Ataques DDoS: Qué son y cómo prevenirlos

Cómo funcionan los ataques DDoS

Un ataque DDoS utiliza miles o millones de dispositivos comprometidos (botnet) para enviar peticiones simultáneas a tu servidor. Cada petición individual es legítima, lo que dificulta distinguir el tráfico de ataque del tráfico real. La avalancha de peticiones agota los recursos del servidor: CPU, RAM, ancho de banda o conexiones simultáneas.

Los dispositivos de la botnet suelen ser ordenadores, routers, cámaras IP y otros dispositivos IoT infectados con malware que sus propietarios desconocen. El atacante controla la botnet de forma centralizada y puede dirigirla contra cualquier objetivo.

La potencia de los ataques se mide en Gbps (gigabits por segundo) para ataques volumétricos y en peticiones por segundo (RPS) para ataques a la capa de aplicación. Un hosting estándar puede caer con ataques de apenas 1-5 Gbps, mientras que los ataques más grandes superan los 1 Tbps.

Tipos de ataques DDoS

Los ataques volumétricos (capa 3/4) inundan la conexión de red con tráfico masivo. UDP floods, ICMP floods y DNS amplification son los más comunes. Funcionan enviando paquetes de datos a un volumen que supera la capacidad del ancho de banda del servidor.

Los ataques de protocolo explotan debilidades en los protocolos de red. SYN floods envían millones de peticiones de conexión TCP sin completarlas, agotando la tabla de conexiones del servidor. Estos ataques son efectivos incluso con poco ancho de banda.

Los ataques a la capa de aplicación (capa 7) son los más sofisticados. Imitan tráfico legítimo enviando peticiones HTTP normales pero en volumen masivo. HTTP floods contra la página de login o de búsqueda de un sitio son difíciles de distinguir del tráfico real y pueden derribar un sitio con relativamente pocas peticiones si cada una consume muchos recursos del servidor.

• Volumétricos (L3/L4): UDP flood, DNS amplification, NTP reflection
• Protocolo: SYN flood, Ping of Death, Smurf attack
• Aplicación (L7): HTTP flood, Slowloris, RUDY
• Multi-vector: combinación de varios tipos simultáneamente

Cómo detectar un ataque DDoS

La señal más obvia es una caída repentina del sitio web acompañada de un aumento masivo en el tráfico. Sin embargo, no toda caída es un DDoS: un artículo viral, una mención en televisión o un pico de ventas pueden generar tráfico legítimo que también satura el servidor.

Para distinguir un DDoS del tráfico legítimo, analiza el patrón: ¿el tráfico proviene de un rango limitado de IPs o de miles de IPs distribuidas geográficamente? ¿Las peticiones van a una página específica repetidamente? ¿El User-Agent es sospechoso o está vacío? ¿El tráfico proviene de países donde no tienes clientes?

Las herramientas de monitorización como Cloudflare Analytics, tu panel de hosting o aplicaciones como Datadog muestran gráficos de tráfico en tiempo real. Un pico vertical en el gráfico que no correlaciona con ninguna campaña o evento es un indicador fuerte de ataque.

Cómo protegerse de ataques DDoS

Cloudflare es la solución más accesible de protección DDoS. Su plan gratuito ya incluye protección contra ataques DDoS en capa 3/4 ilimitada. Para protección en capa 7 y reglas personalizadas, necesitas el plan Pro (20 $/mes) o Business (200 $/mes).

Al usar Cloudflare como proxy inverso, el tráfico pasa por sus servidores antes de llegar al tuyo. Cloudflare absorbe los ataques volumétricos en su red global (más de 300 centros de datos) y solo deja pasar el tráfico legítimo. Es crucial ocultar la IP real de tu servidor para que los atacantes no puedan bypass Cloudflare.

Para protección adicional, configura rate limiting para limitar las peticiones por IP y segundo. Si una IP envía más de 100 peticiones por minuto a tu página de login, probablemente no es un usuario legítimo. El modo «Under Attack» de Cloudflare activa un challenge JavaScript que filtra bots automatizados.

• Cloudflare: protección DDoS L3/L4 gratuita, L7 desde el plan Pro
• Rate limiting: limitar peticiones por IP (100/min para páginas normales)
• Challenge pages: verificación de humanos durante ataques activos
• Ocultar IP real del servidor: cambiar IP después de configurar Cloudflare
• Lista blanca/negra de IPs y países en el firewall

Qué hacer durante un ataque DDoS

Si usas Cloudflare, activa el modo «Under Attack» inmediatamente. Esto presenta un challenge de 5 segundos a cada visitante que filtra la mayoría de bots. Si el ataque persiste, configura reglas de firewall para bloquear los patrones de tráfico malicioso identificados.

Contacta a tu proveedor de hosting para informar del ataque. Muchos proveedores tienen protección DDoS adicional que pueden activar bajo demanda. Si tu hosting no puede manejar el ataque, considera migrar temporalmente a un servicio con protección DDoS nativa.

No negocies con los atacantes si recibes una demanda de rescate (ransom DDoS). Pagar no garantiza que el ataque se detenga y te marca como un objetivo dispuesto a pagar, invitando a futuros ataques. Invierte ese dinero en protección permanente.

Plan de acción preventivo

No esperes a sufrir un ataque para implementar protección. El coste de la protección preventiva (Cloudflare Pro: 20 $/mes) es insignificante comparado con el coste de una hora de downtime para un negocio online. Configura Cloudflare, rate limiting y monitorización antes de que los necesites.

Mantén una lista actualizada de contactos de emergencia: soporte del hosting (con número de cuenta), soporte de Cloudflare, tu desarrollador o equipo de mantenimiento. Durante un ataque necesitas comunicarte rápidamente, no buscar datos de contacto.

Documenta un runbook con los pasos a seguir durante un ataque: quién activa qué, en qué orden, y cómo verificar que la mitigación funciona. Un proceso claro reduce el tiempo de respuesta de horas a minutos.