La capa 7 se refiere a la capa de aplicación del modelo de interconexión de sistemas abiertos (OSI). La capa 7 es con la que los usuarios interactúan directamente. Es donde se genera, se transmite y se interpreta el contenido real de las aplicaciones y las API: aspectos como páginas web, respuestas de API y datos que se intercambian entre aplicaciones. Desde la capa 7, los datos se transmiten hacia abajo por la pila y se dividen en «paquetes».
Comprender el modelo OSI
El modelo OSI es un modelo conceptual que describe y estandariza las funciones de comunicación de un sistema de telecomunicaciones o informático, sin tener en cuenta su estructura interna ni la tecnología subyacente. Su objetivo es permitir que distintos sistemas de comunicación puedan funcionar entre sí mediante protocolos de comunicación estándar.
En pocas palabras, el modelo OSI sirve para estandarizar el modo en que los distintos sistemas informáticos y aplicaciones interactúan entre sí e intercambian datos.
¿Qué hace la capa 7?
La capa 7, la capa de aplicación del modelo OSI, se refiere a todas las formas en que una aplicación se comunica con la red. La capa 7 actúa como una «interfaz» esencial entre las aplicaciones con las que interactúa un usuario y la red subyacente por la que circulan sus datos.
Como capa superior del modelo OSI, la capa 7 se encarga del procesamiento de datos justo debajo de la interfaz virtual de una aplicación. Los datos se presentan de tal forma que las aplicaciones de cara al usuario puedan utilizarlos realmente. Un ejemplo típico es una solicitud HTTP que se usa para cargar una página web.
Podemos pensar en la capa 7 como el «traductor» de las aplicaciones: interpreta los datos de las capas inferiores y los convierte a formatos «legibles» para las aplicaciones.
¿Por qué es importante la capa 7?
La capa 7 del modelo OSI es importante porque permite la comunicación con los usuarios en Internet. Además, ofrece otra capa para aplicar políticas y controles de seguridad. La capa 7 es la interfaz entre la red y las aplicaciones de los usuarios: define los protocolos (HTTP, SMTP) que usan las aplicaciones para comunicarse entre sí.
¿Dónde se encuentra la capa 7 en el modelo OSI?
Como puedes ver en el diagrama, la capa 7 se encuentra en la parte superior del modelo OSI. Cada una de las capas realiza funciones o actividades específicas para que los sistemas informáticos puedan comunicarse correctamente a través de una red.

¿Cuáles son los riesgos de seguridad de la capa 7?
Los riesgos de seguridad de la capa 7 incluyen cualquier ataque dirigido a la capa de aplicación del modelo OSI, donde se encuentran los servicios web y las API. A diferencia de los ataques de capas inferiores, que saturan el ancho de banda, los ataques de la capa 7 aprovechan la lógica de las aplicaciones y los límites de recursos, y a menudo se disfrazan de tráfico legítimo. Entre los riesgos más comunes se encuentran los ataques DDoS, las saturaciones de HTTP, el uso indebido de las API, la inyección SQL, los scripts entre sitios (XSS) y el relleno de credenciales. Este tipo de ataques están diseñados para interrumpir los servicios, robar datos o eludir la autenticación.
Como estos ataques imitan el comportamiento real de los usuarios mediante solicitudes perfectamente formadas, a menudo son indetectables con los firewalls de red tradicionales. Los atacantes pueden aprovechar entradas mal validadas, autenticación débil o API mal configuradas para robar datos confidenciales o dejar fuera de servicio aplicaciones críticas.
Los ataques DDoS a la capa 7 suponen una amenaza real. En cuanto al volumen, pueden saturar los servicios y procesos que requieren un gran esfuerzo computacional, lo que afecta al rendimiento, la disponibilidad y los gastos operativos.
¿Cómo funcionan los ataques DDoS a la capa 7?
Un ataque DDoS a la capa de aplicación es un intento malicioso de saturar las aplicaciones web aprovechando la capa 7 del modelo OSI. Se centra en vulnerabilidades específicas de las aplicaciones para interrumpir la disponibilidad del servicio.
A diferencia de los ataques a la capa de red, que saturan la infraestructura, los incidentes en la capa de aplicación colapsan procesos concretos de las aplicaciones, consumiendo una cantidad significativa de potencia de computación. Al imitar el tráfico y los patrones de los usuarios legítimos, estos ataques pueden maximizar su impacto sin necesidad de que el atacante utilice mucho ancho de banda. Son los ataques DDoS que más potencia de computación requieren, ya que se trata de solicitudes completas. Son los más costosos, pero también pueden ser los más difíciles de detectar, ya que imitan el tráfico legítimo.
¿Cómo puedes protegerte contra los ataques a la capa 7?
1. Implementa mecanismos de retos en JavaScript
Una buena forma de distinguir a los bots de los usuarios legítimos es añadir pruebas de JavaScript. Estas pruebas analizan el comportamiento de los visitantes en busca de indicios de automatización. Si se detecta automatización, se activarán pruebas de verificación adicionales para confirmar la legitimidad antes de conceder más acceso. Prueba estos sistemas a fondo para no molestar a los clientes legítimos.
2. Despliega WAF avanzados de última generación (firewalls de aplicaciones web)
Los WAF de última generación utilizan conjuntos de reglas específicos para cada aplicación con el fin de identificar y bloquear el tráfico malicioso. Un WAF bien configurado puede detectar anomalías en la complejidad de las solicitudes, la geolocalización, la gestión de sesiones, el tamaño de los datos introducidos y mucho más. Plantéate utilizar WAF de última generación basados en la nube para aprovechar la inteligencia compartida sobre amenazas y detectar los ataques más rápido.
3. Usa el filtrado por reputación de IP
Las bases de datos de reputación de IP mantienen listas actualizadas de direcciones IP de botnets y malware. Las aplicaciones web pueden bloquear automáticamente el tráfico procedente de fuentes maliciosas conocidas consultando estas bases de datos. Asegúrate de que la base de datos se actualice con frecuencia, ya que las direcciones IP de las botnets cambian muy rápido.
4. Implementa la limitación de frecuencia a nivel de aplicación
La limitación de frecuencia impone umbrales para los volúmenes de tráfico y la complejidad de las solicitudes, al tiempo que bloquea a quienes los superan. Por ejemplo, puedes establecer límites en las llamadas a la API por dirección IP, las sesiones simultáneas por usuario o las lecturas de la base de datos por minuto. Los límites detallados te ayudan a hacer frente a picos repentinos sin impedir el acceso legítimo.
5. Crea una verificación CAPTCHA inteligente
Las soluciones avanzadas de gestión de bots, como Fastly Bot Management, ofrecen soluciones ingeniosas para los CAPTCHA. Los Dynamic Challenges de Fastly, una función de Bot Management, son una herramienta de seguridad adaptativa que ajusta de forma inteligente la protección basándose en un análisis en tiempo real del tráfico entrante, tanto si llega a tus aplicaciones web como a tus experiencias móviles. Lo mejor de todo es que está totalmente integrada con los tokens de acceso privado (PAT), de modo que los usuarios obtienen acceso sin fricciones con una verificación automática invisible entre bastidores. Esto permite que Dynamic Challenges valide automáticamente la legitimidad del tráfico mediante PAT siempre que sea posible, muestre retos no interactivos al tráfico que parezca legítimo o utilice retos interactivos para frustrar a los bots maliciosos.
6. Configura comprobaciones de integridad del navegador
Analiza el tráfico entrante para detectar si las huellas digitales del navegador son coherentes. Las solicitudes que no presenten las características propias de un navegador legítimo pueden seleccionarse para su verificación adicional o bloquearse por completo. Las comprobaciones de integridad del navegador ayudan a garantizar que el tráfico provenga de fuentes auténticas.
7. Usa el análisis de tráfico con aprendizaje automático
Las técnicas de aprendizaje automático crean modelos precisos que distinguen entre patrones de tráfico normales y anormales. El entrenamiento continuo de estos sistemas con datos actualizados mejora la precisión de la detección. El reentrenamiento frecuente garantiza que los modelos se adapten a las tendencias cambiantes del tráfico.
8. Implementa la verificación de solicitudes basada en tokens
Las claves tokenizadas con plazos de caducidad estrictos garantizan que cada llamada a la API provenga de tu frontend legítimo. Los ataques que intenten eludir el frontend se bloquean, ya que carecen de tokens válidos. Los tokens deben coincidir con los datos de la sesión para evitar ataques de repetición y solicitudes no autorizadas.
9. Utiliza segmentación adaptativa del tráfico
Segmentar el tráfico según el perfil de riesgo te permite aislar los flujos sospechosos para analizarlos más a fondo, al tiempo que se reservan los recursos de las aplicaciones para los usuarios legítimos. Actualiza los modelos de riesgo con frecuencia para garantizar su precisión y que reflejen la información más reciente sobre amenazas.
Así te ayuda Fastly
Dado que los atacantes aprovechan cada vez más las vulnerabilidades de la lógica de negocio de la capa 7, debes emplear un conjunto de estrategias de defensa adaptativas. No hay una única solución que ofrezca una protección completa, pero combinar técnicas de mitigación proactivas y reactivas en el edge puede contrarrestar eficazmente los ataques a las aplicaciones antes de que saturen la infraestructura. Las capacidades inteligentes, como el aprendizaje automático y el análisis de comportamiento, son muy útiles para hacer frente a la creciente sofisticación de las redes de bots maliciosas y los servicios generadores de estrés.
Las soluciones DDoS Protection, WAF de última generación y Bot Management de Fastly ofrecen un enfoque potente y flexible para proteger tus sitios web y tus API. Con el respaldo de una red global en el edge, la solución ofrece una visibilidad detallada del tráfico, junto con capacidades de detección y mitigación rápidas de amenazas.
Así es como la plataforma ayuda a tu empresa a anticiparse a estas amenazas:
Mitigación automática de ataques: Fastly utiliza técnicas proactivas para identificar y neutralizar automáticamente los ataques DDoS sin necesidad de intervención manual. Las amenazas se abordan de inmediato para minimizar las interrupciones.
Mayor resiliencia: con la solución de Fastly, las aplicaciones y las API mantienen un rendimiento y una disponibilidad constantes, incluso durante ataques de gran volumen. Esta resiliencia garantiza una experiencia ágil para los clientes con tráfico legítimo.
Detección dinámica e identificación adaptativa: Fastly supervisa continuamente el tráfico entrante y utiliza análisis avanzados para detectar al instante patrones de ataque anómalos. La identificación adaptativa garantiza que la solución siga siendo eficaz frente a las amenazas en constante evolución.
Sin suplementos por ataques: Fastly no cobra por el tráfico de ataques, a diferencia de muchos otros proveedores. Solo pagas por las solicitudes legítimas, lo que te permite mantener unos costes operativos predecibles y reducir la carga financiera durante los ataques prolongados.
WAF integrado de última generación: el WAF de última generación de Fastly complementa la protección DDoS identificando y bloqueando peticiones web maliciosas.
Mitigación rápida: la plataforma reduce el impacto de los ataques en los usuarios finales al mitigar las amenazas en cuestión de segundos.
Despliegue versátil: Fastly protege las aplicaciones de todos los tamaños con defensas rápidas y actualizables.
Limitación de frecuencia: Fastly permite a los administradores establecer umbrales para el número de peticiones que un usuario o una dirección IP puede realizar en un periodo de tiempo determinado.
Descubre cómo Fastly puede proteger tus aplicaciones, API y microservicios y garantizar que tu negocio esté seguro y sea resiliente ante las amenazas que van surgiendo.