6  Unidad : Firewalls, WAF y Seguridad Perimetral

6.1 Introducción de la Unidad

Los firewalls y sistemas de seguridad perimetral representan la primera línea de defensa entre la red interna de una institución financiera y el exterior. Su función es aplicar políticas estrictas de acceso, inspeccionar tráfico y prevenir ataques dirigidos a servicios públicos como banca en línea, portales web, APIs o cajeros automáticos.

De acuerdo con normativas internacionales:

  • NIST SP 800-41 establece la política “deny all, allow by exception” para filtrar tráfico.

  • ISO/IEC 27033 recomienda la existencia de firewalls internos y perimetrales con segmentación por zonas.

  • PCI DSS v4.0 Req. 1 y 6 exige que el entorno de datos de tarjetas (CDE) esté protegido por firewalls dedicados y que el tráfico a aplicaciones críticas pase por un Web Application Firewall (WAF).

  • CIS Controls v8 (Controles 4 y 13) recomiendan inspección de tráfico, limitación de accesos y uso de Threat Intelligence.

  • ISO/IEC 42001 introduce el uso de inteligencia artificial en la seguridad perimetral, para detectar patrones anómalos en APIs, tráfico en DMZs y comportamientos de clientes digitales, aunque con la salvedad de que las decisiones finales deben estar en manos humanas.

En el sector financiero, la falta de firewalls robustos o mal configurados ha permitido incidentes como:

  • Ataques SQLi/XSS exitosos en aplicaciones críticas por ausencia de WAF.

  • Fraudes y accesos indebidos en banca en línea por falta de rate limiting o bloqueo de fuerza bruta.

  • Exfiltración de datos sensibles mediante C2 o túneles no monitoreados.

  • Usuarios accediendo a sitios no autorizados, lo que expone la red a phishing, malware o fuga de información.

  • Protocolos inseguros activos (ping, Telnet, SMB) que facilitan pivoting lateral.

  • Sanciones legales y regulatorias bajo PCI DSS y LOPDP, incluyendo la revocación de licencias de procesamiento de tarjetas o demandas de usuarios afectados.

  • Pérdida de confianza y reputación, que en el sector financiero puede significar pérdida de clientes y contratos estratégicos.

Para mejorar la seguridad, se hace uso de los siguientes equipos:

6.2 Firewalls de Nueva Generación (NGFW)

Los NGFW no solo bloquean tráfico por puertos, también inspeccionan aplicaciones, contenidos y comportamientos.

Controles principales:

  • Política de tráfico basada en deny all, allow by exception.

  • Administración accesible solo desde IPs autorizadas, con MFA y en horarios definidos.

  • Firewalls internos entre VLANs y zonas (usuarios ↔︎ servidores, core ↔︎ internet).

  • Reglas de firewall documentadas y versionadas (# de política).

  • Integración con SIEM para trazabilidad de logs.

  • Protección frente a ataques como:

    • Ataques de red clásicos: escaneos de puertos, fuerza bruta en RDP/SSH, exploit de vulnerabilidades conocidas (CVE).

    • Ataques de denegación de servicio (DoS/DDoS): mediante políticas de rate limiting, storm control y filtrado.

    • Acceso a sitios prohibidos según rol: filtrando categorías (ej. redes sociales, pornografía, streaming, almacenamiento en la nube no autorizado).

    • Accesos internos indebidos: bloqueando intentos de ping o conexión hacia servidores fuera del alcance definido.

  • Funciones avanzadas:

    • Integración con AD: permite asignar políticas basadas en grupos de usuarios. Ejemplo: un cajero bancario solo puede acceder a aplicaciones internas vía HTTPS, mientras un administrador de TI puede acceder a SSH desde IPs autorizadas.

    • Asignación de IP por rol: el firewall puede reconocer el usuario autenticado (ej. vía AD/802.1X) y aplicar una IP o política de red específica.

    • Restricciones de protocolos: bloqueo de ping, Telnet, FTP, SMB y otros innecesarios, conforme a políticas vistas en unidades anteriores.

    • Filtrado de contenido y reputación: analiza URL, dominios e IPs contra bases de Threat Intelligence.

6.3 Web Application Firewall (WAF)

El WAF protege aplicaciones críticas (banca online, APIs, portales de clientes) frente a ataques a nivel de aplicación.

Controles principales:

  • Protección frente a SQL Injection, XSS, CSRF, LFI/RFI.

  • Limitación de solicitudes (rate limiting) para evitar ataques de fuerza bruta.

  • Filtrado y validación de parámetros en APIs y servicios web.

  • Monitoreo de intentos de explotación en tiempo real.

  • Integración con herramientas de Threat Intelligence para bloqueo dinámico de IPs maliciosas.

6.4 Integración con Threat Intelligence

El firewall y el WAF deben nutrirse de fuentes de inteligencia de amenazas:

  • Listas de IPs y dominios maliciosos actualizadas.

  • Indicadores de compromiso (IoCs) compartidos en el sector financiero.

  • Bloqueo automático de conexiones a dominios de malware, phishing o C2.

Los firewalls y WAF se fortalecen con Threat Intelligence, que provee:

  • IoCs (Indicadores de Compromiso): listas de direcciones IP, dominios, hashes de archivos o patrones de tráfico que han sido identificados como maliciosos en campañas anteriores.

  • Bloqueo dinámico de C2 (Command & Control): muchos ataques de malware y ransomware se comunican con servidores externos llamados C2, usados para recibir órdenes o exfiltrar datos. Algunos documentos confunden “phishing” con C2, pero la diferencia es:

  • Phishing → ataque inicial para robar credenciales o engañar al usuario.

  • C2 → canal persistente que controla equipos ya comprometidos.

La integración de IoCs y C2 en firewalls permite bloquear automáticamente estas conexiones.

6.5 Uso de IA en Seguridad Perimetral

La ISO/IEC 42001 impulsa la incorporación de IA en los sistemas de seguridad perimetral. En el contexto de firewalls/WAF:

  • La IA analiza patrones de tráfico en DMZs y redes internas.

  • Identifica comportamientos anómalos, como accesos repetitivos fuera de horario o intentos de fuerza bruta distribuidos.

  • Anticipa ataques avanzados (APTs) o movimientos laterales.

Nota Importante: la IA debe alertar, no bloquear automáticamente, ya que un falso positivo podría interrumpir la banca en línea. Las decisiones finales deben estar a cargo del SOC.

6.6 Checklist de Firewalls y WAF

Control / Medida Responsable Qué revisar / Evidencia Riesgo si no se cumple
Política deny all, allow by exception Seguridad Reglas activas en firewall Tráfico malicioso no filtrado
Administración solo desde IPs autorizadas, con MFA y en horarios definidos TI / Seguridad Logs de acceso, políticas GPO Credenciales robadas → control total del perímetro
Filtrado de navegación por rol integrado con AD Seguridad / TI Políticas de grupo aplicadas, logs de navegación Usuarios acceden a páginas de riesgo (malware, fuga de datos)
Asignación de IP y políticas por usuario (AD/802.1X) TI Validación de configuración Usuario con privilegios indebidos accede a sistemas críticos
Bloqueo de protocolos innecesarios (ping, FTP, Telnet, SMB) Seguridad / TI Configuración de reglas Pivoting lateral y explotación de protocolos inseguros
Firewalls internos entre VLANs y zonas (core, servidores, usuarios) Infraestructura Diagramas de red, reglas aplicadas Movimiento lateral hacia core bancario
WAF activo en banca online, APIs y portales Seguridad Políticas OWASP aplicadas, pruebas de SQLi/XSS Fraudes en banca online, robo de credenciales
Protección contra fuerza bruta (rate limiting) Seguridad Configuración de WAF Robo masivo de credenciales y accesos no autorizados
Integración con Threat Intelligence (IoCs y C2) SOC Listas actualizadas, reportes de bloqueo Malware con canal C2 activo → exfiltración de datos
IA perimetral en modo alerta (no bloqueo) SOC Dashboards de IA, correlación en SIEM Ataques avanzados no detectados o interrupción de servicio por falsos positivos