Qué es un ataque DDoS y cómo protegerse de él

¿Qué es un ataque DDoS?

Un ataque DDoS (Distributed Denial of Service, o denegación de servicio distribuida) es un intento de dejar un sitio o servicio en línea fuera de servicio inundándolo con una enorme cantidad de tráfico falso. Imagina a miles de personas intentando entrar a la vez en una tienda pequeña: los clientes reales no pueden pasar porque la puerta está bloqueada. Del mismo modo, un ataque DDoS satura tu servidor con peticiones para que los visitantes legítimos no puedan llegar a tu sitio.

La palabra «distribuido» es clave: el ataque no proviene de una sola fuente, sino de miles o millones de dispositivos comprometidos (una botnet) repartidos por todo el mundo. Esto dificulta el bloqueo, ya que no puedes limitarte a bloquear una única IP.

Tipos de ataques DDoS

Ataques volumétricos (capa 3/4)

Estos ataques intentan inundar tu servidor o tu infraestructura de red con volúmenes masivos de datos. El objetivo es consumir todo el ancho de banda disponible para que el tráfico legítimo no pueda pasar.

• UDP Flood: envía enormes volúmenes de paquetes UDP a puertos aleatorios del servidor. El servidor consume recursos intentando procesar cada paquete.
• ICMP Flood (Ping Flood): inunda el servidor con paquetes de petición de eco ICMP. Sencillo pero eficaz para sitios más pequeños.
• DNS Amplification: utiliza servidores DNS abiertos para amplificar el ataque; una petición pequeña genera una respuesta enorme dirigida a la víctima.

Ataques de protocolo (capa 3/4)

Estos ataques explotan debilidades en los protocolos de red para agotar los recursos del servidor o de equipos de red como cortafuegos y balanceadores de carga.

• SYN Flood: envía un volumen masivo de peticiones TCP SYN sin completar el handshake. El servidor mantiene conexiones semiabiertas que consumen memoria.
• Ping of Death: envía paquetes malformados o de tamaño excesivo que pueden tumbar el servidor.
• Smurf Attack: utiliza direcciones de difusión (broadcast) para amplificar el tráfico ICMP hacia la víctima.

Ataques de aplicación (capa 7)

El tipo de ataque más sofisticado, dirigido a las aplicaciones web. Estos ataques imitan el tráfico legítimo y son difíciles de distinguir de los visitantes reales.

• HTTP Flood: envía peticiones HTTP GET o POST legítimas en grandes volúmenes. Cada petición parece normal, pero en conjunto sobrecargan el servidor.
• Slowloris: abre muchas conexiones al servidor y las mantiene abiertas enviando peticiones incompletas. El servidor mantiene todas las conexiones activas hasta que se agotan los recursos.
• Ataques específicos de aplicación: apuntan a funciones concretas del sitio (búsqueda, inicio de sesión, endpoints de API) que requieren más recursos del servidor para procesarse.

¿Cómo reconocer un ataque DDoS?

Los ataques DDoS se manifiestan mediante varios síntomas que conviene reconocer lo antes posible:

• El sitio va extremadamente lento: las páginas cargan mucho más despacio de lo habitual o no llegan a cargar.
• El servidor no está disponible: recibes errores 502 Bad Gateway, 503 Service Unavailable o timeouts.
• Pico de tráfico inusual: las analíticas muestran un enorme repunte de visitas que no se explica por motivos normales.
• CPU/RAM altas en el servidor: los recursos del servidor están al 100 % sin un motivo evidente.
• Peticiones desde ubicaciones inusuales: si tu sitio está en español y de repente recibes miles de visitas desde China o Brasil, resulta sospechoso.

Protección con Cloudflare

Cloudflare es el servicio de protección DDoS más destacado y está disponible con un plan gratuito que cubre la protección básica. Así funciona:

Cómo protege Cloudflare tu sitio

Cloudflare actúa como intermediario entre tu sitio y los visitantes. Todo el tráfico pasa por la red de Cloudflare, con más de 300 centros de datos en todo el mundo. El tráfico malicioso se filtra antes de llegar a tu servidor.

• Red Anycast: distribuye el ataque entre muchas ubicaciones en lugar de que todo el tráfico golpee un único servidor.
• WAF (Web Application Firewall): filtra las peticiones maliciosas en la capa de aplicación.
• Rate Limiting: limita el número de peticiones por IP dentro de una ventana de tiempo.
• Bot Management: utiliza machine learning para distinguir a los visitantes legítimos de los bots.
• Under Attack Mode: un modo especial que muestra una página de desafío JavaScript antes de dar acceso, bloqueando la mayoría de los ataques automatizados.

Configurar Cloudflare

• Crea una cuenta gratuita en cloudflare.com.
• Añade tu dominio y cambia los nameservers en el registrador por los de Cloudflare.
• Activa el estado «Proxy» (nube naranja) en todos los registros DNS que quieras proteger.
• Establece el modo SSL en «Full (strict)» para el cifrado HTTPS.
• Configura el Security Level en «Medium» o «High» para los sitios sensibles.

Protección a nivel de hosting

Un proveedor de hosting de calidad es tu primera línea de defensa frente a un DDoS. Esto es lo que debes buscar:

• Cortafuegos de red: un firewall de hardware que filtra el tráfico malicioso antes de que llegue al servidor.
• Mitigación DDoS: detección y bloqueo automáticos de ataques DDoS a nivel de red.
• Aislamiento de cuentas: en el hosting compartido, CloudLinux/CageFS garantiza que un ataque a una cuenta no afecte a las demás.
• ModSecurity/WAF: un Web Application Firewall a nivel de servidor que protege frente a ataques de capa 7.
• Rate limiting: limitación del número de conexiones por IP en el servidor web (LiteSpeed/Apache).

Medidas de protección adicionales

A nivel de aplicación

• CAPTCHA en los formularios: impide los envíos automatizados de formularios. Google reCAPTCHA o hCaptcha son opciones gratuitas.
• Rate limiting en el login: limita el número de intentos de inicio de sesión (Wordfence para WordPress, Fail2ban en el servidor).
• Caché: las páginas cacheadas consumen muchos menos recursos por petición. Aprende más en nuestra guía sobre la velocidad del sitio, que hace que tu web sea más resistente a los ataques.
• Desactivar XML-RPC: en los sitios WordPress, xmlrpc.php es un objetivo de ataque habitual. Desactívalo si no lo usas.

A nivel de servidor

• Fail2ban: bloquea automáticamente las IP que muestran un comportamiento malicioso (demasiados inicios de sesión fallidos, demasiadas peticiones).
• Reglas de iptables/nftables: define reglas básicas para bloquear el tráfico evidentemente malicioso.
• TCP SYN cookies: protección a nivel de kernel frente a los ataques SYN Flood.
• Límites de conexión: limita el número máximo de conexiones simultáneas por IP.

¿Qué hacer durante un ataque DDoS?

• No te dejes llevar por el pánico: la mayoría de los ataques DDoS duran de unos minutos a unas horas. Rara vez se prolongan más de un día.
• Activa el Under Attack Mode de Cloudflare: si usas Cloudflare, habilita este modo de inmediato.
• Contacta con tu proveedor de hosting: avísale del ataque; puede aplicar medidas adicionales a nivel de red.
• Analiza los logs: revisa los logs de acceso para identificar patrones del ataque (rangos de IP, cadenas de user-agent, URL atacadas).
• Documenta el ataque: registra la hora de inicio, la duración, el tipo de ataque y las acciones tomadas para futuras referencias.

Conclusión

Los ataques DDoS son una realidad de internet hoy en día, y ningún sitio es totalmente inmune. Sin embargo, con las protecciones adecuadas (Cloudflare, un hosting de calidad, un WAF y unas buenas prácticas de seguridad básicas) puedes reducir significativamente el riesgo y minimizar el impacto del ataque. Prevenir siempre sale más barato que curar: pon las protecciones en marcha antes de necesitarlas. Consulta también nuestra guía completa de protección de sitios web.