Radware ha anunciado la disponibilidad en la nube de su servicio de protección frente a ataques DDoS web sobre tráfico cifrado sin necesidad de compartir certificados TLS/SSL ni de descifrar el tráfico para inspeccionarlo. La novedad no es menor. Hasta ahora, una parte importante de las defensas en capa 7 dependían precisamente de romper ese cifrado dentro del entorno del proveedor para poder analizar qué estaba pasando. Y ahí empezaban los problemas: privacidad, cumplimiento normativo, gestión de claves y, en muchos casos, una incomodidad evidente para equipos de seguridad y de cumplimiento.
La compañía presenta este lanzamiento como un hito dentro del sector y sostiene que se trata de una solución cloud capaz de bloquear ataques DDoS cifrados de capa 7 sin exigir certificado ni descifrado del tráfico. Conviene decirlo con precisión: esa es la posición de Radware, no una conclusión certificada por un organismo independiente en el anuncio consultado. Aun así, el movimiento sí apunta a una tendencia muy clara del mercado: cada vez más empresas quieren proteger aplicaciones web expuestas a Internet sin tener que entregar piezas tan sensibles como sus certificados o sus claves a un tercero.
El momento elegido también tiene lógica. El tráfico cifrado domina desde hace años la web pública. Google recuerda que las navegaciones por HTTPS en Chrome subieron desde niveles del 30 % al 45 % en 2015 hasta el entorno del 95 % al 99 % hacia 2020, y que desde entonces esa adopción se ha estabilizado en cotas muy altas. En paralelo, Google señala que, si se miran solo los sitios públicos, Linux ronda ya casi el 97 % de uso de HTTPS, Windows alcanza el 98 % y Android y macOS superan el 99 %. En otras palabras: hoy proteger tráfico web significa, casi siempre, proteger tráfico cifrado.
Ese contexto ha convertido la inspección del tráfico HTTPS en un terreno especialmente delicado. Descifrar para inspeccionar puede funcionar desde el punto de vista técnico, pero también añade complejidad legal y operativa. No todas las organizaciones están dispuestas a compartir certificados, ni todas pueden hacerlo con comodidad por exigencias regulatorias, políticas internas o simple prudencia. La propuesta de Radware intenta precisamente atacar ese punto de fricción: ofrecer defensa automatizada en la nube frente a ataques DDoS web cifrados sin obligar al cliente a ceder ese control.
Según la información publicada por la empresa, el sistema se apoya en análisis de comportamiento cruzado y en modelos de aprendizaje automático para fijar una línea base del tráfico legítimo, detectar desviaciones y generar reglas de mitigación de forma dinámica. La promesa es que la plataforma pueda reaccionar en tiempo real ante un ataque de capa 7 sin exigir un ajuste manual constante de políticas. En la práctica, esto significa intentar distinguir cuándo una avalancha de peticiones HTTPS corresponde a usuarios reales y cuándo responde a un patrón automatizado diseñado para tumbar una aplicación, saturar una web o degradar un servicio.
La cuestión es especialmente relevante porque los ataques no están bajando precisamente de intensidad. En su informe global de amenazas de 2026, Radware asegura que los ataques DDoS de red crecieron un 168 % y que los ataques en la capa de aplicación subieron un 128 % durante 2025. Como ocurre con cualquier informe elaborado por un proveedor, estos datos deben leerse entendiendo su origen, pero sirven para ilustrar algo que la industria lleva tiempo viendo: el tráfico malicioso es más persistente, más automatizado y cada vez más cómodo moviéndose dentro de canales cifrados.
Otro punto interesante del anuncio es la flexibilidad de despliegue. Radware no plantea esta capacidad como una única receta, sino como una opción más dentro de varios modelos de implantación. La protección puede desplegarse desde su plataforma cloud, con descifrado SSL opcional, pero también en entornos locales mediante DefensePro, a través de Alteon Protect o en arquitecturas nativas de Kubernetes con Kubernetes WAAP. Esto permite que cada organización decida hasta qué punto quiere una defensa en la nube, local, híbrida o adaptada a aplicaciones contenerizadas. Para muchas empresas, esa flexibilidad pesa tanto como la tecnología en sí.
Más allá del titular, lo verdaderamente interesante es lo que este anuncio dice sobre la evolución del mercado de ciberseguridad. Durante años, el discurso dominante vino a ser que, si se quería ver dentro del tráfico cifrado, había que descifrarlo sí o sí. Ahora los proveedores intentan abrir otra vía: defender mejor sin invadir tanto. En un momento en el que la privacidad, la soberanía del dato y el cumplimiento normativo pesan más que nunca, cualquier tecnología que reduzca la necesidad de compartir secretos criptográficos gana enteros de inmediato.
También hay una lectura operativa. En muchas organizaciones, el problema no es solo la amenaza, sino la burocracia técnica que trae consigo una solución de seguridad. Cada certificado compartido, cada cambio en claves, cada revisión de cumplimiento y cada auditoría añaden tiempo, coste y riesgo. Si una plataforma consigue rebajar esa carga sin perder capacidad de respuesta frente a ataques DDoS web sofisticados, el valor para el cliente no está solo en bloquear mejor, sino en complicarse menos la vida.
Queda por ver cómo responderá el mercado y hasta qué punto esta aproximación demostrará en producción la misma eficacia que promete sobre el papel. Pero el mensaje que deja Radware es claro: el futuro de la protección DDoS web no pasa solo por más potencia de mitigación, sino por encontrar fórmulas que encajen mejor con entornos cifrados, exigencias regulatorias y operaciones cloud cada vez más complejas. Y ahí, reducir la dependencia del descifrado puede convertirse en una ventaja muy seria.
Preguntas frecuentes
¿Cómo se puede frenar un ataque DDoS de capa 7 sobre tráfico HTTPS sin descifrar el tráfico?
La idea es analizar patrones de comportamiento, volumen, frecuencia, anomalías y señales del flujo cifrado sin necesidad de abrir el contenido. Radware asegura que su servicio usa análisis de comportamiento y aprendizaje automático para detectar desviaciones y generar reglas de mitigación en tiempo real sin pedir descifrado continuo del tráfico.
¿Qué ventaja tiene no compartir certificados TLS/SSL con un proveedor de protección DDoS en la nube?
La principal ventaja es reducir problemas de privacidad, cumplimiento normativo y gestión de claves. Compartir certificados o descifrar tráfico en la nube puede generar reticencias en sectores regulados o en empresas con políticas muy estrictas sobre custodia de credenciales y secretos criptográficos.
¿En qué se diferencia un ataque DDoS web de capa 7 de un DDoS de red tradicional?
El DDoS de red suele buscar saturar enlaces o recursos de infraestructura con grandes volúmenes de tráfico. El DDoS web de capa 7 apunta más a la aplicación y simula peticiones legítimas HTTP o HTTPS para agotar recursos del servicio, afectar a la disponibilidad o degradar la experiencia de usuario. Radware sitúa esta protección específicamente en el ámbito web y de capa 7.
¿Es útil este tipo de protección para aplicaciones en Kubernetes y entornos híbridos?
Sí, al menos en el planteamiento de Radware. La compañía indica que esta protección puede desplegarse en nube, en instalaciones propias, en modelos híbridos y también en entornos nativos de Kubernetes mediante Kubernetes WAAP, lo que encaja con arquitecturas modernas donde una misma aplicación reparte componentes entre varios entornos.
