Cuál es la diferencia entre Shield Standard y Shield Advanced?

Las dos versiones cubren necesidades muy distintas y conviene compararlas antes de decidir.

• Shield Standard: gratuito, activado por defecto en todas las cuentas de AWS, protege en capa 3 y 4.
• Shield Advanced: cuesta 3000 dólares al mes con compromiso de 12 meses, protege también en capa 7 e incluye detección customizada y detección de anomalías.
• Shield Response Team (SRT): equipo disponible 24/7 que solo viene con Advanced, te ayuda en eventos de alta severidad y entrega mitigaciones a la medida.

La decisión de activar Advanced depende del riesgo real. Para una startup o una organización mediana, recibir un ataque que secuestre datos puede costar mucho más que esos 3000 dólares mensuales.

¿Qué es AWS WAF y cómo bloquea exploits web?

AWS WAF, o Web Application Firewall, es un firewall que opera específicamente en la capa 7. Te protege contra exploits comunes como SQL injection y Cross-Site Scripting, y su gran fortaleza es la granularidad: puedes crear tus propias reglas o usar reglas administradas por AWS y socios como Fortinet o F5.

WAF se integra con CloudFront para aplicar reglas en todas las ubicaciones de borde de AWS, distribuidas globalmente y más cercanas a tus usuarios. También funciona con servicios regionales como Application Load Balancer, API Gateway, AppSync y Cognito.

¿Qué hace WAF cuando detecta un atacante? Inspecciona la IP, los headers y otros atributos de la solicitud. Si coincide con una regla de bloqueo, devuelve un error al atacante antes de que llegue a tu aplicación.

¿Cómo se posiciona WAF en una arquitectura típica?

Imagina el flujo: usuarios legítimos y atacantes llegan primero a CloudFront. Como WAF está asociado a esa distribución, las reglas se evalúan en el borde antes de tocar tu balanceador o tu aplicación.

• Si el tráfico es legítimo, WAF aprueba la solicitud y avanza al load balancer y luego al sitio web.
• Si el tráfico viene de una IP bloqueada o un país en lista negra, WAF corta el flujo y entrega un error.
• Las reglas se aplican en todas las edge locations simultáneamente, sin que tengas que replicarlas manualmente.

Este filtrado temprano reduce la carga sobre tu infraestructura y bloquea solicitudes maliciosas antes de que consuman recursos.

¿Cómo creo una Web ACL paso a paso en AWS WAF?

Una Web ACL es el contenedor donde defines las reglas que WAF va a evaluar. El flujo de creación en la consola es directo y te permite combinar reglas propias con reglas gestionadas.

¿Qué tipos de reglas puedo crear en WAF?

Al crear una Web ACL eliges entre recursos globales (CloudFront) o regionales (ALB, API Gateway, AppSync, Cognito, App Runner). Después defines las reglas, y aquí tienes opciones interesantes.

• Reglas gestionadas de AWS: incluyen Account Takeover Prevention, Bot Control y prevención de fraude en creación de cuentas.
• Reglas de socios: Fortinet, F5 y otros aliados ofrecen sets listos para usar.
• Reglas propias con Rule Builder: editor visual o basado en JSON para construir condiciones a medida.

Dentro del Rule Builder puedes filtrar por país de origen, IPs específicas, headers, cookies, body o query strings. Por ejemplo, podrías crear una regla que bloquee todo el tráfico originado en Austria, o limitar requerimientos por rango.

Las acciones disponibles son permitir, bloquear, contar o customizar la respuesta. También puedes agregar un label a cada regla y validarla antes de guardarla.

¿Puedo monitorear lo que filtra mi WAF?

Sí, y este punto suele subestimarse. Al terminar la configuración, WAF se integra con CloudWatch para entregarte métricas y logs detallados.

• Top 10 rules que más se activan.
• Top 10 países generando solicitudes.
• Tipos de ataques detectados.
• Dashboard con acciones, filtros y respuestas customizadas.

Un buen punto de partida es configurar reglas gestionadas de AWS WAF para mitigar rápidamente amenazas comunes como SQL injection o bots maliciosos, y desde ahí ir añadiendo reglas propias según las necesidades de tu aplicación.

¿Tú activarías Shield Advanced en una operación bancaria o te quedarías con Standard más reglas estrictas en WAF? Cuéntame cómo lo plantearías.