WAF y rate limit son útiles, pero no son magia. Bien aplicados reducen abuso. Mal aplicados bloquean usuarios legítimos.
Rate limit protege muy bien formularios y endpoints de ataques por volumen. WAF ayuda a filtrar patrones maliciosos más complejos.
La decisión depende de contexto: volumen de tráfico, tipo de amenazas y criticidad del negocio cuando hay indisponibilidad.
En muchos casos, empezar por límites bien definidos y observabilidad clara da más resultado que activar reglas agresivas desde el primer día.
Si luego el patrón de ataques crece, se añade capa WAF con ajustes específicos y validación continua.
La seguridad efectiva es progresiva y basada en datos, no en checklist cerrada.
