Hay tres familias: volumétricos (saturar ancho de banda con UDP flood, amplificación DNS/NTP/Memcached), de protocolo (agotar tablas de estado con SYN flood, fragment attacks) y de aplicación (Layer 7: HTTP flood, slowloris, peticiones costosas a endpoints concretos). Cada uno requiere defensa distinta.
Qué es DDoS
DDoS (Distributed Denial of Service) es un ataque que satura un servicio enviando tráfico desde miles o millones de orígenes coordinados, generalmente máquinas comprometidas en una botnet o nodos de red abusados como amplificadores. El objetivo no es robar datos, sino dejar el servicio inaccesible para usuarios legítimos. A diferencia de un ataque DoS simple (un único origen, fácil de bloquear), un DDoS por su naturaleza distribuida obliga a defensas en frontera con visibilidad masiva y capacidad de absorción.
Por qué importa
Un servicio bancario, de pago, de comercio electrónico o de administración pública caído durante horas tiene impacto económico inmediato, daño reputacional y, bajo NIS2 y DORA, obligación de notificación y posibles sanciones. La superficie pública de cualquier organización es objetivo potencial: desde extorsión (paga o seguimos atacando) hasta hacktivismo, distracción de otros ataques en paralelo o presión competitiva. Los ataques han crecido en magnitud cada año (récord >5 Tbps en 2024-2025), y el coste de ejecutar un ataque sigue bajando con la profesionalización de servicios "DDoS-as-a-Service" en mercados criminales. Una organización seria con presencia pública necesita una estrategia de mitigación explícita, no esperanza de que no le pase.
Puntos clave
La mitigación efectiva combina varias capas: scrubbing centers en frontera (Cloudflare, Akamai, AWS Shield Advanced), rate limiting en CDN, reglas de WAF para Layer 7 y rutas BGP de anycast que distribuyen carga geográficamente. Una sola capa rara vez es suficiente para ataques sofisticados.
La mayoría de los ataques duran menos de una hora pero algunos se mantienen durante días en formato campaña. La capacidad de respuesta automatizada (activación de scrubbing en segundos, no minutos) marca la diferencia entre disrupción menor y caída prolongada.
Layer 7 (aplicación) es el tipo más difícil de detectar y mitigar: el tráfico parece legítimo, requiere análisis de patrones de uso y rate limiting fino sin afectar a usuarios reales. WAF y bot management son las herramientas habituales.
Ejemplo: ataque de amplificación DNS contra una API pública
Una empresa expone una API de pagos en su CDN. Un atacante lanza un ataque de amplificación DNS: envía millones de peticiones DNS pequeñas a resolutores abiertos en Internet, con la IP de origen falsificada para que apunte a la API víctima. Los resolutores responden con paquetes mucho mayores, generando 400 Gbps de tráfico hacia la API. La CDN absorbe el primer pico, pero el equipo de operaciones activa scrubbing center (filtrado especializado en frontera), bloquea rangos abusados con BGP flowspec y aplica rate limiting estricto a peticiones que no presentan token válido. El servicio se mantiene operativo con 4 minutos de degradación. Sin esa arquitectura previa, la caída habría sido de horas y la notificación a clientes y supervisor habría sido inevitable.
Errores habituales
- Confiar en que el proveedor de hosting o el firewall corporativo absorberá el ataque. Para ataques medianos, ambos saturan rápido. La defensa contra DDoS empieza fuera de tu red, en proveedores de scrubbing especializados.
- Carecer de plan de respuesta documentado. Cuando empieza el ataque, no es momento de improvisar a quién llamar, qué scripts ejecutar y qué decidir. El plan tiene que estar escrito, probado en tabletop y con contactos actualizados.
- Olvidar la capa 7. Muchas defensas DDoS se centran en volumen y dejan sin cubrir ataques aplicación que con poco ancho de banda pueden tumbar servicios costosos (búsquedas complejas, agregaciones, endpoints sin cache).
- No probar la mitigación. Una arquitectura anti-DDoS sin pruebas reales (ejercicios de simulación con proveedor de scrubbing, no en producción evidentemente) suele fallar el primer día de ataque real por configuración no validada.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cuál es la diferencia entre DoS y DDoS?
DoS (Denial of Service) viene de un único origen, generalmente fácil de bloquear filtrando esa IP. DDoS (Distributed Denial of Service) viene de miles o millones de orígenes simultáneos, lo que obliga a mitigación distribuida en frontera con capacidad de absorción muy superior.
¿Es necesario contratar un servicio anti-DDoS si ya uso una CDN?
Las CDN modernas (Cloudflare, Akamai, Fastly, AWS CloudFront) incluyen ya algún nivel de protección DDoS, suficiente para ataques pequeños y medianos. Para infraestructuras críticas o servicios bajo NIS2/DORA suele recomendarse activar el tier avanzado (Cloudflare Magic Transit, AWS Shield Advanced, Akamai Prolexic) que añade scrubbing especializado y SLAs de mitigación.
¿DDoS está cubierto por la mayoría de seguros cibernéticos?
La mayoría sí cubren coste de mitigación, pérdida de ingresos por interrupción y honorarios de respuesta a incidentes. Conviene revisar los límites por evento, las exclusiones (algunos excluyen ataques que se prolonguen más de X horas) y los requisitos de control mínimos exigidos por la póliza.