{"section":"tutorials","requestedLocale":"es","requestedSlug":"web-application-firewall-waf","locale":"es","slug":"web-application-firewall-waf","path":"docs/es/tutorials/seguridad/vtex-shield/web-application-firewall-waf.md","branch":"main","content":"> ℹ️ Esta funcionalidad es parte del producto [VTEX Shield](/es/docs/tutorials/vtex-shield). Si ya eres cliente VTEX y deseas adoptar esta funcionalidad en tu negocio, ponte en contacto con nuestro [Soporte comercial](es/docs/tracks/soporte-comercial). Pueden aplicarse cargos adicionales. Si aún no eres cliente, pero te interesa esta solución, llena el [formulario de contacto](https://vtex.com/es-mx/contacto/).\n\nWeb Application Firewall (WAF) es una capa de seguridad diseñada para proteger aplicaciones web mediante monitoreo y filtrado del tráfico de internet.\n\nWAF se enfoca en las comunicaciones que se llevan a cabo a través de los protocolos HTTP (Hypertext Transfer Protocol) y HTTPS (HTTP Secure), analizando los datos de entrada para detectar y bloquear posibles amenazas.\n\n![waf-es](https://cdn.statically.io/gh/vtexdocs/help-center-content/refs/heads/main/docs/es/tutorials/seguridad/vtex-shield/web-application-firewall-waf_1.png)\n\nWAF opera a partir de la configuración de [reglas de seguridad](#reglas-de-seguridad) definidas por el equipo de seguridad de VTEX, basándose en el análisis de patrones de circulación de datos. Dichas reglas sirven para que WAF monitoree constantemente el tráfico web y cuando detecte una actividad potencialmente perjudicial, pueda bloquear el tráfico, impidiendo que los atacantes aprovechen las vulnerabilidades en la aplicación web.\n\n## Reglas de seguridad\n\nLas tiendas que utilizan VTEX Shield y deciden usar WAF cuentan con las siguientes reglas de seguridad contra amenazas en el sitio web:\n\n| Amenaza | Medida de seguridad |\n|---|---|\n| Remote File Inclusions (RFI) | Detecta tentativas de incluir archivos, normalmente a través de scripts en el servidor web. |\n| Directory traversal | Comprueba y valida los nombres de archivo proporcionados por los usuarios, evitando el acceso no autorizado a archivos y carpetas sensibles. |\n| Cross-site scripting (XSS)   | Impide la inyección de scripts del lado del cliente en las páginas vistas por los visitantes. |\n| Carga de archivos | Detecta intentos de carga de archivos al servidor web. |\n| Trucos de evasión | Protege contra algunos trucos de codificación utilizados para intentar eludir los mecanismos de protección. |\n| Acceso no deseado | Detecta intentos de acceso a páginas administrativas o vulnerables, a bots y a herramientas de escaneo de seguridad. |\n| Ataques identificados | Previene varios tipos de ataques comunes y vulnerabilidades conocidas que deberían bloquearse. |\n| Filtro de IP | Consulta una lista de direcciones IP que tienen permiso o bloqueo de acceso. |\n| Bloqueo de la red Tor | Impide el acceso al sitio web utilizando el navegador Tor. |\n\n> ℹ️ La selección de reglas y los nombres mostrados varían según la configuración definida en el proveedor de WAF y las personalizaciones solicitadas por el retailer.\n\n## Solicitar activación de WAF\n\nPara solicitar la activación de WAF en tu tienda, ponte en contacto con el [Soporte VTEX](https://supporticket.vtex.com/support). Incluye la siguiente información en el ticket:\n\n* URLs que se añadirán a WAF.\n* Nombre y datos de contacto (email y teléfono) de la persona que será el punto de contacto con el equipo de seguridad de VTEX durante el proceso de activación.\n* Proveedor: para tener acceso a WAF, todo el tráfico de URL de la tienda debe pasar por el proveedor que VTEX utiliza actualmente. De no ser ese el caso, debes llevar a cabo un procedimiento con el equipo de tráfico de VTEX que puede durar entre 1 y 2 semanas.\n\nDespués de la solicitud, el plazo de activación de WAF en las URLs de la tienda es de cuatro semanas, además del plazo necesario para la migración al proveedor, de ser necesario.\n\n## Métricas WAF\n\nVTEX Shield disponibiliza un dashboard para monitoreo en tiempo real de las métricas y actividades de WAF. Para consultar el dashboard en el Admin VTEX, accede a **Apps > Shield > WAF**, o escribe **WAF** en la barra de búsqueda.\n\nEl dashboard muestra la siguiente información y recursos:\n\n* [Filtro de periodo](#filtro-de-periodo)\n* [Métricas generales](#metricas-generales)\n* [Acciones](#acciones)\n* [Reglas](#reglas)\n* [Tipos de ataque](#tipos-de-ataque)\n* [Países de origen](#paises-de-origen)\n* [Dispositivos](#dispositivos)\n\n### Requisitos\n\nPara ver la página es necesario:\n\n* Tener WAF [activado](#solicitar-activacion-de-waf) previamente.\n* Ser un usuario asociado a un [rol](https://help.vtex.com/es/docs/tutorials/roles) con el [recurso de License Manager](https://help.vtex.com/es/docs/tutorials/recursos-del-license-manager) a continuación:\n\n  * **Producto**: CDN API\n  * **Categoría**: WAF Control\n  * **Recurso**: View WafControl Metrics\n\n### Filtrar por periodo\n\nEn la esquina superior derecha puedes seleccionar el periodo de visualización de los datos haciendo clic en el periodo actual. Las opciones disponibles son:\n\n* **Hoy**\n* **Ayer**\n* **Últimos 7 días**\n* **Últimos 14 días**\n* **Últimos 30 días**\n* **Personalizado** permite seleccionar fechas específicas de inicio y fin, con un intervalo máximo de 30 días, limitado a los últimos 60 días.\n\nDespués de seleccionar el periodo deseado, haz clic en `Aplicar` para actualizar las métricas del dashboard.\n\n### Métricas generales\n\nLa sección superior del dashboard presenta tres métricas principales:\n\n* **Todas las solicitudes:** número total de solicitudes analizadas por WAF en el periodo seleccionado.\n* **Bloqueados:** cantidad y porcentaje de solicitudes que WAF bloqueó antes de llegar a la aplicación por haber sido identificadas como amenazas.\n* **Permitidos:** porcentaje y cantidad de solicitudes permitidas por WAF y enviadas a la aplicación después del análisis, consideradas seguras.\n\n![waf-2-es](https://cdn.statically.io/gh/vtexdocs/help-center-content/refs/heads/main/docs/es/tutorials/seguridad/vtex-shield/web-application-firewall-waf_2.png)\n\n### Acciones\n\nEl gráfico de **Acciones** muestra la evolución temporal de las actividades de WAF, indicando el volumen de solicitudes por **hora del día**, consolidado durante todo el periodo seleccionado. Permite identificar picos de tráfico en horarios específicos.\n\nEl gráfico muestra tres métricas principales:\n\n* **Bloqueadas** (línea azul): solicitudes bloqueadas por WAF.\n* **Permitidas** (línea morada): solicitudes aceptadas.\n* **Total** (línea gris): volumen total de solicitudes analizadas.\n\n![waf-3-es](https://cdn.statically.io/gh/vtexdocs/help-center-content/refs/heads/main/docs/es/tutorials/seguridad/vtex-shield/web-application-firewall-waf_3.png)\n\n### Reglas\n\nEl gráfico **Reglas** detalla las reglas de seguridad que se activaron durante el periodo seleccionado. Se puede acceder a los datos de dos maneras que se pueden seleccionar en la esquina superior derecha del gráfico:\n\n* **Tiempo:** evolución temporal de la aplicación de cada regla.\n* **Resumen:** vista consolidada de la cantidad de acciones por regla.\n\n![waf-4-es](https://cdn.statically.io/gh/vtexdocs/help-center-content/refs/heads/main/docs/es/tutorials/seguridad/vtex-shield/firewall-de-aplicacion-web-waf_4.png)\n\n> ℹ️ La selección de reglas y los nombres mostrados varían según la configuración definida en el proveedor del WAF y las personalizaciones solicitadas por el retailer.\n\n### Tipos de ataque\n\nLa sección **Tipos de ataque** presenta un gráfico de barras horizontales con los principales tipos de amenazas detectadas y el volumen de eventos registrados.\n\nLos tipos de ataque que se muestran corresponden a los más relevantes para la tienda, es decir, aquellos con mayor volumen de detecciones, y no necesariamente a los definidos en la lista. Consulta más información sobre ataques comunes en [OWASP Top 10](https://owasp.org/Top10)\n\n![waf-5-es](https://cdn.statically.io/gh/vtexdocs/help-center-content/refs/heads/main/docs/es/tutorials/seguridad/vtex-shield/web-application-firewall-waf_5.png)\n\n### Países de origen\n\nEl gráfico de **Países de origen** muestra la distribución geográfica de las solicitudes, permitiendo identificar de qué países provienen los accesos a tu sitio web analizados por el WAF. Los países se enumeran por código de tres letras, con barras horizontales que indican el volumen de solicitudes de cada configuración regional.\n\n![waf-6-es](https://cdn.statically.io/gh/vtexdocs/help-center-content/refs/heads/main/docs/es/tutorials/seguridad/vtex-shield/web-application-firewall-waf_6.png)\n\n### Dispositivos\n\nEl gráfico de **Dispositivos** presenta la distribución porcentual de los tipos de dispositivos utilizados para acceder al sitio web en las solicitudes analizadas por WAF:\n\n* **Escritorio:** accesos a través de computadoras.\n* **Móvil:** accesos a través de dispositivos móviles.\n* **Tablet:** accesos vía tablets.\n* **Desconocido:** dispositivos no identificados.\n\nLos datos se muestran en un gráfico circular con los porcentajes respectivos.\n\n![waf-7-es](https://cdn.statically.io/gh/vtexdocs/help-center-content/refs/heads/main/docs/es/tutorials/seguridad/vtex-shield/web-application-firewall-waf_7.png)\n\n## Más información\n\n* [VTEX Shield](/es/docs/tutorials/vtex-shield)"}