Rate limiting en aplicaciones web: qué proteger antes de elegir una librería

Rate limiting en aplicaciones web: qué proteger antes de elegir una librería

Cometí el error de agregar rate limiting como si fuera una dependencia de conveniencia — npm install, copiar middleware de un tutorial, pegar el número mágico de 100 requests por minuto y seguir con el sprint. Lo hice porque "seguridad" estaba en el backlog y quería tildar el ítem. El resultado fue predecible: el middleware existía, pero no protegía nada en particular. Y la primera vez que revisé los logs con criterio, me di cuenta de que no sabía qué habría pasado si alguien hubiera abusado del endpoint de login.

Lo cuento porque ese patrón es exactamente el que veo circular en tutoriales de Next.js: instalar una librería, enrollarla como middleware global y llamarle "seguridad". No es seguridad. Es vibra de seguridad.

Mi tesis es concreta: rate limiting no es una dependencia; es una política de abuso. Y una política sin definición es una regla sin sujeto.

Qué es rate limiting en aplicaciones web con Next.js — y qué no es