Del monolito expuesto a una superficie mínima con WAF, RASP y hardening de APIs
Un portal B2C de alto tránsito sufría scans masivos, intentos de fuerza bruta y explotación de misconfigurations en endpoints REST. Ejecutamos una remediación integral de Security by Design: mapeo y inventario de activos, pruebas DAST/SAST, endurecimiento de cabeceras y TLS, protección de APIs con schema validation y rate limiting, y WAF + RASP para bloquear OWASP Top 10 en tiempo real.
Incorporamos ciclo SSDLC con controles en CI/CD, firmas de artefactos, escaneo de dependencias y secretos, junto con IaC scanning para nubes. El resultado: menos superficie de ataque, menos ruido operacional y mayor resiliencia ante abuso automatizado.
Acciones clave ejecutadas
- WAF/CDN con reglas gestionadas y bot management.
- RASP para defensa dentro del runtime (inyecciones, deserialización, RCE).
- API Security: autenticación fuerte, rate limiting, validación de esquema y least privilege en scopes.
- Hardening: cabeceras (CSP, HSTS, Referrer-Policy), TLS moderno, desactivación de listados.
- SAST/DAST/SCA integrados en CI/CD y escaneo de secretos.
- IaC/Cloud posture: análisis de plantillas y drift detection.
Principales hallazgos
Endpoints sin rate limiting; tokens con vida excesiva; cabeceras de seguridad ausentes; dependencias con CVEs; validación insuficiente de payloads; e instancias cloud con puertos innecesarios expuestos. El refuerzo en capa perimetral + runtime + pipeline redujo materialmente el riesgo.