Ataques DDoS explicados - Ahogar un servicio en tráfico

Un ataque DDoS (Denegación de Servicio Distribuido) inunda un servidor objetivo con solicitudes provenientes de miles a millones de dispositivos simultáneamente, haciendo que el servicio sea inaccesible para los usuarios legítimos. A diferencia de un simple ataque DoS desde una única fuente, la naturaleza distribuida implica que bloquear direcciones IP individuales no es suficiente para detenerlo.

El mayor ataque DDoS jamás registrado, reportado por Google en 2023, alcanzó un pico de 398 millones de solicitudes por segundo (398M rps). Para ponerlo en perspectiva, equivale a enviar todas las visitas diarias de Wikipedia en aproximadamente 10 segundos.

Los ataques DDoS no requieren habilidades técnicas avanzadas para lanzarse. Plataformas ilegales de "DDoS como servicio" venden capacidad de ataque por tan solo unas pocas decenas de dólares al mes. Esta baja barrera de entrada es la razón fundamental por la que los ataques DDoS siguen siendo tan frecuentes.

Tres categorías de ataques DDoS

Los ataques DDoS se clasifican en tres tipos según la capa del modelo OSI que atacan.

Categoría Capa objetivo Técnicas comunes Características
Volumétrico L3/L4 (Red) Inundación UDP, amplificación DNS, reflexión NTP Satura el ancho de banda. Puede alcanzar escala de Tbps
Protocolo L3/L4 (Transporte) Inundación SYN, Ping de la Muerte, ataque Smurf Agota las tablas de conexión del servidor
Capa de aplicación L7 (Aplicación) Inundación HTTP, Slowloris, RUDY Bajo volumen de tráfico, alta carga en el servidor. Difícil de detectar

Cómo funcionan los ataques de amplificación

La técnica volumétrica más eficiente es el ataque de amplificación. El atacante falsifica la IP de origen para que coincida con la dirección del objetivo, y luego envía pequeñas solicitudes a servidores DNS o servidores NTP. Estos servidores responden al objetivo con cargas útiles de decenas a cientos de veces más grandes que la solicitud original. La amplificación DNS puede alcanzar un factor de hasta 54x, mientras que el abuso de memcached ha llegado a una asombrosa proporción de amplificación de 51.000x.

Botnets - El ejército detrás de los ataques DDoS

Lo "distribuido" en DDoS es posible gracias a las botnets. Ordenadores, dispositivos IoT y servidores infectados con malware obedecen comandos del servidor C&C (Comando y Control) del atacante, enviando tráfico de ataque al unísono.

La botnet Mirai - Un punto de inflexión

La botnet Mirai, que surgió en 2016, secuestró aproximadamente 600.000 dispositivos IoT (cámaras de seguridad, routers) que aún tenían contraseñas predeterminadas, y lanzó un ataque de 1,2 Tbps contra el proveedor de DNS Dyn. El ataque dejó fuera de servicio a Twitter, Netflix, Reddit, GitHub y numerosos otros servicios importantes durante varias horas.

El código fuente de Mirai fue publicado abiertamente, y sus variantes siguen activas hoy en día. Verificar la seguridad de tu router doméstico y cambiar las credenciales predeterminadas es el primer paso para evitar que tus dispositivos se conviertan en parte de una botnet.

Escala de las botnets modernas

  • Mirai (2016): ~600.000 dispositivos IoT, pico de 1,2 Tbps
  • Meris (2021): ~250.000 routers, pico de 21,8M rps
  • Mantis (2022): ~5.000 máquinas virtuales, pico de 26M rps (pequeña pero potente)
  • HTTP/2 Rapid Reset (2023): Explotó una vulnerabilidad del protocolo, pico de 398M rps

Estrategias de defensa contra DDoS

Una defensa eficaz contra DDoS no depende de una única solución, sino de múltiples capas trabajando en conjunto.

Defensas a nivel de red

  • BGP Anycast: Comparte la misma dirección IP en múltiples puntos de presencia globales, distribuyendo geográficamente el tráfico de ataque
  • Enrutamiento a agujero negro: Redirige el tráfico de ataque a /dev/null. Es un último recurso porque el tráfico legítimo también se descarta
  • Limitación de velocidad: Establece un límite en el número de solicitudes por unidad de tiempo. Particularmente eficaz contra ataques L7

CDN y protección DDoS basada en la nube

Los proveedores de CDN ofrecen servicios de mitigación DDoS que absorben el tráfico de ataque utilizando una capacidad de red masiva.

Servicio Capacidad de red Características principales
Cloudflare 296+ Tbps Protección DDoS L3/L4 incluso en el plan gratuito
AWS Shield No divulgada Standard es gratuito. Advanced añade integración WAF y respuesta 24/7
Akamai Prolexic 20+ Tbps Centros de depuración dedicados limpian el tráfico de ataque

Cómo responder a un ataque DDoS

La rapidez y eficacia con la que respondas en los primeros minutos determina el alcance del daño.

  1. Detectar y clasificar el ataque: Cuando se detecta un pico de tráfico, determinar si es volumétrico, basado en protocolo o un ataque L7
  2. Contactar a tu ISP o proveedor de hosting: Solicitar filtrado upstream. Tu propio ancho de banda casi con certeza es insuficiente para absorber la inundación
  3. Activar un servicio de CDN/mitigación DDoS: Incluso sin un contrato previo, proveedores como Cloudflare ofrecen incorporación de emergencia
  4. Documentar el patrón de ataque: Registrar las IPs de origen, patrones de solicitud y duración del ataque. Estos datos son esenciales para acciones legales y prevención futura
  5. Denunciar ante las autoridades: Los ataques DDoS son delitos penales en la mayoría de jurisdicciones, incluyendo la Computer Fraud and Abuse Act (EE.UU.) y la Unauthorised Access to Computer Material Act (Reino Unido)

Existen muchas razones por las que un sitio web puede caerse, pero un pico repentino de tráfico siempre debería levantar sospechas de un ataque DDoS.

La amenaza en evolución - IA e IoT en los DDoS

Los ataques DDoS continúan creciendo tanto en escala como en sofisticación. El informe de Cloudflare de 2024 reveló que los ataques DDoS L7 aumentaron un 61% interanual.

  • Ataques adaptativos impulsados por IA: Los ataques emergentes utilizan aprendizaje automático para estudiar los patrones de defensa en tiempo real y evadir la detección
  • Crecimiento explosivo del IoT: Se estima que 30.000 millones de dispositivos IoT estarán en línea para 2025, ampliando enormemente el potencial de las botnets
  • Vulnerabilidades de protocolo: Ataques como HTTP/2 Rapid Reset explotan fallos de diseño en protocolos más nuevos, eludiendo las defensas tradicionales
  • DDoS con rescate: Los atacantes combinan DDoS con extorsión, exigiendo un pago para detener la inundación, una táctica cada vez más asociada con campañas de ransomware

Para un estudio completo sobre defensa contra DDoS, los libros sobre protección DDoS son un recurso valioso. Comienza visitando IP Checker para ver tu propia dirección IP y construir una comprensión básica de cómo funcionan las redes.

Términos del glosario relacionados

Ataque DDoS Un ataque que inunda un objetivo con solicitudes desde una cantidad masiva de dispositivos, dejando el servicio no disponible. Se clasifica en tipos volumétrico, de protocolo y de capa de aplicación. Botnet Una red de dispositivos infectados con malware que ejecutan comandos de un atacante, como lanzar ataques DDoS o enviar spam. La proliferación de dispositivos IoT ha ampliado drásticamente la escala de las botnets. Dirección IP Un identificador numérico asignado a cada dispositivo en una red. Los atacantes DDoS frecuentemente falsifican las direcciones IP de origen para disfrazar el origen del tráfico de ataque.