Ciberseguridad 101 — Amenazas y Ataques

¿Qué es un ataque DDoS?

Un ataque DDoS inunda su sitio web o servicio en línea con tráfico basura desde miles de fuentes a la vez, saturándolo hasta que los clientes reales no pueden acceder.

La definición en palabras sencillas

Ahogar un servicio en tráfico

DDoS significa denegación de servicio distribuida (Distributed Denial of Service). El objetivo no es robar sus datos ni entrar, sino dejar su sitio web, aplicación o servicio en línea fuera de línea saturándolo con tráfico. Imagine a miles de falsos clientes amontonándose a la vez en la puerta de entrada: los clientes reales no pueden pasar y, con el tiempo, la puerta cede. Eso es un ataque DDoS, llevado a la escala de internet.

La palabra "distribuida" es la clave. Un ataque de denegación de servicio simple proviene de una sola máquina y es bastante fácil de bloquear. Un ataque distribuido proviene de un ejército coordinado de dispositivos comprometidos —una "botnet"— repartidos por todo el mundo, de modo que la avalancha llega desde todas partes a la vez. Para una empresa, el impacto es directo e inmediato: una tienda fuera de línea, un proceso de pago roto o un portal de clientes inaccesible significan ingresos perdidos y clientes frustrados durante todo el tiempo que dure el ataque.

Cómo funciona

Botnets, avalanchas y amplificación

La mayoría de los ataques DDoS se apoyan en una botnet: un conjunto de computadoras, servidores y dispositivos del internet de las cosas —cámaras de seguridad, routers, electrodomésticos inteligentes— que fueron infectados con malware y pueden ser controlados de forma remota. El atacante (o un criminal que alquila la botnet por horas) ordena a cada dispositivo golpear su objetivo en el mismo instante. Como el tráfico proviene de miles de dispositivos reales y dispersos, no basta con bloquear una sola dirección y darlo por resuelto.

Los atacantes también usan la amplificación para golpear por encima de su tamaño: envían pequeñas solicitudes falsificadas a servidores públicos mal configurados que responden con respuestas mucho más grandes dirigidas a la víctima, convirtiendo una botnet modesta en una avalancha masiva. Algunos ataques simplemente agotan su ancho de banda; otros apuntan a la propia aplicación con solicitudes que parecen legítimas pero son costosas de procesar, como golpear repetidamente un cuadro de búsqueda. Cada vez más, el DDoS también se usa para la extorsión: paguen, o los mantendremos fuera de línea. Vale la pena señalar que un DDoS también puede ser una cortina de humo, manteniendo ocupado a su equipo mientras el atacante hace algo peor en silencio en otro lugar.

Tipos comunes

Las principales categorías de DDoS

Ataques volumétricos

Avalanchas de fuerza bruta que saturan el ancho de banda de su conexión con el puro volumen de tráfico, medido en gigabits o terabits por segundo.

Ataques de protocolo

Explotan debilidades en cómo se establecen las conexiones —como las inundaciones SYN— para agotar los recursos de servidores, firewalls y balanceadores de carga.

Ataques a la capa de aplicación

Imitan a usuarios reales para saturar una función específica (inicio de sesión, búsqueda, pago). Son de bajo volumen pero difíciles de distinguir del tráfico genuino.

Amplificación / reflexión

Abusan de servidores públicos para multiplicar una pequeña solicitud en una respuesta enorme dirigida a la víctima: un multiplicador de fuerza para el atacante.

DDoS de rescate

Un breve ataque de demostración seguido de una exigencia de pago, con la amenaza de una caída sostenida si no paga.

DDoS como cortina de humo

Un ataque ruidoso usado para distraer a su equipo de seguridad mientras una intrusión más silenciosa o una filtración de datos ocurre en otro lugar.

Cómo proteger su empresa

Mantenerse en línea bajo fuego

No puede impedir que alguien envíe tráfico, pero sí puede asegurarse de que se absorba antes de llegar a usted. La buena noticia para la mayoría de las pequeñas empresas: servicios asequibles se encargan del trabajo pesado.

  • Sitúese detrás de un servicio de mitigación de DDoS o una CDN. Proveedores como Cloudflare, Akamai o su proveedor de nube absorben y filtran el tráfico de ataque a través de una enorme red global antes de que llegue a sus servidores.
  • No exponga los servidores directamente. Mantenga ocultas las direcciones reales de sus servidores detrás de la capa de mitigación, para que los atacantes no puedan eludirla y atacarle directamente.
  • Incorpore margen y escalado automático. Una infraestructura en la nube que escala bajo demanda puede sobrellevar picos menores que aplastarían a un único servidor fijo.
  • Tenga listo un plan de respuesta. Conozca los contactos de emergencia de su proveedor y sus pasos antes de que ocurra un ataque; consulte respuesta a incidentes.
  • Vigile el segundo ataque. Tome un DDoS como una señal para estar atento a una intrusión más silenciosa que ocurra al amparo del ruido.

Para la mayoría de las pequeñas empresas, situar su sitio detrás de un proveedor de mitigación de buena reputación es el 90 % de la batalla: es económico y detiene automáticamente la gran mayoría de los ataques. Si no está seguro de cuán expuestos están sus servicios, una revisión rápida de su superficie de ataque es un buen punto de partida, y Red Hound puede ayudarle a mapearla.

Preguntas frecuentes

Preguntas comunes sobre DDoS

¿Qué es un ataque DDoS en términos sencillos?

Un ataque DDoS (denegación de servicio distribuida) inunda un sitio web o servicio en línea con tanto tráfico basura desde muchas fuentes a la vez que se ralentiza hasta arrastrarse o queda completamente fuera de línea para los usuarios legítimos.

¿Cuál es la diferencia entre DoS y DDoS?

Un ataque DoS proviene de una sola fuente, lo que es relativamente fácil de bloquear. Un ataque DDoS se distribuye entre miles de dispositivos comprometidos (una botnet), lo que lo hace mucho más difícil de filtrar porque el tráfico llega desde todas partes a la vez.

¿Un ataque DDoS significa que robaron mis datos?

Normalmente no de forma directa: un DDoS busca afectar la disponibilidad, no robar. Pero los atacantes a veces usan un DDoS como una distracción ruidosa para encubrir una intrusión aparte, así que un DDoS debería llevarle a vigilar otras actividades sospechosas.

¿Cómo protejo mi empresa de los ataques DDoS?

Coloque su sitio detrás de un proveedor de mitigación de DDoS o de una CDN, asegúrese de que su alojamiento pueda absorber los picos, tenga un plan de incidentes con los contactos de emergencia de su proveedor y evite exponer servidores directamente a internet sin protección.

Relacionado

Siga aprendiendo

  • Malware — lo que convierte a los dispositivos en las botnets detrás del DDoS.
  • Firewall — una capa de defensa de red (y un objetivo de los ataques de protocolo).
  • Superficie de ataque — saber qué está expuesto a internet.
  • Respuesta a incidentes — su plan para mantenerse en línea durante un ataque.

Obtenga gratis la Lista de Verificación de Seguridad para PYMES

Una lista breve y en lenguaje claro de los controles fundamentales —incluido el alojamiento resiliente y la protección en el borde— que toda pequeña empresa debería tener.

Obtener la lista gratuita

O reciba consejos de seguridad en lenguaje claro por correo: