Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
WAF y seguridad HTTPS: el rol del cifrado asimétrico
Cuando hablamos de seguridad web, suele ocurrir algo curioso: dedicamos mucho tiempo a pensar en ataques complejos, bots, payloads o reglas de un WAF… y nos olvidamos de algo incluso más crítico.
La protección del propio tráfico.
Porque antes de que un WAF analice una sola petición, esta ha tenido que viajar por internet. Y ese camino —que es largo, lleno de intermediarios y nada privado— solo es seguro gracias a HTTPS y a un ingrediente clave: los certificados asimétricos.
Entender cómo funciona es más sencillo de lo que parece, una vez que ves qué papel desempeña cada pieza en la comunicación segura.
¿Por qué el tráfico debe cifrarse sí o sí?
Internet no está pensado para ser privado. Cada petición que haces pasa por routers, proxies, proveedores y un montón de sistemas que no controlas.
Si ese tráfico fuera en texto plano, cualquiera en el camino podría ver:
- Credenciales
- Datos personales
- Números de tarjeta
- Cookies
- Información interna de la aplicación
Sería como hablar en voz alta en una sala llena de gente: cualquiera podría escuchar la conversación.
✅ HTTPS convierte esa conversación en un canal privado entre dos personas. Y esa privacidad la aporta la criptografía asimétrica.
Certificados asimétricos: dos claves, un mismo objetivo
El funcionamiento se basa en algo muy simple:
- Clave pública: puede repartirse a quien quiera enviar información de forma segura. Va incluido en el certificado HTTPS del servidor.
- Clave privada: solo la tiene el servidor. No se comparte nunca.
Ambas claves están relacionadas matemáticamente, pero no son iguales.
Lo que cifras con una solo puede descifrarse con la otra.
✅ Eso significa que cualquiera puede cifrar información para ti, pero solo tú puedes descifrarla.
TLS: cómo funciona realmente el cifrado de HTTPS
Cuando accedes a una web, el proceso suele seguir estos pasos:
- Tu navegador se conecta al servidor y recibe su certificado, que incluye la clave pública.
- Comprueba que ese certificado es legítimo y emitido por una autoridad confiable.
- Con esa clave pública, genera y cifra una clave de sesión.
- Solo el servidor puede descifrarla con su clave privada.
- Una vez que comparten esa clave de sesión, la comunicación continúa cifrada de forma rápida y segura mediante TLS.
✅ Este mecanismo impide, por diseño, que alguien que intercepte el tráfico pueda leerlo. Aunque capture todos los paquetes, lo único que tendrá será un volumen de datos imposible de descifrar sin la clave privada del servidor.
¿Cómo interviene el WAF en este escenario?
En una arquitectura habitual, el WAF es el primer punto de entrada desde internet.
Eso significa que el cliente establece la conexión TLS directamente con el WAF, no con el servidor final.
El WAF tiene la clave privada, por lo que puede:
- Terminar la conexión TLS
- Descifrar el tráfico
- Analizar el contenido ya descifrado (peticiones HTTP, parámetros, cabeceras, payloads, etc.)
- Volver a cifrarlo hacia el servidor de aplicación o reenviarlo dentro de la red interna según la arquitectura
Esto es fundamental para que el WAF pueda inspeccionar y aplicar reglas de seguridad sobre contenido real, no sobre datos cifrados.
Además, lo recomendable es cerrar perimetralmente al WAF:
Que sea el único elemento expuesto a internet y que el servidor de aplicación no acepte tráfico directo desde fuera. Así te aseguras de que todo el tráfico pase por el WAF y que nada llegue sin ser inspeccionado.
✅ TLS protege la comunicación frente a terceros durante el tránsito, y el WAF, como punto de cierre de esa conexión, puede inspeccionar el contenido en claro y aplicar políticas de seguridad antes de reenviarlo al backend. Juntos refuerzan la seguridad de la aplicación.
En resumen
Los certificados asimétricos permiten que:
- El tráfico viaje cifrado de extremo a extremo
- Ningún intermediario pueda leer datos aunque intercepte la comunicación
- Solo quien tenga la clave privada pueda descifrarlo (servidor o WAF)
- La clave privada nunca se comparta con clientes
- El WAF pueda inspeccionar peticiones reales, no datos cifrados
- La arquitectura pueda cerrarse para evitar accesos directos no analizados
✅ Son una pieza silenciosa, pero absolutamente esencial para la seguridad de cualquier aplicación web.
