Un ataque DDoS (Distributed Denial of Service) es una avalancha de tráfico falso que colapsa un servidor hasta dejarlo fuera de juego. Así de simple y así de devastador. La denegación de servicio distribuida lleva décadas siendo una de las armas más usadas en internet, y entender cómo funciona un DDoS es el primer paso para no acabar con tu web tirada un martes a las tres de la tarde. La protección DDoS ya no es opcional: cualquier sitio, desde un blog personal hasta una tienda online, puede ser objetivo. Y no, no hace falta ser Amazon para que alguien decida lanzarte un ataque.
Qué es exactamente un ataque DDoS y en qué se diferencia de un DoS
Un ataque DoS clásico usa una sola máquina para saturar un servidor. Imagina a un tipo llamando por teléfono sin parar a una pizzería: al final nadie más puede hacer pedidos. Un ataque DDoS escala esa idea a miles o millones de máquinas simultáneas. Ya no es un tipo pesado; es un estadio entero llamando a la vez.
Esas máquinas atacantes suelen ser dispositivos infectados —ordenadores, routers, cámaras IP, incluso termostatos inteligentes— que forman una botnet. El propietario del dispositivo ni se entera de que su cámara de vigilancia está participando en un bombardeo digital. Si tienes dispositivos IoT en casa sin actualizar, quizá te interese echar un ojo a cómo securizar tu domótica antes de que tu nevera acabe en el lado oscuro.
La diferencia clave: un DoS se mitiga bloqueando una IP. Un DDoS distribuye el ataque entre tantas direcciones que filtrar una a una es como intentar parar la lluvia con un paraguas de cóctel.
Cómo funciona un ataque DDoS: anatomía del bombardeo
La mecánica varía según el tipo, pero el objetivo siempre es el mismo: agotar los recursos del objetivo. Hay tres grandes categorías.
Ataques volumétricos
Saturan el ancho de banda del servidor con tráfico basura. Técnicas como UDP flood, DNS amplification o NTP reflection permiten multiplicar el tráfico. En un ataque de amplificación DNS, el atacante envía peticiones pequeñas a servidores DNS abiertos falsificando la IP de la víctima. Cada petición de 60 bytes genera una respuesta de hasta 4.000 bytes. Matemáticas brutales.
El récord documentado por Cloudflare en 2023 superó los 71 millones de peticiones por segundo. Google reportó haber mitigado un ataque que alcanzó los 398 millones de rps en agosto de ese mismo año. Cifras que dan vértigo.
Ataques de protocolo
Explotan debilidades en las capas 3 y 4 del modelo de red. El clásico SYN flood envía millones de peticiones de conexión TCP sin completar el handshake. El servidor reserva recursos para cada conexión a medio abrir hasta quedarse sin memoria. Otros ejemplos: Ping of Death, Smurf attack y fragmentación IP maliciosa.
Ataques a la capa de aplicación (Layer 7)
Los más sofisticados. Simulan tráfico legítimo —peticiones HTTP normales— pero en volúmenes masivos o apuntando a endpoints costosos. Un HTTP flood bien diseñado puede tumbar un servidor con relativamente pocas peticiones si cada una dispara una consulta pesada a base de datos. Son difíciles de detectar porque cada petición individual parece perfectamente normal. Los kits de ataque automatizados que usan los ciberdelincuentes incluyen herramientas para lanzar estos ataques con un par de clics.
Casos reales que hicieron historia
La denegación de servicio distribuida tiene un historial largo y destructivo. Algunos hitos:
- Mirai (2016): Una botnet formada por cámaras IP y routers domésticos tumbó Dyn, el proveedor DNS que sostenía Twitter, Netflix, Reddit, Spotify y GitHub. Medio internet occidental se quedó a oscuras durante horas. El código fuente de Mirai se publicó en un foro, lo que multiplicó las variantes.
- GitHub (2018): Recibió un ataque de amplificación memcached que alcanzó 1,35 Tbps. GitHub usaba Akamai Prolexic como protección y logró mitigarlo en aproximadamente 10 minutos. Sin ese servicio, habrían caído durante horas.
- AWS (2020): Amazon Web Services reportó haber mitigado un ataque de 2,3 Tbps mediante reflexión CLDAP. El mayor registrado hasta esa fecha.
- Ataques a infraestructura ucraniana (2022): Antes y durante la invasión rusa, bancos y organismos gubernamentales ucranianos sufrieron oleadas de ataques DDoS coordinados. La ciberguerra ya no es ciencia ficción.
Lo que tienen en común estos casos: ninguna de las víctimas era un sitio pequeño. Tenían equipos de seguridad, presupuesto y herramientas. Aun así, sufrieron el impacto. Si te preocupa la seguridad de tus propias cuentas en este contexto, revisa cómo proteger tus cuentas bancarias online porque un DDoS a veces es la cortina de humo de un ataque más dirigido.
Por qué lanzan ataques DDoS (y quién los paga)
Las motivaciones son variadas, y ninguna es especialmente noble:
| Motivación | Perfil del atacante | Ejemplo típico |
|---|---|---|
| Extorsión | Grupos criminales (Fancy Lazarus, REvil) | Amenazan con DDoS si no pagas en Bitcoin |
| Competencia desleal | Rivales comerciales | Tumbar tienda online en Black Friday |
| Hacktivismo | Anonymous, IT Army of Ukraine | Protestas digitales contra gobiernos o corporaciones |
| Distracción | APTs (amenazas persistentes avanzadas) | DDoS como cortina mientras exfiltran datos |
| Diversión | Script kiddies | Porque pueden y porque hay servicios de "stresser" por 10 €/mes |
Sí, has leído bien. Existen servicios de DDoS-as-a-Service que se anuncian como "herramientas de estrés para servidores" (IP stressers o booters). Las fuerzas de seguridad desmantelan estos servicios periódicamente —la operación Power Off de Europol ha cerrado decenas—, pero aparecen nuevos continuamente.
Protección DDoS: cómo prepararte antes de que llegue la tormenta
Mitigar un ataque de denegación de servicio una vez que está en marcha es como intentar vaciar una piscina que se llena más rápido de lo que tú sacas agua. La clave está en prepararse antes.
Servicios de mitigación especializados
Cloudflare, Akamai, AWS Shield y Google Cloud Armor absorben el tráfico malicioso antes de que llegue a tu servidor. Cloudflare tiene un plan gratuito con protección DDoS básica que para la mayoría de sitios pequeños y medianos es más que suficiente. Para infraestructura crítica, los planes enterprise ofrecen SLAs y soporte 24/7.
Configuración a nivel de servidor
- Rate limiting: Limita las peticiones por IP por segundo. En Nginx:
limit_req_zone. En Apache:mod_evasive. - Timeouts agresivos: Reduce
keepalive_timeoutyclient_body_timeoutpara liberar conexiones semiabiertas rápido. - Firewall con listas de reputación: fail2ban, iptables con ipset, o soluciones como CrowdSec (open source y colaborativo).
- Desactivar servicios innecesarios: Si no usas UDP en tu aplicación, bloquéalo. Menos superficie de ataque, menos vectores.
Arquitectura resiliente
Un CDN distribuye el contenido en múltiples nodos geográficos. Si atacan un nodo, los demás siguen sirviendo. El autoescalado en cloud (AWS, GCP, Azure) permite absorber picos de tráfico —legítimos o no— sin caer. Eso sí, vigila la factura: un DDoS que no te tumba pero te genera 50.000 € en tráfico cloud tampoco es exactamente una victoria.
También conviene tener contraseñas robustas en todos los paneles de administración. Un gestor de contraseñas bien configurado te evita el clásico admin/admin que tantas alegrías da a los atacantes.
Plan de respuesta
Ten un runbook. Quién llama a quién, qué proveedor activar, cómo comunicar a los usuarios. El peor momento para improvisar es cuando tu web lleva 20 minutos caída y el teléfono no para de sonar.
DDoS y la ley: qué dice la normativa
En España, lanzar un ataque DDoS es delito tipificado en el artículo 264 bis del Código Penal, introducido por la reforma de 2015 (LO 1/2015). Penas de entre 6 meses y 3 años de prisión. Si el ataque afecta a infraestructura crítica (hospitales, redes eléctricas, telecomunicaciones), las penas se agravan considerablemente.
A nivel europeo, la Directiva NIS2 (vigente desde octubre de 2024) obliga a empresas de sectores esenciales a implementar medidas de protección contra DDoS y a reportar incidentes significativos en un plazo de 24 horas. Si gestionas infraestructura web para empresas, esto te afecta directamente. Los equipos de desarrollo web ya deberían tener esto en su checklist de despliegue.
Preguntas frecuentes
¿Puede un ataque DDoS robar mis datos?
Un DDoS por sí solo no roba información: su objetivo es tumbar el servicio, no infiltrarse. Pero a menudo se usa como distracción mientras los atacantes ejecutan otro vector —como inyección SQL o instalación de rootkits— en paralelo. Por eso conviene monitorizar todo durante y después del ataque.
¿Cuánto dura un ataque DDoS típico?
La mayoría dura menos de una hora. Según datos de Cloudflare, en torno al 90% de los ataques que mitigan no superan los 10 minutos. Pero los ataques dirigidos y bien financiados pueden prolongarse días, alternando intensidad para agotar los recursos del defensor.
¿Mi hosting compartido me protege contra DDoS?
Generalmente no, o muy poco. La mayoría de proveedores de hosting compartido "null-routean" tu IP si reciben un DDoS —es decir, te desconectan para proteger al resto de clientes del servidor—. Si tu web es crítica para tu negocio, necesitas un CDN con protección DDoS delante o un hosting que ofrezca mitigación real.
¿Es legal contratar un servicio de stress testing para probar mi propio servidor?
Probar tu propia infraestructura es legal siempre que tengas autorización documentada y no afectes a terceros (otros clientes en el mismo servidor, proveedores de tránsito). Herramientas profesionales como Apache JMeter, k6 o Locust permiten simular carga de forma controlada. Los servicios de mitigación como Akamai y Cloudflare también ofrecen pruebas de estrés gestionadas dentro de sus planes enterprise.
El siguiente paso
Activa Cloudflare en tu dominio. El plan gratuito tarda cinco minutos en configurarse: cambias los nameservers de tu dominio a los de Cloudflare, activas el proxy naranja en los registros DNS y ya tienes protección DDoS básica funcionando. No esperes a que tu web caiga para descubrir que no tenías nada. Y si ya lo tienes, revisa que el modo "Under Attack" está accesible desde el dashboard —es el botón que querrás pulsar cuando las cosas se pongan feas.
