Ciberamenazas y contramedidas

Ataque DDoS

Se lee en aproximadamente 4 minutos

Última actualización: 2026-01-28

Qué es un ataque DDoS

Un ataque DDoS (Distributed Denial of Service) es un ataque que envía grandes cantidades de tráfico desde múltiples ordenadores a un servidor o red objetivo para hacer que el servicio quede inutilizable. A diferencia de un ataque DoS desde una única fuente, utiliza botnets (grupos de terminales infectados con malware) de miles a millones de dispositivos para atacar de forma distribuida, por lo que no se puede defender simplemente bloqueando las IP de origen.

La escala de los ataques DDoS recientes se ha expandido rápidamente, y los ataques que superan 1 Tbps ya no son inusuales. Con la proliferación de dispositivos IoT, los dispositivos con seguridad débil se incorporan a las botnets, y la infraestructura de ataque continúa expandiéndose.

Clasificación y métodos de ataque

Los ataques DDoS se clasifican en tres grandes categorías según la capa del modelo OSI que atacan.

Ataques volumétricos (L3/L4)

Ataques cuyo objetivo es saturar el ancho de banda. Los representativos son UDP flood, ICMP flood y amplificación DNS (que amplifica las respuestas DNS y las envía al objetivo). En la amplificación DNS, el atacante envía pequeñas consultas con la IP de origen falsificada como la del objetivo a múltiples resolvers abiertos, y las respuestas amplificadas decenas de veces se concentran en el objetivo.

Ataques de protocolo (L3/L4)

Ataques que agotan los recursos de servidores y equipos de red. El representativo es SYN flood (que abusa del handshake de tres vías de TCP para consumir recursos con conexiones semi-abiertas). Al desbordar las tablas de conexión de firewalls y balanceadores de carga, el tráfico legítimo tampoco puede procesarse.

Ataques a la capa de aplicación (L7)

Ataques que explotan protocolos de la capa de aplicación como solicitudes HTTP. Incluyen Slowloris (que agota las conexiones del servidor retrasando intencionalmente las conexiones HTTP) y el envío masivo de consultas de búsqueda que generan carga en la base de datos. Aunque el volumen de tráfico es bajo, consumen eficientemente los recursos del servidor, por lo que las medidas contra ataques volumétricos por sí solas no son suficientes.

Medidas de defensa y arquitectura

La defensa contra ataques DDoS se basa en la defensa multicapa, superponiendo medidas en múltiples niveles.

  • Uso de CDN: Distribuir el contenido en servidores edge alrededor del mundo para absorber el tráfico de ataque. Los principales proveedores de CDN tienen la capacidad de mitigar ataques de decenas de Tbps.
  • Implementación de WAF: Detectar y bloquear patrones de ataque a la capa de aplicación. Combinar reglas de limitación de velocidad, reputación de IP y detección de bots.
  • Autoescalado: En entornos cloud, escalar automáticamente los servidores en respuesta al aumento de tráfico por ataques para mantener la disponibilidad del servicio.
  • Enrutamiento Anycast: Anunciar la misma dirección IP desde múltiples ubicaciones para distribuir geográficamente el tráfico de ataque.
  • Limitación de velocidad y modelado de tráfico: Limitar el número de solicitudes desde una sola IP y detectar y bloquear patrones de tráfico anómalos.

En entornos AWS, la combinación de CloudFront + AWS Shield + WAF es la arquitectura estándar de defensa contra DDoS. Shield Standard mitiga automáticamente los ataques L3/L4 sin costo adicional, y Shield Advanced proporciona protección más avanzada y soporte 24 horas.

Respuesta ante incidentes

Una respuesta rápida cuando se recibe un ataque DDoS es directamente proporcional a la minimización del daño. Es importante incluir escenarios DDoS en el plan de respuesta a incidentes.

  1. Detección y respuesta inicial: Detectar mediante alertas de monitoreo el aumento anómalo de tráfico, deterioro del tiempo de respuesta y aumento de la tasa de errores. Identificar el tipo de ataque (volumétrico / protocolo / L7).
  2. Ejecución de medidas de mitigación: Activar los servicios de mitigación DDoS del CDN o proveedor cloud. Agregar reglas WAF según el patrón de ataque. Si es necesario, solicitar filtrado upstream al ISP.
  3. Comunicación y registro: Informar de la situación a las partes interesadas y notificar a los usuarios. Preservar los registros del ataque (IPs de origen, volumen de tráfico, patrones de ataque).
  4. Análisis posterior: Analizar la totalidad del ataque e identificar puntos de mejora en las medidas de defensa. Revisar la resistencia de toda la infraestructura, incluyendo la configuración de seguridad del almacenamiento en la nube.

Los ataques DDoS también se utilizan como distracción para otros ataques. Mientras se atiende el DDoS, se intenta infiltrar por otra vía, por lo que es importante no relajar la monitorización de seguridad durante un DDoS.

Conceptos erróneos comunes

Los sitios pequeños no son objetivo de ataques DDoS
Los ataques DDoS se realizan por diversas razones: extorsión económica, sabotaje a competidores, motivaciones políticas, etc. Con DDoS-as-a-Service se puede contratar un ataque por unos pocos dólares, por lo que cualquier sitio, independientemente de su tamaño, puede ser objetivo.
Aumentar el ancho de banda puede prevenir los ataques DDoS
Aumentar el ancho de banda tiene cierto efecto contra ataques volumétricos, pero los ataques a la capa de aplicación agotan los recursos del servidor con poco tráfico, por lo que el ancho de banda solo no es suficiente. Se necesitan medidas multicapa como WAF y limitación de velocidad.

Comparación por tipo de ataque DDoS

Ataque volumétrico

Busca saturar el ancho de banda. Volumen de tráfico muy alto (cientos de Gbps - varios Tbps). La absorción a nivel de CDN o ISP es efectiva. La amplificación DNS es un ejemplo representativo.

Ataque a la capa de aplicación

Busca agotar la capacidad de procesamiento del servidor. Altamente efectivo incluso con poco tráfico. Requiere defensa con WAF y limitación de velocidad. Slowloris y HTTP flood son ejemplos representativos.

Términos relacionados

WAF (Web Application Firewall) Una solución de seguridad que monitorea, filtra y bloquea tráfico HTTP/HTTPS mal… CDN (Red de Distribución de Contenido) Una red globalmente distribuida de servidores de borde que almacena en caché y e… Firewall Un mecanismo de seguridad ubicado en los límites de la red que inspecciona y con… Respuesta a incidentes Un proceso sistemático y estructurado para detectar, contener, erradicar y recup… Seguridad del almacenamiento en la nube El conjunto de medidas para garantizar la confidencialidad, integridad y disponi…

Artículos relacionados

Fundamentos de firewalls - Tu primera línea de defensa en la red Comprende cómo funcionan los firewalls, los diferentes tipos disponibles y estrategias prácticas de … Fundamentos de seguridad de API - Cómo proteger el backend de los servicios web Aprende cómo pueden ser explotadas las API y las medidas de seguridad fundamentales como autenticaci…
← Glosario