# Comparativa WAF 2026: Cómo los ataques de evasión por relleno cambian las reglas del juego
Las pruebas de Check Point revelaron que la mayoría de los WAF son vulnerables a nuevos ataques basados en relleno, como React2Shell. Solo dos soluciones ofrecieron cobertura completa, mientras que otras omitieron amenazas o bloquearon tráfico legítimo.
Limitaciones arquitectónicas de los WAF tradicionales
Los WAF tradicionales que dependen del análisis basado en firmas muestran limitaciones crecientes frente a malware sofisticado. Las pruebas de 2024-25 ya destacaban este problema, pero en 2026, la introducción del vector de ataque de evasión por relleno cambió por completo los criterios de evaluación. Esta técnica permite a los atacantes ocultar código malicioso en enormes cantidades de datos "basura", sorteando los búferes de inspección estándar de 8-128 KB.
Métricas clave: Seguridad vs. Detección
Al elegir un WAF, dos parámetros críticos suelen chocar:
- Calidad de seguridad (Tasa de verdaderos positivos) — la capacidad de identificar y bloquear con precisión las solicitudes maliciosas.
- Calidad de detección (Tasa de falsos positivos) — la capacidad de permitir el paso del tráfico legítimo sin alarmas falsas.
Un WAF ideal equilibra ambos. Para una evaluación objetiva, usamos Precisión equilibrada — el promedio de estas dos métricas.
Resultados de pruebas de los principales WAF
En diciembre de 2025, Check Point probó 13 configuraciones de WAF populares, incluyendo soluciones de Microsoft Azure, AWS, Cloudflare, F5, Google, Fortinet e Imperva. Las pruebas usaron:
- 1.040.242 solicitudes HTTP legítimas de 692 sitios web reales.
- 74.284 combinaciones maliciosas de vectores de ataque comunes.
Resultados por precisión equilibrada:
- open-appsec / CloudGuard WAF (perfil crítico) — 99,453%
- open-appsec / CloudGuard WAF (perfil predeterminado) — 99,283%
- F5 NGINX App Protect WAF — 94,071%
Casos extremos destacan el desequilibrio:
- Imperva Cloud WAF tuvo una detección excelente (0,009% falsos positivos), pero omitió el 88,03% de amenazas reales.
- Microsoft Azure WAF bloqueó el 97,537% de amenazas, pero generó 54,412% de falsos positivos, alterando la funcionalidad de las apps.
La amenaza de evasión por relleno y tres comportamientos de WAF
La introducción de conjuntos de datos de evasión por relleno (usando CVE-2025-55182 en React2Shell) expuso diferencias arquitectónicas fundamentales. Los payloads grandes ocultos en datos basura prueban no solo bases de firmas, sino mecanismos de procesamiento de solicitudes. Las pruebas revelaron tres comportamientos:
- Fail Open — El WAF inspecciona solo parte de la solicitud (p. ej., primeros 128 KB), omite la amenaza y pasa todo. Resultado: Vulnerable a zero-days.
- Fail Close — El WAF ve que la solicitud excede su búfer y la bloquea por completo. Resultado: Altos falsos positivos, bloqueando solicitudes legítimas grandes (JSON, subidas de archivos).
- Cobertura completa — El WAF analiza todo el cuerpo de la solicitud independientemente del tamaño, detectando amenazas ocultas sin bloquear tráfico legítimo. Resultado: Protección óptima.
Comparativa de comportamiento de WAF en ataques de evasión por relleno
| WAF | Comportamiento en solicitudes grandes | Resultado | Estado |
| :--- | :--- | :--- | :--- |
| open-appsec / CloudGuard WAF | Cobertura completa | Protegido | ✅ |
| Google Cloud Armor | Cobertura completa | Protegido | ✅ |
| Microsoft Azure WAF | Fail Close | Bloquea solicitudes legítimas | ❌ |
| AWS WAF (Reglas gestionadas y F5) | Fail Close | Bloquea solicitudes legítimas | ❌ |
| Cloudflare WAF | Fail Open | Vulnerable a evasión por relleno | ❌ |
| F5 NGINX AppProtect | Fail Open | Vulnerable a evasión por relleno | ❌ |
| F5 BIG-IP Advanced WAF | Fail Open | Vulnerable a evasión por relleno | ❌ |
| Fortinet FortiAppSec | Fail Open | Vulnerable a evasión por relleno | ❌ |
Solo open-appsec/CloudGuard y Google Cloud Armor lograron cobertura completa. La mayoría, incluyendo Cloudflare, F5 y Fortinet, usan Fail Open, dejando las apps expuestas. AWS y Azure optan por Fail Close, sacrificando usabilidad por seguridad.
Evolución de las herramientas de prueba y anomalías
Las herramientas de prueba han evolucionado a una plataforma completa con informes PDF, visualizaciones de resultados y ejemplos de logs. El soporte para Docker permite chequeos exprés rápidos. Pero las pruebas descubrieron una anomalía: Imperva Cloud WAF bloqueó el 100% del tráfico de la herramienta de prueba, incluidas solicitudes legítimas — señalando heurísticas agresivas que atacan las propias herramientas de auditoría.
Conclusiones clave
- Los ataques de evasión por relleno son el nuevo estándar — Los WAF deben manejar cualquier tamaño de solicitud para contrarrestar amenazas como React2Shell.
- El equilibrio de métricas es esencial — Elegir un WAF solo por seguridad o detección arriesga vulnerabilidades o caídas.
- La arquitectura determina los resultados — Solo el análisis en streaming con machine learning ofrece cobertura completa sin afectar el rendimiento.
- La configuración importa — Probar productos en diferentes modos (p. ej., open-appsec) muestra que los ajustes impactan enormemente la precisión equilibrada.
- Las herramientas de prueba son más avanzadas — Las plataformas modernas ofrecen informes detallados para seleccionar y ajustar WAF con inteligencia.
— Editorial Team
Aún no hay comentarios.