Los firewalls y balanceadores de aplicaciones llevan años en primera línea de batalla, pero rara vez han contado con el mismo nivel de protección que un portátil o un servidor. Esa brecha es precisamente la que quieren cerrar F5 y CrowdStrike con una nueva alianza estratégica que lleva, por primera vez, el sensor Falcon y el servicio de threat hunting OverWatch directamente a los dispositivos F5 BIG-IP.

El acuerdo, anunciado el 12 de noviembre de 2025, promete detección y respuesta avanzada en el perímetro donde se concentra el tráfico de las aplicaciones y APIs más críticas. Y lo hace con un incentivo difícil de ignorar para los clientes de F5: el uso de Falcon para BIG-IP será gratuito hasta el 14 de octubre de 2026.

---

De proteger el endpoint a blindar también los dispositivos de red

Durante años, la estrategia de ciberseguridad ha girado en torno al endpoint. Herramientas EDR, agentes ligeros y plataformas XDR han protegido portátiles, PCs, servidores y, más recientemente, cargas en la nube. Pero, como recuerda la nota conjunta, los atacantes no se detienen cuando comprometen un equipo: siguen avanzando por la red en busca de aplicaciones críticas y datos sensibles.

“El panorama actual exige llevar el poder de la plataforma Falcon más allá del endpoint”, afirmó George Kurtz, CEO y fundador de CrowdStrike. “Estamos dando un paso audaz: normalizar el despliegue de sensores de detección y respuesta en todas las superficies de ataque, incluidos los dispositivos de red”.

En paralelo, François Locoh-Donou, presidente y CEO de F5, reconoció una realidad incómoda del sector:

“Durante demasiado tiempo, los dispositivos de red han carecido de la misma protección que el resto de endpoints, pese a estar justo delante de las aplicaciones y APIs más críticas del mundo”.

La referencia no es casual. F5 reconoció recientemente un incidente de seguridad que afectó a parte de su plataforma, lo que ha acelerado el esfuerzo por subir el listón de seguridad en los propios appliances de red.

---

¿En qué consiste Falcon para F5 BIG-IP?

La alianza se traduce en una integración técnica concreta:

• CrowdStrike Falcon Sensor se puede incrustar directamente en F5 BIG-IP, empezando por la versión virtual (BIG-IP Virtual Edition, VE).
• Antes de final de 2025, la integración estará también disponible para los sistemas BIG-IP físicos.
• Además, los clientes podrán aprovechar el servicio Falcon OverWatch, el equipo de managed threat hunting de CrowdStrike que analiza telemetría en tiempo real para identificar movimientos sutiles de atacantes.

Todo ello se entrega sobre la F5 Application Delivery and Security Platform (ADSP), la plataforma con la que F5 distribuye y protege aplicaciones y APIs a través de centros de datos, nubes públicas y entornos edge.

En la práctica, esto significa que un BIG-IP ya no será solo un balanceador o WAF, sino también un sensor avanzado de amenazas capaz de:

• Enviar telemetría rica a la plataforma Falcon.
• Correlacionar eventos con lo que ocurre en endpoints, identidades, cargas cloud y datos.
• Activar respuestas coordinadas (bloqueos, aislamientos, reglas temporales) con la misma lógica que el resto de la arquitectura de seguridad.

---

200 clientes en producción y uso gratuito hasta octubre de 2026

Aunque el anuncio marca el lanzamiento oficial, F5 y CrowdStrike aseguran que más de 200 clientes ya están usando Falcon para BIG-IP en sus redes. La novedad es que ahora el programa se abre en condiciones ventajosas:

• Acceso gratuito al sensor Falcon y al servicio OverWatch para clientes elegibles de BIG-IP hasta el 14 de octubre de 2026.
• La oferta se aplica inicialmente a BIG-IP VE y se extenderá a hardware BIG-IP cuando esté disponible la integración.
• F5 ofrecerá recursos de onboarding (artículos de Knowledge Base y soporte directo) para facilitar el despliegue.

Para muchos equipos de seguridad y redes, esto supone la oportunidad de probar detección potenciada por IA en el perímetro sin coste inicial y evaluar impacto en visibilidad, tiempos de investigación y respuesta.

---

Por qué importa esta integración para las empresas

1. Menos puntos ciegos en el tráfico más crítico

Los appliances BIG-IP suelen estar situados justo delante de las aplicaciones que mueven el negocio: portales de clientes, APIs internas y externas, pasarelas de pago, servicios internos expuestos vía VPN o Zero Trust, etc.

Hasta ahora, muchos de estos equipos no estaban cubiertos por agentes EDR y funcionaban como una “caja negra” en términos de detección avanzada. Con Falcon integrado:

• Se gana telemetría adicional sobre peticiones sospechosas, patrones de tráfico anómalos y comportamientos que escapan a la inspección tradicional.
• Es posible correlacionar actividad en BIG-IP con eventos en endpoints y cargas en la nube, lo que ayuda a reconstruir la historia completa de un ataque.

2. Respuesta más rápida y coordinación entre dominios

Con Falcon y OverWatch en BIG-IP, un incidente ya no se analiza solo desde el punto de vista del endpoint. Si un atacante logra comprometer un servidor, los movimientos posteriores hacia aplicaciones protegidas por F5 pueden quedar reflejados en los registros enriquecidos de Falcon.

Esto permite:

• Reducir el tiempo de detección (MTTD), al identificar patrones que de otro modo pasarían desapercibidos.
• Disparar respuestas automáticas en la propia capa de aplicaciones (por ejemplo, bloquear direcciones IP, cerrar sesiones, ajustar reglas temporalmente).

3. IA aplicada a la red, no solo a los servidores

La plataforma Falcon ya se apoya en un data lake global y modelos de IA entrenados con indicadores de ataque, telemetría y tácticas de adversarios. Al conectarla a BIG-IP, esa analítica se extiende a la parte de la infraestructura que ve todo el tráfico HTTP/HTTPS y API.

Esto significa que la IA de CrowdStrike puede detectar comportamientos atípicos en el flujo de solicitudes, patrones repetidos de exploración, exfiltración encubierta o uso malicioso de APIs, complementando las protecciones típicas de un WAF.

---

Qué deben saber los equipos de redes y seguridad

Para quienes gestionan infraestructuras con F5 BIG-IP, hay varios aspectos prácticos a considerar:

• Modelo de despliegue: la integración con Falcon para BIG-IP VE facilita pruebas en entornos virtuales (laboratorios, clústeres cloud) antes de extenderla a appliances físicos.
• Gestión y rendimiento: el sensor Falcon está diseñado como agente ligero; aun así, las organizaciones deberán validar consumo de recursos y posibles ajustes en producción.
• Gobierno y privacidad: la telemetría capturada se suma a la de endpoints y cargas cloud; será clave alinear su uso con políticas internas de datos y cumplimiento normativo.

Desde la perspectiva de gobernanza, también es una oportunidad para acercar los equipos de redes y seguridad, que a menudo han trabajado en silos. Si BIG-IP pasa a ser un “ciudadano de primera” en el programa de detección y respuesta, será necesario definir:

• Quién decide políticas de despliegue del sensor.
• Cómo se comparten alertas y flujos de trabajo entre NOC y SOC.
• Qué métricas se usarán para medir la efectividad de esta integración.

---

Un movimiento que marca tendencia

La alianza F5–CrowdStrike puede interpretarse como un anticipo de un movimiento más amplio en la industria: llevar la seguridad avanzada a dispositivos que tradicionalmente no se consideraban endpoints, como:

• Equipos de red (routers, switches, balanceadores).
• Gateways de acceso remoto.
• Dispositivos OT e IoT de misión crítica.

Si la estrategia tiene éxito, es probable que se vean integraciones similares con otros fabricantes de hardware de red y plataformas de seguridad, consolidando un modelo en el que todos los nodos relevantes de la infraestructura ejecutan algún tipo de sensor unificado.

---

Preguntas frecuentes

¿Qué es exactamente Falcon para F5 BIG-IP y qué incluye?
Es una integración que permite instalar el sensor CrowdStrike Falcon directamente en los dispositivos F5 BIG-IP y aprovechar el servicio Falcon OverWatch de threat hunting gestionado. Con ello se extienden las capacidades de detección y respuesta de Falcon al perímetro donde se procesa el tráfico de aplicaciones y APIs.

¿Qué tipo de clientes pueden usar Falcon para BIG-IP gratis hasta octubre de 2026?
F5 ha anunciado que clientes elegibles de BIG-IP podrán acceder de forma gratuita al sensor Falcon y a OverWatch hasta el 14 de octubre de 2026, empezando por BIG-IP Virtual Edition y, más adelante, también para hardware BIG-IP. Los detalles concretos de elegibilidad se consultan con F5 o en su base de conocimiento.

¿Supone un impacto de rendimiento significativo instalar el sensor Falcon en BIG-IP?
El sensor Falcon es un agente ligero diseñado para minimizar impacto, pero cada entorno es diferente. Lo recomendable es validar la integración en BIG-IP VE o en un entorno de pruebas antes de llevarla a producción, monitorizando CPU, memoria y latencias bajo carga.

¿Qué ventaja aporta frente a seguir usando solo WAF y EDR tradicionales?
Un WAF protege la aplicación en la capa HTTP/HTTPS, y el EDR protege endpoints individuales. Falcon para BIG-IP unifica visibilidad y análisis en la propia pasarela de aplicaciones, permitiendo correlacionar eventos de red con lo que ocurre en endpoints, identidades y cargas cloud, y habilitando respuestas coordinadas que reducen puntos ciegos y tiempos de reacción.

---

Fuentes

• F5 / crowdstrike — F5 and CrowdStrike Strengthen Web Traffic Security with Falcon for F5 BIG-IP (nota oficial, 12/11/2025).