Puntos clave
- Ningún dispositivo por sí solo puede derribar un servidor moderno. Los atacantes infectan miles de dispositivos IoT y ordenadores para crear «botnets» que disparan tráfico masivo y coordinado a una única IP.
- Intentar bloquear miles de IP a nivel de servidor mediante cortafuegos o Fail2Ban suele colapsar tu CPU antes incluso de que se detenga el ataque.
- Al utilizar nuestro complemento Cloudflare Enterprise, trasladas la lucha a una red global. Esto elimina el tráfico malicioso antes de que llegue a tu servidor, manteniendo tu sitio rápido y en línea.
Un aumento masivo del tráfico en un panel de control parece inicialmente una victoria de marketing. Luego los tiempos de carga de la página se arrastran. La base de datos se desconecta por completo. Esa interrupción repentina trae consigo una dura realidad. El sitio no se está volviendo viral. Se enfrenta a un ataque distribuido de denegación de servicio.
La reacción inmediata es casi siempre entrar en pánico y bloquear direcciones IP aleatorias. Ese enfoque manual fracasa porque ignora la mecánica real de la amenaza. Los atacantes se dirigen a capas de red específicas para romper diferentes recursos del servidor.
Una inundación volumétrica masiva requiere una estrategia de defensa completamente diferente a la de un asalto silencioso a la capa de aplicación disfrazado de tráfico web normal.
En esta guía, desglosaremos la mecánica de los ataques de Capa 3, 4 y 7. Exploraremos cómo funcionan y compararemos las técnicas tradicionales de mitigación manual con la protección automatizada de los bordes.
- ¿Qué es un ataque DDoS?
- ¿Cómo funcionan los ataques DDoS?
- Los 3 tipos principales de ataques DDoS
- 1. Ataques volumétricos (Capa 3 y Capa 4)
- 2. Ataques de protocolo (Capa 3 y Capa 4)
- 3. Ataques a la Capa de Aplicación (Capa 7)
- Técnicas tradicionales de mitigación de DDoS (el enfoque manual)
- Protección Anti-DDoS automatizada con Cloudways Cloudflare Enterprise
- Mitigación manual vs. Cloudways Cloudflare Enterprise DDoS Protection
¿Qué es un ataque DDoS?
Los ataques DDoS funcionan ahogando tu servidor en tráfico basura. Los atacantes envían enormes oleadas de peticiones falsas a tu sitio. Tu servidor intenta responder a todas ellas y al final no da abasto. Los visitantes reales se quedan fuera porque tu infraestructura está demasiado ocupada haciendo frente al ataque.
Un ataque tradicional utiliza un único ordenador para generar tráfico. Un administrador de red puede bloquear esa fuente solitaria en segundos. Un ataque distribuido de denegación de servicio escala el problema exponencialmente.
La avalancha de datos basura procede ahora de una red masiva de dispositivos comprometidos. Estas máquinas secuestradas se encuentran en diferentes países y funcionan en diferentes redes.
Una regla básica de cortafuegos falla completamente en este escenario. Bloquear una dirección IP incorrecta no consigue nada cuando la amenaza llega desde miles de fuentes únicas simultáneamente.
Protección DDoS para Empresas sin el Coste Premium
Detén los ataques antes de que lleguen a tu servidor de origen. Cloudways Cloudflare Enterprise despliega un WAF inteligente y una mitigación automatizada para mantener tu sitio rápido y en línea.
¿Cómo funcionan los ataques DDoS?
Un solo ordenador no puede derribar un servidor moderno. Los atacantes necesitan miles de dispositivos funcionando al mismo tiempo para causar daños reales. Lo consiguen infectando con malware cosas normales como routers domésticos, ordenadores de oficina y dispositivos inteligentes. Cada máquina infectada se convierte en un bot. Todo el grupo se denomina botnet.
Cuando la red de bots está lista, el atacante envía un comando a todos estos dispositivos a la vez. Cada bot empieza a inundar el objetivo con peticiones.
El objetivo es enterrar tu servidor bajo tráfico falso para que no pueda soportar a la gente real que intenta visitarlo. Cada bot utiliza un dispositivo real con una dirección IP legítima, lo que dificulta que los cortafuegos básicos detecten la diferencia. Tu servidor alcanza su límite de memoria o ancho de banda. Se bloquea o se paraliza, bloqueando a todos los demás.
Los 3 tipos principales de ataques DDoS
Todos los ataques DDoS pretenden desconectar tu sitio web, pero utilizan diferentes métodos para conseguirlo. Los equipos de seguridad los dividen en tres categorías en función de la parte de tu infraestructura que persiguen.
Para comprender estas categorías, primero tienes que entender el modelo OSI (Interconexión de Sistemas Abiertos). El modelo OSI es un marco conceptual que los ingenieros de redes utilizan para describir cómo funciona una red. Divide un sistema de red en siete capas distintas:
- Capa física
- Capa de enlace de datos
- Capa de red (Capa 3)
- Capa de Transporte (Capa 4)
- Capa de sesión
- Capa de presentación
- Capa de Aplicación (Capa 7)
Estas categorías son importantes porque cada una se dirige a un recurso diferente. Un ataque intenta maximizar tu ancho de banda. Otro va a por el software que ejecuta tu sitio.
Los tres tipos principales son:
- Ataques Volumétricos: Inundan tu conexión con cantidades masivas de tráfico. El objetivo es consumir todo tu ancho de banda para que no pueda pasar nada legítimo.
- Ataques de protocolo: Aprovechan la forma en que los dispositivos de red se comunican entre sí. Se dirigen a los recursos del servidor o al hardware, como cortafuegos y equilibradores de carga, hasta que esos sistemas se rinden.
- Ataques a la capa de aplicación: Son los más complicados. Se parecen a la actividad normal del usuario, pero se dirigen a partes específicas de tu sitio, como barras de búsqueda o formularios de inicio de sesión, para bloquear la aplicación.
1. Ataques volumétricos (Capa 3 y Capa 4)
Los ataques volumétricos son los DDoS más comunes que verás. La idea es básica: envía cantidades masivas de tráfico hasta que tu ancho de banda se obstruya por completo. Tu conexión se llena de basura y el tráfico real no puede pasar.
El tamaño del ataque se mide en bits por segundo (bps). Los atacantes potencian su impacto utilizando métodos de amplificación que convierten las pequeñas peticiones en gigantescas inundaciones de datos.
Inundación UDP
Una inundación UDP martillea los puertos de tu servidor con paquetes UDP. Tu servidor busca algo escuchando en esos puertos, no encuentra nada y devuelve un mensaje «ICMP Destino inalcanzable». Manejar todos estos paquetes consume rápidamente los recursos de tu servidor. Al final se rinde.
Inundación ICMP
A esto se le llama «inundación de ping». Descarga paquetes ICMP Echo Request en tu servidor sin parar. Tu servidor responde a cada uno de ellos con un ICMP Echo Reply. Tanto el ancho de banda entrante como el saliente se ven afectados. Tu servidor se entierra y deja de responder a todo lo demás.
Amplificación DNS
La amplificación de DNS hace que el tráfico de ataque sea mucho mayor. Los atacantes envían pequeñas peticiones a los servidores DNS públicos utilizando tu IP como remitente. Piden respuestas enormes, como volcados completos de registros DNS. El servidor DNS te envía todos esos datos a ti en lugar de al atacante. El pequeño tráfico se convierte en una inundación que ahoga tu red.
2. Ataques de protocolo (Capa 3 y Capa 4)
Los ataques de protocolo no se centran en inundar tu ancho de banda. Van a por las tablas de estado de conexión de tus servidores y hardware como cortafuegos o equilibradores de carga.
Estos ataques aprovechan el funcionamiento de los protocolos de red para consumir la capacidad de procesamiento de tu infraestructura.
Se miden en paquetes por segundo (pps). Se trata de utilizar todas las conexiones disponibles para que los usuarios reales se queden fuera.
Inundación SYN
Una inundación SYN rompe el handshake TCP normal. Un cliente envía SYN, tu servidor responde con SYN-ACK, luego el cliente envía ACK para completar la conexión. Los atacantes inundan tu servidor con paquetes SYN, pero nunca devuelven el ACK final. Tu servidor mantiene abiertas estas conexiones incompletas esperando algo que no llegará. Tus puertos disponibles se agotan y las conexiones legítimas no pueden pasar.
Ping de la muerte
El Ping de la Muerte es un ataque antiguo que todavía funciona a veces. Los atacantes envían paquetes de red más grandes de lo que permite el protocolo IP. Cuando tu servidor intenta unir estos fragmentos sobredimensionados, se produce un desbordamiento del búfer. Tu sistema se congela o se bloquea.
Ataques Pitufo y Lágrima
Los ataques pitufo y lágrima alteran la forma en que tu servidor gestiona los paquetes de datos.
Los ataques pitufos utilizan una dirección IP falsa para enviar paquetes ICMP a la dirección de difusión de una red. Cada dispositivo de esa red devuelve una respuesta a tu IP. Quedarás enterrado en el tráfico.
Los ataques «lágrima» envían paquetes IP troceados con desplazamientos superpuestos. Tu servidor intenta recomponer los trozos, pero los datos rotos bloquean tu sistema operativo.
3. Ataques a la Capa de Aplicación (Capa 7)
Los ataques a la capa de aplicación son más difíciles de detectar y bloquear. Las inundaciones volumétricas intentan atascar tu conexión con tráfico. Estos ataques persiguen el software real que se ejecuta en tu servidor. Imitan el comportamiento normal de los usuarios, lo que les permite eludir muchas de las herramientas de seguridad estándar.
El objetivo es agotar los recursos del servidor, como la CPU y la memoria, obligando a tu aplicación a trabajar más de la cuenta. Esto se mide en peticiones por segundo (rps).
Inundación HTTP
Una inundación HTTP funciona como si miles de personas actualizaran la misma página a la vez desde distintos dispositivos. Los atacantes lanzan toneladas de peticiones HTTP GET o POST a tu servidor. Tu servidor tiene que procesar cada una de ellas y cargar todos los archivos. Esto consume rápidamente la capacidad de procesamiento. Las peticiones parecen proceder de navegadores reales, por lo que atrapar la red de bots requiere un análisis más avanzado.
Slowloris
Slowloris es eficiente porque apenas utiliza ancho de banda. Abre un montón de conexiones a tu servidor web y las mantiene abiertas. Los atacantes envían peticiones HTTP incompletas que nunca terminan. Tu servidor sigue esperando el resto de los datos con estas conexiones atascadas abiertas. Al final alcanzas tu límite máximo de conexiones y no puedes aceptar a nadie más.
Ataques Bajos y Lentos
Los ataques bajos y lentos son el tipo silencioso de DDoS. En lugar de un enorme pico de tráfico, los atacantes envían un goteo constante de peticiones lentas. Esto pasa desapercibido para la mayoría de los sistemas de detección que buscan saltos repentinos. Las conexiones permanecen abiertas durante mucho tiempo, saturando lentamente los hilos del servidor hasta que tu aplicación ya no puede responder a los visitantes reales.
Si tu sitio web está construido con WordPress, los ataques de Capa 7 suelen dirigirse a vulnerabilidades específicas del CMS, como el archivo XML-RPC. Para una mitigación específica del CMS, consulta nuestra guía sobre la prevención de ataques DDoS a WordPress.
Técnicas tradicionales de mitigación de DDoS (el enfoque manual)
Muchos administradores intentan detener los ataques a nivel de servidor cuando notan un pico de tráfico. Este enfoque manual puede manejar pequeños problemas locales. Sin embargo, durante un DDoS real, estás luchando contra un enjambre automatizado con herramientas básicas. No funciona.
Cortafuegos a nivel de servidor y Fail2Ban
Herramientas como iptables o Fail2Ban vigilan los registros del servidor y bloquean las direcciones IP malas. Esto funciona bien si el ataque procede de un puñado de fuentes. En un ataque distribuido, tu servidor trata con miles de IP diferentes al mismo tiempo. Tu CPU gasta más recursos comprobando las reglas del cortafuegos que ejecutando realmente tu sitio. El servidor se bloquea porque defenderse consume demasiada energía.
Enrutamiento nulo (Blackholing)
El enrutamiento nulo es la opción nuclear. Cuando un ataque se hace lo suficientemente grande como para amenazar a todo el centro de datos, tu proveedor de alojamiento vierte todo el tráfico a tu dirección IP en un agujero negro. El ataque deja de golpear la red, pero tu sitio también queda completamente a oscuras. Básicamente, has terminado lo que empezó el atacante al cortar el acceso a todo el mundo.
Activación manual de Cloudflare (Limitación de la tasa y Modo Bajo Ataque)
Los usuarios estándar de Cloudflare suelen reaccionar manualmente durante los ataques. Detectan un pico en el panel de control y activan el«Modo Bajo Ataque» o crean reglas de limitación de velocidad en el acto.
El problema es el momento.
Para cuando recibas la alerta, te conectes y pulses el botón, puede que tu base de datos ya esté frita. Las respuestas manuales son reactivas. Los daños se producen antes de que puedas hacer nada al respecto.
Protección Anti-DDoS automatizada con Cloudways Cloudflare Enterprise
Combatir un ataque DDoS a nivel de servidor es como intentar detener una inundación con un solo cubo. Para cuando veas el pico de tráfico en tu panel de control, es probable que tu CPU ya esté al máximo.
Hemos integrado Cloudflare Enterprise en nuestra plataforma específicamente para alejar toda esta batalla de tu servidor de origen. En lugar de que tus recursos de alojamiento sufran el impacto, nuestra red global absorbe el impacto antes de que un solo paquete malicioso llegue siquiera a tu sitio.
Tenemos una guía detallada que te guía a través de los pasos completos para habilitar el addon Cloudflare Enterprise en Cloudways.
Protección de bordes L3 y L4 no medida
Cuando una inundación volumétrica masiva o un ataque SYN alcanza tu IP, nuestra protección de borde lo detiene al instante. Como esta protección no tiene contador, nunca tendrás que preocuparte por cargos sorpresa por exceso de consumo sólo porque un atacante te haya atacado.
Nosotros nos encargamos de la mitigación en el perímetro de la red. Esto mantiene la RAM y la CPU de tu servidor completamente libres para atender a los clientes reales. No tienes que supervisar registros ni escribir reglas de cortafuegos; nuestra infraestructura identifica y elimina el tráfico basura en segundos.
Mitigación Inteligente de Capa 7 (WAF y Gestión de Bots)
Los ataques de capa 7 son peligrosos porque imitan el comportamiento humano real. Un bot puede intentar colapsar tu sitio enviando spam a una barra de búsqueda o a una página de pago. Nuestros sistemas de gestión de bots y WAF de nivel empresarial utilizan análisis de comportamiento para detectar estos patrones.
A diferencia del «Modo Bajo Ataque» manual, nuestro sistema está siempre activado y es proactivo. Distingue entre un cliente legítimo y un bot malicioso sin que tengas que mover un dedo. Esto garantiza que tu aplicación siga siendo rápida y accesible, incluso bajo un ataque sofisticado.
Mitigación DDoS de nivel empresarial desde 4,99 $/Dominio
Detén el tráfico malicioso antes de que llegue a tu servidor. Cloudways Cloudflare Enterprise incluye un WAF avanzado, protección contra bots y mitigación automatizada de amenazas en un plan flexible por dominio.
Mitigación manual vs. Cloudways Cloudflare Enterprise DDoS Protection
| Función | Defensa manual a nivel de servidor | Cloudways Cloudflare Enterprise |
|---|---|---|
| Tiempo de reacción | Reactivo: Tienes que ver la alerta y conectarte para actuar. | Proactivo: Los ataques se bloquean en el borde en cuestión de segundos. |
| Carga del servidor | Alta: Tu CPU malgasta recursos filtrando tráfico malicioso. | Cero: El tráfico malicioso nunca llega a tu servidor de origen. |
| Previsibilidad de los costes | Variable: Las inundaciones masivas pueden provocar excesos de ancho de banda. | Fijo: La protección no medida está incluida en el complemento. |
| Ataques complejos | Pobre: Difícil distinguir manualmente los bots de los humanos. | Avanzados: Utiliza IA y WAF para identificar el comportamiento de los bots. |
| Disponibilidad del sitio | Alto riesgo: El enrutamiento nulo (blackholing) acaba con tu sitio. | Garantizada: Sólo se elimina el tráfico malicioso; tu sitio sigue activo. |
¡Terminando!
Comprender los distintos tipos de ataques DDoS es el primer paso para mantener tu sitio en línea. Tanto si se trata de una inundación masiva de Capa 3 como de un ataque silencioso de bots de Capa 7, el objetivo es siempre encontrar un cuello de botella en tu infraestructura y romperlo.
Confiar en las correcciones manuales a nivel de servidor es un riesgo enorme. Para cuando notes el pico de tráfico, es probable que tu servidor ya esté luchando por mantener la capacidad de respuesta.
En Cloudways, nuestro complemento Cloudflare Enterprise gestiona estas amenazas en el borde de la red. Esto significa que el tráfico malicioso se elimina antes de que llegue a tu servidor, manteniendo tu sitio rápido y accesible independientemente del volumen del ataque.
Q. ¿Es ilegal un ataque DDoS?
A. Sí. Ejecutar un ataque DDoS o contratar a alguien para que lo haga es un delito federal en la mayoría de los lugares. La Ley de Fraude y Abuso Informático de EEUU significa que te enfrentas a multas y penas de prisión, independientemente de a quién estés atacando.
Q. ¿Puede un cortafuegos detener un ataque DDoS?
A. En realidad, no. El típico cortafuegos de tu servidor puede bloquear algunas IP, pero un ataque distribuido inunda tanto tu servidor que sólo comprobar esas reglas de bloqueo se come toda tu CPU. El tráfico debe detenerse en el borde antes de que llegue a tocar tu servidor.
Q. ¿Cuánto duran los ataques DDoS?
A. Normalmente menos de una hora. Algunos duran días. Un ataque de cinco minutos puede tumbar tu servidor y dejarte arreglando bases de datos o reiniciando todo manualmente. El tiempo de inactividad ocurre de cualquier manera.
Q. ¿Quién corre el riesgo de sufrir un ataque DDoS?
A. Cualquiera que tenga una IP pública. Las grandes empresas sufren muchos ataques, pero muchos de ellos son sólo bots que buscan objetivos fáciles. Los sitios pequeños son atacados porque son fáciles de desconectar cuando alguien está probando una nueva red de bots.
Abdul Rehman
Abdul es un experto en tecnología, aficionado al café y al marketing creativo al que le encanta estar al día de las últimas actualizaciones de software y aparatos tecnológicos. También es un hábil escritor técnico capaz de explicar conceptos complejos de forma sencilla para un público amplio. Abdul disfruta compartiendo sus conocimientos sobre el sector de la Nube a través de manuales de usuario, documentación y entradas de blog.
