Las empresas, sin importar su tamaño o sector, son vulnerables a los ataques DDoS (De Denegación de Servicio Distribuido). Este tipo de ciberataque interrumpe la disponibilidad de las aplicaciones y, además, desvía la atención de los equipos de seguridad y los distrae de amenazas aún más graves.
Con el tiempo, las amenazas en ciberseguridad se volvieron más complejas y sofisticadas, especialmente en los últimos dos años. Sin embargo, algo que no cambió es que los ciberdelincuentes aún utilizan los ataques DDoS como una de sus tácticas más frecuentes para vulnerar organizaciones.
¿Qué es un ataque DDoS?
El acrónimo DDoS hace referencia a Denegación de Servicio Distribuida, y como su nombre lo indica, los ciberdelincuentes que llevan a cabo un ataque DDoS utilizan múltiples dispositivos distribuidos a través de Internet para lanzar la ofensiva.
En efecto, el objetivo de un ataque DDoS es saturar el servicio atacado con tantas solicitudes de acceso o tanto tráfico de red que los servidores que hospedan el sitio web o la aplicación objetivo no puedan responder a todos.
Un método común para llevar a cabo ataques DDoS es utilizar un ejército de botnets para enviar solicitudes o generar tráfico de red simultáneamente, con el objetivo de interrumpir el funcionamiento del sistema afectado. Los dispositivos que integran estas botnets suelen ser servidores u ordenadores infectados con malware, o bien dispositivos del Internet de las Cosas (IoT) mal protegidos que presentan vulnerabilidades que permiten su secuestro.
Como detalla el Departamento de Seguridad Nacional de los Estados Unidos (DHS), e las tácticas más utilizadas para dejar fuera de combate a recursos clave en Internet. El ataque clásico de DDoS apunta, por ejemplo, a interrumpir el funcionamiento de un sitio web de una institución financiera, con el fin de bloquear temporalmente la capacidad de los usuarios para realizar operaciones bancarias en línea.
Pero no todos los DDoS son tan evidentes: algunos están diseñados con un fin más estratégico y buscan inhabilitar un recurso crítico durante un momento clave.
Este tipo de ataques no fue ajeno a instituciones de peso. Golpearon a entidades financieras, medios de comunicación, proveedores de servicios de seguridad onlie y agencias gubernamentales.
Todas las organizaciones que dependen de los recursos en red son potenciales víctimas de estos ataques, que van más allá de una simple interrupción técnica y pueden tener consecuencias muy profundas en la economía y la seguridad.
Eduard Bardají, cofundador y CEO de ESED – Cyber Security & IT Solutions definió que:
DDoS es una derivación de DoS. DoS = Denial of Service, DDoS = Distributed Denial of Service. La diferencia es que en un DDoS, el tráfico para tumbar un servicio viene de muchos sitios distintos, por lo tanto, está distribuido.
Clasificación de los ataques DDoS
Los ataques DDoS emplean diversas técnicas para interrumpir sitios web y aplicaciones, y pueden clasificarse en las siguientes categorías:
Ataque DDoS de protocolo
Su objetivo es consumir y agotar los recursos de servidores o equipos intermedios, como los firewalls. Un ejemplo común de este tipo de ataque es el DDoS conocido como inundación SYN (SYN flood).
A diferencia de otros ataques que explotan vulnerabilidades de seguridad en el sitio web, en este caso el atacante busca saturar el servidor con un volumen elevado de solicitudes.
Esta modalidad se caracteriza por el envío simultáneo de múltiples paquetes de sincronización (SYN) desde diferentes máquinas hacia el servidor objetivo, que responde con paquetes de reconocimiento (SYN-ACK).
Sin embargo, el atacante no completa el proceso de apretón de manos de tres vías al no enviar el paquete ACK. De este modo, el servidor de la víctima queda esperando, lo que finalmente agota sus recursos y disminuye su rendimiento.
Ataque DDoS volumétricos
En estos ataques, el atacante consume todo el ancho de banda disponible. Esto genera congestión en la red con grandes volúmenes de tráfico. Como resultado, los usuarios legítimos no pueden acceder al servidor o sitio web objetivo.
La mayoría de los ataques DDoS son de tipo volumétrico, y su intensidad puede oscilar entre los 20 gigabits por segundo y los 2 terabits por segundo. Un ejemplo común de este tipo de ataque es la amplificación DNS (Sistema de Nombres de Dominio), en la que los atacantes manipulan las solicitudes DNS, enviando pequeñas peticiones falsas con la dirección IP del objetivo.
El servidor, al identificar erróneamente al objetivo como el origen de las solicitudes, envía una respuesta amplificada, lo que provoca una sobrecarga en el servidor de destino.
Ataque DDoS a nivel de aplicación
Estos ataques están diseñados para sobrecargar las aplicaciones con solicitudes maliciosas, y se miden en términos de solicitudes por segundo (RPS). También conocidos como ataques DDoS de capa 7, están dirigidos a explotar vulnerabilidades específicas de las aplicaciones web, lo que puede ocasionar su caída. Aunque son más fáciles de lanzar, estos ataques resultan más complejos de prevenir y mitigar.
¿Cuál es el propósito de los Ataque DDoS?
Las razones detrás de estos ataques se pueden agrupar en varias categorías principales:
- Financiero: Los atacantes buscan obtener una ganancia económica directa.
- Distraer a la víctima: Puede tener como objetivo desviar la atención del personal de TI y de seguridad, para permitir la ejecución de otros ataques cibernéticos simultáneamente. Entre estos se incluyen la instalación de malware o ataques de phishing.
- Ideológicos o políticos: En muchos casos, se dirigen contra organizaciones con las que los atacantes tienen desacuerdos ideológicos o políticos. Este tipo de acción se asocia comúnmente al ciberactivismo o hacktivismo.
- Espionaje industrial: También pueden ser utilizados como una estrategia para debilitar a competidores, en el marco de una guerra de negocios o espionaje corporativo.
Cómo protegerse de los Ataque DDoS
La protección contra ataques de denegación de servicio distribuido se basa generalmente en cuatro pasos fundamentales:
- Detección temprana: Contar con sistemas y herramientas que permitan identificar rápidamente actividades sospechosas o anómalas asociadas con un ataque DDoS es esencial para actuar a tiempo.
- Desviación: Todo tráfico identificado como DDoS debe ser redirigido hacia rutas alternativas para minimizar el impacto en los servidores de destino.
- Filtración: Es clave eliminar el tráfico malicioso en distintos puntos de la red para evitar que llegue a los servidores y cause interrupciones en el servicio.
- Análisis: Es necesario revisar exhaustivamente todos los datos relacionados con un ataque DDoS y su manejo. Esto permite actualizar los sistemas y procedimientos, y cerrar posibles brechas en las defensas.
Además de estos pasos, existen otras recomendaciones y estrategias clave para fortalecer la seguridad:
- Contar con personal especializado: Tener a disposición equipos capacitados para gestionar ataques DDoS es fundamental para garantizar la continuidad de las operaciones de los recursos web.
- Implementar soluciones profesionales: Es importante recurrir a herramientas avanzadas contra ciberamenazas que brinden protección ante ataques de esta naturaleza.
- Monitorear el tráfico de Internet: Utilizar herramientas de monitoreo de redes y aplicaciones permite conocer el comportamiento habitual del tráfico web. Esto facilita la detección de anomalías que puedan indicar un ataque.
- Preparar una estrategia de emergencia: Tener un plan de contingencia bien definido es vital para poder restaurar rápidamente los servicios críticos del negocio en caso de sufrir un ataque DDoS.
Datos sobre la actualidad de los ataques DDos
Su impacto crece año tras año y un informe sobre amenazas de Cloudflare, publicado recientemente, así lo revela: con estadísticas alarmantes sobre cómo estos ataques evolucionaron durante 2024.
Crecimiento imparable de los ataques DDoS
Según un reporte difundido por Cloudflare, empresa bloqueó el año pasado alrededor de 21,3 millones de ataques DDoS, lo que representa un aumento del 53% respecto al año anterior. Esto se traduce en un promedio de 4.870 ataques bloqueados por hora, lo que subraya la magnitud del desafío que enfrentan las redes y sistemas de seguridad. En términos de volumen, el panorama también es preocupante: los ataques DDoS aumentaron en intensidad. Más de 420 de ellos alcanzaron velocidades de más de 1 Terabit por segundo (Tbps) en el cuarto trimestre, un aumento intertrimestral del 1.885%.
Ataques hipervolumétricos: el nuevo récord
Uno de los aspectos más notables en los últimos tiempos son los ataques DDoS de tipo hipervolumétrico, aquellos que superan los 1 Tbps o 100 millones de paquetes por segundo (pps). En el cuarto trimestre de 2024, estos ataques aumentaron un asombroso 1.885% y marcaron una tendencia de crecimiento alarmante.
Además, el ataque DDoS más grande registrado en la historia, con un tamaño de 5,6 Tbps, se produjo en octubre, cuando una botnet de la variante Mirai logró lanzar un ataque masivo en solo 80 segundos. Afortunadamente, los sistemas de defensa de Cloudflare bloquearon este ataque de forma completamente autónoma, sin intervención humana.
Orígenes de los ataque DDoS
En el último trimestre de 2024, según el informe de Cloudflare, Indonesia todavía es el mayor origen de los ataques, seguido por Hong Kong y Singapur. Sin embargo, los ataques no solo se originan en áreas con infraestructura tecnológica avanzada.
Dispositivos como televisores inteligentes y decodificadores, que forman parte del creciente Internet de las Cosas (IoT), también son aprovechados para lanzar ataques DDoS, como se evidenció en los agentes de usuario identificados en el cuarto trimestre, como el HITV_ST_PLATFORM. Este agente está asociado con estos dispositivos, lo que resalta la importancia de proteger todos los dispositivos conectados a Internet para evitar que sean explotados en ciberataques.
La evolución de las técnicas de los ataques DDoS
Los vectores de ataque de capa 3 y capa 4 (red) siguen siendo predominantes, con las inundaciones SYN, ataques DNS y las inundaciones UDP como los más comunes. No obstante, en el último trimestre de 2024, los ataques basados en Memcached experimentaron un crecimiento intertrimestral del 314%, lo que refleja la sofisticación de los ciberdelincuentes en la explotación de vulnerabilidades de servicios como estos.
A su vez, los ataques DDoS basados en BitTorrent aumentaron un 304%. Estos aprovecharon la popularidad de protocolos de intercambio de archivos para amplificar el impacto de los ataques.
Empresas que sufrieron ataques DDoS en 2024
DeepSeek
En enero de 2025, la plataforma de inteligencia artificial DeepSeek, originaria de China, denunció una serie de ataques maliciosos a gran escala tras convertirse en la aplicación más descargada en las tiendas de Apple y Google.
Los usuarios experimentaron dificultades para registrarse debido a fallos en los enlaces de verificación, lo que los expertos en seguridad atribuyeron a posibles ataques DDoS o intentos masivos de acceso no autorizado
En 2024, varias empresas de alto perfil sufrieron ataques DDoS (Denial of Service Distribuido), que afectaron la disponibilidad de sus servicios. Aquí tienes una lista de algunas de las más conocidas que fueron atacadas:
Microsoft
Fue blanco de múltiples ataques DDoS en 2024, en su plataforma Azure y en otros servicios en la nube. Estos ataques afectaron la conectividad a algunos de sus productos, aunque la compañía fue capaz de mitigarlos rápidamente gracias a sus sistemas de defensa avanzados.
Internet Archive
Entre el 8 y el 10 de octubre de 2024, Internet Archive experimentó varios ataques DDoS que interrumpieron temporalmente el acceso a su sitio web. Además, el 9 de octubre, se reportó una filtración de datos que expuso información de aproximadamente 31 millones de usuarios: se filtraron direcciones de correo electrónico, nombres de usuario y contraseñas encriptadas
El grupo hacktivista BlackMeta se atribuyó la responsabilidad de los ataques DDoS, aunque la identidad de los responsables de la filtración de datos no se confirmó.
Telegram y WhatsApp
El 21 de agosto de 2024, un masivo ataque DDoS dejó a muchos usuarios en Rusia sin acceso a aplicaciones populares como Telegram y WhatsApp. Según informó el servicio estatal de monitoreo de comunicaciones de Rusia, el ataque afectó también a otras plataformas de gran uso como Wikipedia, Skype y Discord.
Bélgica enfrenta ciberataques rusos
A principios de octubre de 2024, Bélgica fue blanco de ciberataques atribuidos al grupo prorruso NoName057. Estos ataques afectaron sitios web de puertos y administraciones locales durante dos días consecutivos. Justo coincidió con el anuncio del gobierno belga de la compra de cañones César para Ucrania. Aunque los ataques denegación de servicio distribuido no fueron peligrosos, generaron preocupación debido a su proximidad a las elecciones municipales del 13 de octubre.
Más atrás en el tiempo…
Octubre de 2023: Google logra frenar el mayor ataque DDoS de la historia
En octubre de 2023, Google dio a conocer que había logrado mitigar lo que se consideraba el mayor ataque de denegación de servicio distribuido (DDoS) registrado hasta ese momento. Este ataque, de tipo HTTP/2 Rapid Reset, alcanzó un impresionante pico de 398 millones de solicitudes por segundo (RPS), una cifra récord que dejó atrás a cualquier otra amenaza en la historia de la ciberseguridad.
El ataque aprovechó una vulnerabilidad del protocolo HTTP/2, que es fundamental para la manera en que los navegadores se comunican con los sitios web. Este protocolo permite a los navegadores solicitar diversos contenidos, como texto o imágenes.
Sin embargo, en este tipo de ataques, los cibercriminales enviaron miles de solicitudes a un servidor y luego las cancelaron de inmediato, repitiendo el proceso de manera constante. La intención de los atacantes era sobrecargar los servidores y dejarlos fuera de línea.
Las mejores soluciones contra ataques DDoS: reseñas de Gartner
Las mejores opciones disponibles en el mercado según las reseñas de Gartner:
Cloudflare DDoS Protection
- Con una calificación de 4.5 sobre 5, Cloudflare DDoS Protection es una de las opciones más recomendadas por los usuarios y expertos en ciberseguridad. Esta solución, además de proteger ataques DDoS, también optimiza el rendimiento de las aplicaciones y redes. Reduce la latencia y mejora la experiencia de usuario.
Radware DefensePro
- Es otra de las soluciones más destacadas en el mercado, con una calificación de 4.6 sobre 5. Esta plataforma se caracteriza por su capacidad de reducir ataques en tiempo real mediante el análisis de tráfico y la detección automática de amenazas. Radware combina tecnologías de aprendizaje automático y análisis predictivo para anticiparse a los ataques DDoS. Brinda una protección avanzada a centros de datos físicos, virtuales y en la nube.
Imperva DDoS Protection
- Con una calificación de 4.6 sobre 5, Imperva DDoS Protection brinda una opción integral para proteger aplicaciones, API y datos críticos. Combina la seguridad en el perímetro de la red con la protección de aplicaciones. Esto la convierte en una opción ideal para empresas que buscan una defensa contra múltiples tipos de ciberamenazas. Además de mitigar ataques DDoS, Imperva también se especializa en la protección contra ataques de bots, vulnerabilidades de aplicaciones web y pérdida de datos.
Microsoft Azure DDoS Protection
- Para las empresas que ya están inmersas en el ecosistema de Microsoft, Azure DDoS Protection es una buena opción. Con una calificación de 4.4, permite defender aplicaciones en la nube de Azure frente a ataques DDoS masivos. Se integra de manera fluida con otras soluciones de seguridad en la nube.
Akamai Edge DNS
- Es otra de las soluciones más valoradas en Gartner, con una calificación de 4.5. Su Edge DNS se destaca por ofrecer una protección consistente contra ataques DDoS a nivel perimetral. Puede dispersar el tráfico de manera eficiente y reducir la presión sobre los servidores y evitando la sobrecarga. Además, su plataforma Akamai Connected Cloud asegura un alto rendimiento y disponibilidad.
Recursos para profundizar acerca de los ataques de denegación de serivicio
El Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos abordó los ataques de denegación de servicio distribuido (DDoS) en varias de sus publicaciones a lo largo de estos años.
Guía sobre el intercambio resiliente de tráfico interdominio:
En la Publicación Especial 800-189, titulada “Resilient Interdomain Traffic Exchange: BGP Security and DDoS Mitigation”, el NIST proporciona recomendaciones técnicas para tecnologías que facilitan un intercambio resiliente de tráfico interdominio. Se abordan tecnologías como la Infraestructura de Clave Pública de Recursos (RPKI), la validación de origen BGP (BGP-OV) y el filtrado de prefijos para mitigar ataques DDoS que utilizan direcciones IP falsificadas y técnicas de reflexión-amplificación.
Consideraciones para la gestión de riesgos en dispositivos IoT:
En el informe “Consideraciones para la gestión de riesgos a la ciberseguridad y la privacidad de los dispositivos de IoT”, el NIST destaca la importancia de proteger la seguridad de los dispositivos para evitar que sean utilizados en ataques DDoS contra otras organizaciones, intercepten tráfico de red o comprometan dispositivos en el mismo segmento de red.
Actividades fundamentales de ciberseguridad para fabricantes de dispositivos IoT:
La publicación interna 8259 del NIST, “Actividades fundamentales de ciberseguridad para los fabricantes de dispositivos de IoT”, ofrece recomendaciones para que los fabricantes mejoren la seguridad de los dispositivos IoT. Se enfatiza la necesidad de evitar que los dispositivos sean utilizados en ataques DDoS, entre otras amenazas.
FAQs: preguntas frecuentes sobre ataques DDoS
¿Cómo pueden los ataques DDoS afectar la reputación de una empresa en el sector TIC?
Los ataques DDoS interrumpen el acceso a servicios y generan desconfianza en los clientes. Esto afecta la lealtad de los usuarios y la imagen de la marca a largo plazo.
¿Cuáles son los costos asociados con la implementación de soluciones DDoS para pequeñas y medianas empresas?
Las soluciones DDoS pueden variar en precio según la escalabilidad y las características ofrecidas, pero para las pymes, opciones como protección en la nube son más accesibles y permiten escalabilidad según el crecimiento del negocio.
¿Qué tecnologías emergentes están ayudando a mitigar los ataques DDoS de alto volumen (más de 1 Tbps)?
Tecnologías como la IA y el aprendizaje automático, implementadas en plataformas de defensa DDoS como Radware, permiten mitigar ataques de gran escala al analizar patrones de tráfico y detectar anomalías en tiempo real.
¿Qué medidas preventivas deben adoptar las empresas del sector TIC para proteger sus dispositivos IoT contra ataques DDoS?
Las empresas deben implementar autenticación robusta, actualizar regularmente el firmware de los dispositivos IoT y utilizar redes segmentadas para reducir la superficie de ataque y prevenir su secuestro en ataques DDoS.
