Tema 19

19. API Gateways, WAF, proxies inversos y capas de protección

Las APIs rara vez quedan expuestas directamente al backend puro. En la práctica suelen existir capas intermedias que reciben, enrutan, inspeccionan, autentican, limitan y observan el tráfico antes de llegar al servicio real. Bien diseñadas, estas capas mejoran seguridad y operación. Mal entendidas, generan una peligrosa ilusión de protección que deja huecos críticos detrás del perímetro.

Objetivo Entender qué aportan y qué no resuelven las capas intermedias
Enfoque Perímetro, tránsito, control centralizado y límites reales
Resultado Diseñar defensas en capas sin delegar toda la seguridad al borde

19.1 Introducción

En arquitecturas reales, la API no suele ser el primer componente que recibe una solicitud desde internet. Antes pueden aparecer un CDN, un balanceador, un proxy inverso, un API Gateway, un WAF o una combinación de varios. Cada uno puede aportar controles valiosos, pero también introduce complejidad y puntos de confianza adicionales.

Estas capas son útiles para centralizar políticas, limitar abuso, observar tráfico, terminar TLS, aplicar autenticación preliminar o aislar servicios internos. Sin embargo, no reemplazan la seguridad del backend. Si el servicio final asume que “el gateway ya protegió todo”, aparecen fallas graves de autorización, validación y lógica.

Este tema analiza qué hace cada capa, dónde agrega valor y cuáles son los errores conceptuales más frecuentes al usarlas.

19.2 Qué entendemos por capas de protección

Las capas de protección son componentes intermedios que actúan antes o alrededor de la API para filtrar, transformar, enrutar, limitar o inspeccionar tráfico. Forman parte de una estrategia de defensa en profundidad.

Entre las más comunes están:

  • Proxy inverso.
  • Balanceador de carga.
  • API Gateway.
  • Web Application Firewall.
  • Service mesh o proxies internos en microservicios.

19.3 Proxy inverso: función y valor

Un proxy inverso recibe solicitudes en nombre del backend y las reenvía a uno o varios servicios internos. Puede ocultar topología interna, terminar TLS, manejar compresión, aplicar cabeceras, registrar tráfico y hacer routing básico.

Desde seguridad, aporta valor porque:

  • Reduce exposición directa del servicio interno.
  • Centraliza ciertos controles de transporte.
  • Permite imponer políticas comunes antes de llegar al backend.
  • Sirve como punto de observación y registro.

19.4 Balanceadores y distribución de tráfico

Los balanceadores suelen enfocarse en disponibilidad y escalado, pero también tienen implicancias de seguridad. Pueden controlar terminación TLS, health checks, routing por host o path, y a veces primeras capas de filtrado.

Errores comunes en este nivel incluyen:

  • Confiar ciegamente en cabeceras agregadas por infraestructura.
  • Exponer puertos o rutas internas sin intención.
  • Aplicar políticas inconsistentes entre nodos o listeners.

19.5 API Gateway: qué problema resuelve

Un API Gateway es una capa especializada para exponer y gobernar APIs. Suele ofrecer autenticación preliminar, validación básica, routing, rate limiting, versionado, transformación de requests/responses, métricas, observabilidad y aplicación centralizada de políticas.

Su valor principal está en unificar controles comunes para múltiples servicios y ofrecer una superficie de exposición más ordenada y gobernable.

Un buen gateway reduce repetición y mejora control. No debería convertirse en excusa para dejar servicios inseguros detrás.

19.6 Controles típicos en un API Gateway

Control Qué aporta
Autenticación preliminar Bloquea solicitudes obviamente no autenticadas o inválidas
Rate limiting Limita consumo y abuso antes de llegar al backend
Routing Expone de forma ordenada múltiples servicios
Transformación Normaliza headers, rutas o formatos
Observabilidad Concentra métricas, logs y tracing de entrada
Políticas comunes Evita repetir controles básicos en cada servicio

19.7 Lo que un gateway no debería asumir

Aunque el gateway ayude mucho, no debería tomarse como autoridad suficiente para decisiones de negocio fino. El servicio real sigue necesitando validar:

  • Autorización a nivel de objeto.
  • Permisos sobre funciones sensibles.
  • Estados del negocio.
  • Relaciones entre recursos y tenants.
  • Reglas contextuales internas.

El gateway suele ver bien el perímetro, pero no el detalle completo del dominio.

19.8 WAF: qué hace realmente

Un Web Application Firewall inspecciona solicitudes HTTP para detectar y bloquear patrones asociados a ataques conocidos o anómalos. Puede ayudar frente a ciertas inyecciones, payloads maliciosos, escaneo básico o firmas conocidas de abuso.

Su fortaleza está en agregar una defensa extra, especialmente ante ataques genéricos o automatizados. Su límite es que no entiende profundamente la lógica del negocio ni reemplaza validación y autorización correcta en la API.

19.9 Riesgos de confiar demasiado en el WAF

El error más frecuente con WAFs es asumir que “si pasa por el WAF, está seguro”. Esa idea es técnicamente débil por varias razones:

  • El WAF suele detectar patrones, no intención de negocio.
  • Puede no comprender payloads complejos o formatos específicos.
  • No sabe si un actor tiene derecho a ver un recurso concreto.
  • Puede generar falsos positivos o falsos negativos.
Un WAF es una capa útil de filtrado. No es un sustituto de diseño seguro ni de autorización correcta.

19.10 Terminación TLS y visibilidad del tráfico

Muchas de estas capas terminan TLS y, por tanto, ven tráfico ya descifrado. Eso les permite inspeccionar, limitar y enrutar, pero también implica que pasan a formar parte del perímetro de confianza y del problema de protección de datos sensibles.

Esto obliga a preguntarse:

  • ¿Quién puede acceder a logs y métricas del gateway o proxy?
  • ¿Qué datos quedan visibles después de la terminación TLS?
  • ¿Qué parte del trayecto interno vuelve a cifrarse y cuál no?

19.11 Cabeceras reenviadas y cadena de confianza

Cuando el tráfico pasa por proxies o gateways, suelen agregarse cabeceras con información sobre IP de origen, host original, protocolo o trazabilidad. El backend puede usarlas para auditoría, rate limiting o decisiones contextuales.

El riesgo aparece cuando el backend confía en esas cabeceras sin verificar que provienen de infraestructura confiable. Si un cliente puede inyectarlas o alterarlas, puede falsear origen, bypass de controles o distorsionar investigación.

19.12 Políticas centralizadas versus lógica distribuida

Una ventaja de gateways y proxies es centralizar políticas comunes. Pero no todo debe centralizarse. Hay que distinguir entre:

  • Controles horizontales comunes: TLS, rate limiting, logging, autenticación preliminar.
  • Controles de dominio fino: permisos por recurso, estado del negocio, relaciones internas.

Centralizar demasiado puede volver opaca y frágil la lógica. Distribuir todo puede volverla inconsistente. El diseño correcto encuentra el punto de equilibrio.

19.13 Gateways en microservicios

En arquitecturas de microservicios, el gateway suele ser la puerta de entrada externa y simplifica la exposición del sistema. Pero detrás de esa puerta siguen existiendo múltiples servicios con confianza parcial entre sí.

Errores comunes en este escenario:

  • Asumir que el tráfico interno ya no necesita validación.
  • Reenviar claims o headers sin verificar consistencia.
  • Confiar en que el gateway resuelve toda la autorización.
  • Duplicar o divergir políticas entre servicios y gateway.

19.14 Observabilidad desde las capas intermedias

Uno de los grandes beneficios de estas capas es la observabilidad. Pueden registrar métricas de tráfico, errores, latencia, abuso y rutas activas antes de que las solicitudes lleguen al backend. Eso mejora detección temprana y análisis de incidentes.

Sin embargo, también hay que gobernar esa observabilidad para no convertirla en una fuga de tokens, payloads sensibles o metadata excesiva.

19.15 Aislamiento y segmentación lógica

Los proxies y gateways también pueden ayudar a segmentar superficies distintas: pública, privada, administrativa o interna. Esa separación reduce confusión de políticas y minimiza el riesgo de exponer rutas o funciones críticas por accidente.

Ejemplos útiles:

  • Dominios distintos para APIs públicas y administrativas.
  • Políticas de autenticación distintas según tipo de consumidor.
  • Reglas de red y observabilidad separadas por criticidad.

19.16 Errores frecuentes

  • Asumir que el gateway reemplaza validación y autorización del backend.
  • Confiar ciegamente en cabeceras reenviadas.
  • Exponer tráfico interno descifrado sin protección suficiente.
  • Usar WAF como sustituto de diseño seguro.
  • No revisar reglas legacy o rutas olvidadas en el perímetro.
  • Duplicar políticas de forma inconsistente entre capas.
  • No gobernar logs y métricas del proxy o gateway.

19.17 Qué debes recordar de este tema

  • Proxy inverso, gateway y WAF agregan valor como defensa en profundidad y control centralizado.
  • Estas capas mejoran seguridad perimetral, tránsito, rate limiting y observabilidad.
  • No reemplazan validación, autorización ni lógica segura en el backend.
  • Confiar demasiado en el perímetro genera una falsa sensación de protección.
  • Las cabeceras reenviadas, la terminación TLS y la observabilidad de borde también requieren gobierno de seguridad.

19.18 Conclusión

Las capas intermedias son una herramienta poderosa para reforzar la seguridad de APIs REST, siempre que se entiendan como una parte de una defensa en profundidad y no como una solución total. API Gateways, WAFs y proxies inversos permiten centralizar controles, aislar superficies y mejorar observabilidad, pero la seguridad real sigue dependiendo de que el backend valide, autorice y procese con rigor. El perímetro puede ayudar mucho; no debería ser la única línea de pensamiento.

En el próximo tema estudiaremos observabilidad, logging, trazabilidad y detección de anomalías, para ver cómo transformar el tráfico y los eventos de la API en capacidad real de detección e investigación.

Volver al índice