Tipos de ataques DDoS y cómo prevenirlos

De todas las ciberamenazas, los ataques de denegación de servicio distribuido (DDoS) y sus tipos se encuentran entre los más insidiosos y extendidos. Según un informe, en 2022 se produjo un aumento del 74 en el número de ataques DDoS en comparación con años anteriores. Incluso en una fase incipiente, las organizaciones deben tomar medidas para prevenir los ataques DDoS. La protección DDoS es importante ya que permite a los actores maliciosos inundar una red con tráfico causando su cierre permanente o temporal. La sobrecarga de tráfico interrumpe la conectividad, impidiendo que los usuarios legítimos visiten su sitio web.

Fundamentalmente, un ataque DDoS o ataque distribuido de denegación de servicio es un ciberdelito en el que los hackers pretenden colapsar una red o un servidor sobrecargándolo con tráfico falso. El pico imprevisto de mensajes, solicitudes de conexión o paquetes de datos desborda el sistema atacado, provocando su ralentización o apagado. El motivo de los autores o hacktivistas de los distintos tipos de ataques DDoS suele ser inundar la red o el sistema del objetivo con solicitudes para impedir las operaciones comerciales o hacer que el sitio web o la aplicación sean inaccesibles para los usuarios previstos.

Otros motivos pueden ser manipular a los objetivos para que paguen un cuantioso rescate, interrumpir el servicio por rivalidad profesional, obstaculizar la imagen de marca o distraer al equipo de respuesta a incidentes para que intente un ataque mayor. Estos ataques han evolucionado a lo largo de los años, lo que los hace más difíciles de defender. Sin embargo, con la estrategia adecuada y un conocimiento exhaustivo de estos ataques, se puede mitigar su impacto. Esto puede llevar a otras formas de ciberdelincuencia como el phishing y la suplantación de identidad, que pueden mitigarse si se utilizan SPF, DKIM y DMARC.

En este artículo, le mostraremos varios tipos de ataques DDoS y estrategias para salvaguardar sus activos digitales y mantener las operaciones empresariales ininterrumpidas en el mundo hiperconectado de hoy en día. El impacto de un ataque DDoS IP puede ser significativo, incluyendo pérdida de ingresos, reputación dañada e incluso responsabilidad legal. Además, la frecuencia e intensidad de estos ataques están aumentando, por lo que es crucial que los administradores de red y los profesionales de la seguridad comprendan su naturaleza y consecuencias.

Varios tipos de ataques DDoS

Aunque la premisa básica de todos los ataques DDoS es la misma, es decir, atascar la infraestructura informática de la víctima con tráfico y obstaculizar las operaciones, pueden ejecutarse de varias maneras. Estos diferentes tipos de ataques DDoS se clasifican según las capas de conexión de red a las que se dirigen, lo que puede alterar significativamente la forma en que se detectan y se defienden contra ellos. Normalmente se dividen en tres categorías principales: Ataques volumétricos, Ataques de protocolo y Ataques de capa de aplicación.

• Ataques volumétricos: Su objetivo es consumir todo el ancho de banda disponible entre el objetivo y el resto de Internet. Disminuyen el ancho de banda de su sitio web utilizando técnicas de amplificación. Es difícil detectarlos, ya que el tráfico parece proceder de varias direcciones IP. Algunos ejemplos son las inundaciones UDP y las inundaciones ICMP.
• Ataques de protocolo: Se centran en consumir recursos del servidor o de equipos de comunicación intermedios, como cortafuegos y equilibradores de carga. Algunos ejemplos son las inundaciones SYN y los ataques Ping of Death.
• Ataques a la capa de aplicación: Se dirigen a aplicaciones o servicios específicos explotando vulnerabilidades (como SIP, servicios de voz, BGP) o abrumándolos con peticiones aparentemente legítimas, inhabilitando la capacidad de la aplicación para entregar contenidos. Las inundaciones HTTP son un ejemplo común.

Algunos ejemplos comunes de tipos específicos de ataques DDoS y sus ejemplos en la vida real incluyen:

Ataque de reflexión CLDAP

Un ataque de Reflección CLDAP es uno de los tipos más comunes y fatales de ataques DDoS, con el impacto de nuevos exploits disparándose hasta 70 veces en los últimos años. El ataque tiene como objetivo el Protocolo Ligero de Acceso a Directorios sin Conexión (CLDAP), que es una alternativa al LDAP (Protocolo Ligero de Acceso a Directorios).

En este ataque, el atacante utiliza una dirección IP de remitente falsa de la víctima para iniciar peticiones a un servidor LDAP vulnerable. El servidor vulnerable responde entonces a la IP de la víctima con respuestas amplificadas, provocando así un ataque por reflexión. Se trata de un tipo de ataque volumétrico.

El ataque DDoS de AWS: 2020

En 2020, Amazon Web Services Inc. reveló que consiguió esquivar 2,3 terabytes por segundo de denegación de servicio distribuida, el mayor golpe en la historia de los ataques DDoS. Según el informe de AWS, este ataque se basó en un ataque de reflexión DDoS CLDAP, orquestado para interrumpir las operaciones de la app o sitio web inundando el objetivo con un volumen masivo de peticiones.

Ataque DDoS a Memcached

Como cualquier otro tipo de ataque DDoS, un ataque DDoS Memcached es un ataque en el que el actor de la amenaza abruma el servidor del objetivo con tráfico de Internet. 

En este ataque, el atacante aprovecha una dirección IP falsificada para explotar un servidor memcached UDP vulnerable con pequeñas consultas para obtener respuestas amplificadas dirigidas a la dirección IP de la víctima, dando la impresión de que las peticiones proceden de la propia víctima. Este es otro ejemplo de ataque volumétrico basado en la reflexión.

El ataque DDoS a GitHub: 2018

En 2018, un ataque DDoS tuvo como objetivo GitHub, que es una plataforma de gestión de código en línea utilizada por desarrolladores de todo el mundo. El ataque envió a los servidores de GitHub al frenesí con la friolera de 1,2 Tbps de tráfico, enviado a una velocidad de 126,9 millones por segundo.. El origen del ataque se rastreó hasta más de mil sistemas autónomos (ASN) distintos repartidos en decenas de miles de terminales individuales.

Ataque DDoS HTTPS

Un ataque de inundación HTTP, también conocido como ataque DDoS de Capa 7 (un ataque de Capa de Aplicación), aprovecha una petición HTTP GET o POST aparentemente legítima para sobrecargar un servidor o una aplicación. En lugar de enviar paquetes grandes, un atacante envía muchas peticiones a través de una conexión HTTP/HTTPS. Esto resulta en un alto uso de CPU y consumo de memoria en el host objetivo porque necesita procesar estas peticiones antes de responder, potencialmente con un mensaje de error que dice "servidor demasiado ocupado" o "recurso no disponible". Estos tipos de ataques DDoS se basan en una botnet, que es una red de ordenadores comprometidos controlados por una única entidad. Dado que el atacante emplea peticiones URL estándar, el tráfico falsificado es casi indistinguible del tráfico válido. 

El ataque de Google: 2022

Un ejemplo notable de un ataque DDoS HTTPS es el que Google sufrió el 1 de junio de 2022. La infraestructura y los servicios de Google se vieron interrumpidos cuando el atacante utilizó varias direcciones para generar más de 46 millones de solicitudes por segundo, lo que supuso un 76% más que el récord registrado anteriormente.

Ataque de inundación SYN

Un ataque de inundación SYN (un tipo de Ataque de Protocolo) es uno de los tipos más comunes de ataques a su red. Con este ataque, un atacante envía una avalancha de paquetes SYN (parte del apretón de manos TCP) a su servidor, a menudo con direcciones IP de origen falsificadas. El servidor responde con un paquete SYN-ACK a cada solicitud SYN, esperando el paquete ACK final que nunca llega desde la dirección falsificada. Esto deja muchas conexiones medio abiertas, consumiendo recursos del servidor hasta que no puede atender peticiones legítimas.

Ataque de inundación UDP

En un ataque de inundación UDP (un ataque volumétrico), el atacante envía un gran volumen de paquetes del Protocolo de Datagramas de Usuario (UDP) a puertos aleatorios del servidor objetivo. El servidor intenta procesar estos paquetes, comprobando si hay aplicaciones escuchando en esos puertos. Si no encuentra ninguna, responde con un paquete ICMP "Destino inalcanzable". El gran volumen de paquetes UDP entrantes y respuestas ICMP salientes puede agotar los recursos del servidor y el ancho de banda de la red, causando una interrupción del servicio.

Ataque pitufo

Un ataque Smurf (un tipo de ataque volumétrico/de reflexión) utiliza solicitudes de eco ICMP falsificadas (pings). El atacante envía estos pings a la dirección de difusión de una red, utilizando la dirección IP de la víctima como IP de origen. Todos los dispositivos de la red de difusión responden con respuestas de eco ICMP a la dirección falsificada de la víctima. Esto inunda el ordenador objetivo con miles de pings por segundo, potencialmente abrumándolo.

Ataque Ping de la Muerte

El ataque Ping of Death (un ataque de protocolo) es uno de los ataques DDoS más antiguos que explota la fragmentación IP. Un atacante envía un paquete IP mayor que el tamaño máximo permitido (65.535 bytes) fragmentándolo. Cuando el sistema objetivo intenta reensamblar el paquete sobredimensionado, puede provocar desbordamientos de búfer y caídas del sistema en sistemas antiguos sin parches. Aunque menos eficaz hoy en día debido a un mejor manejo del sistema operativo, el principio de explotar las vulnerabilidades del protocolo sigue siendo relevante.

Protección contra los ataques distribuidos de denegación de servicio 

A medida que la gravedad y la frecuencia de los diferentes tipos de ataques DDoS se convierten en problemas acuciantes para las organizaciones y sus equipos de seguridad, es crucial que sigan un enfoque estratégico para esquivar y mitigar el impacto de estos ataques maliciosos. Seguir un plan de ciberseguridad completo no sólo ayuda a las empresas a fortalecer su infraestructura de red, sino que también mantiene la integridad de su sitio web/aplicación. 

He aquí algunas formas de prevenir los ataques DDoS y garantizar una experiencia en línea fluida a sus usuarios:

Reducir la exposición de la superficie de ataque

Uno de los primeros pasos para garantizar una infraestructura digital resistente es limitar los puntos vulnerables a los que pueden dirigirse los atacantes. Proteja sus documentos importantes, aplicaciones, puertos, protocolos, servidores y otros posibles puntos de entrada. Para ello, puede confiar en un cortafuegos de aplicaciones web (WAF) o en un servicio de red de distribución de contenidos (CDN) para impedir que los actores de amenazas accedan directamente a sus recursos digitales alojados en el servidor o la aplicación. Una CDN almacena en caché el contenido de forma global y sirve las solicitudes, mientras que un WAF filtra las solicitudes maliciosas. También debe utilizar equilibradores de carga para distribuir el tráfico y proteger los servidores web. Limpie regularmente los sitios web o las aplicaciones eliminando los servicios irrelevantes o los puertos abiertos que los hackers podrían explotar.

Supervisar y analizar el tráfico de red

Si observa actividades inusuales o anomalías en el tráfico de su red, tómelo como una señal para analizarlas y responder rápidamente a ellas. Una forma eficaz de hacerlo es estableciendo una línea de base o punto de referencia de cómo es el comportamiento típico de la red (Análisis de Tráfico de Línea de Base). Cualquier cosa que se desvíe significativamente de esta línea de base podría indicar una posible violación de la seguridad. Preste atención a señales de alarma como una conectividad deficiente, un rendimiento lento, un exceso de tráfico en un punto final específico, caídas frecuentes o patrones de tráfico inusuales procedentes de una única dirección IP o grupo. Los ataques de bajo volumen y corta duración también pueden ser peligrosos. La detección precoz mediante el perfilado continuo del tráfico y los paquetes es indispensable. Busque la comunicación con servidores conocidos de mando y control (C&C) utilizados por botnets. Es crucial responder en tiempo real, quizás utilizando sistemas de correlación de eventos basados en reglas que detecten y reaccionen automáticamente ante actividades sospechosas.

Garantizar una sólida seguridad de la red

Implemente múltiples capas de seguridad de red para detectar los ataques a tiempo y limitar su impacto. Utilice cortafuegos y sistemas de detección de intrusiones (IDS) para filtrar el tráfico. Utilice programas antivirus y antimalware. Utilice herramientas para evitar la suplantación de direcciones IP mediante la verificación de las direcciones de origen (por ejemplo, filtrado de entrada). Asegúrese de que todos los puntos finales de la red (ordenadores de sobremesa, portátiles, dispositivos móviles) están protegidos, ya que suelen ser objeto de ataques. Considere la segmentación de la red para dividir los sistemas en subredes, limitando el radio de explosión si un segmento se ve comprometido. Limitar la difusión de la red también puede ayudar; restrinja o desactive el reenvío de difusión y desactive servicios innecesarios como echo y chargen siempre que sea posible.

Redundancia de servidores

El uso de múltiples servidores distribuidos dificulta a los atacantes atacar todos los servidores simultáneamente. Si un dispositivo de alojamiento es atacado, los demás pueden permanecer operativos y hacerse cargo de la carga de tráfico hasta que el sistema atacado se recupere. Aloje los servidores en centros de datos geográficamente diversos o en instalaciones de colocación para evitar cuellos de botella en la red. Una red de distribución de contenidos (CDN) también proporciona redundancia inherente al distribuir el contenido entre muchos servidores.

Cambiar a soluciones basadas en la nube y aprovechar las capacidades de los proveedores

Las soluciones basadas en la nube no sólo garantizan una escalabilidad perfecta de los recursos, sino que también suelen ser más seguras y fiables que las configuraciones tradicionales in situ. Los proveedores de la nube suelen disponer de un ancho de banda mucho mayor que las organizaciones individuales, lo que dificulta el éxito de los ataques volumétricos. La naturaleza distribuida de la infraestructura en nube también reduce intrínsecamente la susceptibilidad. Además, los proveedores de servicios de Internet (ISP) y los proveedores de nube desempeñan un papel crucial. Los ISP pueden bloquear el tráfico malicioso en sentido ascendente, vigilar la actividad sospechosa, proporcionar ancho de banda a la carta durante los ataques y distribuir el tráfico de ataque. Muchos proveedores en la nube ofrecen servicios especializados de protección DDoS, aprovechando su escala y experiencia para detectar y mitigar los ataques con eficacia.

Disponga de un plan de respuesta

Un plan de respuesta bien trazado es crucial para que cualquier organización gestione los incidentes con eficacia, minimice los daños y garantice la continuidad de la actividad, en caso de ataque. Cuanto más compleja sea su infraestructura, más detallado deberá ser el plan. Su plan de respuesta DDoS debe incluir lo siguiente:

• Una lista de control de los sistemas
• Un equipo de respuesta bien formado
• Medidas/protocolos de detección y alerta
• Estrategias globales de mitigación (cómo activar las defensas, contactar con los proveedores, etc.)
• Planes de comunicación para las partes interesadas internas y externas (incluida una lista de quién debe ser informado).
• Procedimientos para mantener las operaciones de la empresa durante un ataque
• Una lista de sistemas de misión crítica

Realizar evaluaciones de vulnerabilidad

Las evaluaciones de vulnerabilidad permiten a las organizaciones revisar y examinar sistemáticamente las lagunas de sus redes, sistemas y aplicaciones antes de que un atacante las aproveche. Esto incluye evaluaciones de redes e inalámbricas, revisiones de políticas y comprobación de aplicaciones web y código fuente en busca de fallos, a menudo utilizando herramientas de escaneado automatizadas. Evaluar los riesgos, generar informes exhaustivos y trabajar continuamente en la evaluación contribuye a una sólida estrategia de ciberseguridad y ayuda a garantizar la continuidad de las operaciones. Este enfoque ayuda a las organizaciones a paliar los peligros de los ataques DDoS y sus tipos.

Desarrollar y practicar buenos hábitos de ciberhigiene

Su equipo debe estar capacitado para practicar buenos hábitos de ciberhigiene para evitar que los sistemas se vean comprometidos y potencialmente utilizados en botnets. Entre ellos se incluyen:

• Establezca contraseñas seguras y únicas (al menos 12 caracteres con números, símbolos y mayúsculas/minúsculas) y cámbielas con regularidad.
• Evite compartir y reutilizar las contraseñas.
• Utilice la autenticación de dos factores (2FA) siempre que sea posible para añadir una capa adicional de seguridad.
• Emplea el cifrado de dispositivos en portátiles, tabletas, smartphones, unidades externas y almacenamiento en la nube.
• Mantenga el software y los sistemas actualizados con los últimos parches de seguridad.

Los costes de los ataques DDoS

Los ataques DDoS son cada vez más largos, sofisticados y grandes, lo que aumenta significativamente los costes para las empresas. Según un estudio del Ponemon Institute, el coste medio por minuto de inactividad debido a un ataque DDoS puede ser considerable y alcanzar los 22.000 dólares. Los costes exactos dependen de factores como el sector, el tamaño de la empresa, la duración del ataque y la reputación de la marca. Sin embargo, el coste real va mucho más allá de las pérdidas financieras inmediatas e incluye:

• Costes directos: Consumo de ancho de banda, daños o sustitución de hardware, tarifas de servicios de mitigación.
• Costes legales: Posibles demandas o multas reglamentarias si se ponen en peligro datos sensibles o se incumplen los acuerdos de nivel de servicio.
• Pérdidas de propiedad intelectual: Si el ataque sirve de cortina de humo para el robo de datos.
• Pérdidas operativas y de producción: Pérdida de ventas, disminución de la productividad, pérdida de clientes por indisponibilidad del servicio.
• Daños a la reputación: Pérdida de confianza de clientes, socios e inversores, que puede tener efectos duraderos.
• Pérdidas debidas a las técnicas de recuperación: El coste de implantar y mantener centros de depuración, hardware especializado y esfuerzos de respuesta a incidentes.

En pocas palabras 

Ahora que sabe que el impacto de los ataques de denegación de servicio distribuido (DDoS) es mucho más costoso y perturbador que nunca, es esencial reconocer la urgencia de la situación y tomar medidas proactivas para proteger la identidad de su marca y mantener las operaciones comerciales sin problemas. El futuro de los ataques DDoS IP sigue siendo incierto, pero continuarán siendo una amenaza significativa. A medida que avance la tecnología, los atacantes tendrán acceso a herramientas más sofisticadas, por lo que la defensa será cada vez más difícil. Por lo tanto, las organizaciones deben ser proactivas en su enfoque de la ciberseguridad. Mediante la adopción de herramientas integrales de evaluación de vulnerabilidades, protocolos proactivos de respuesta a incidentes, herramientas de monitorización de red, redundancia de servidores, seguridad de red robusta, soluciones en la nube y el fomento de una fuerte conciencia de ciberseguridad entre los empleados, su organización puede contrarrestar el aumento sin precedentes del tráfico que se manifiesta en forma de diferentes tipos de ataques DDoS.

Para defender sus activos de la piratería ilegal y para una protección integral frente a los ciberataques basados en el correo electrónico, confíe en nuestros expertos de PowerDMARC. Con nuestros profundos conocimientos y amplia experiencia, garantizamos que sus activos digitales permanezcan seguros y que sus operaciones funcionen sin problemas, incluso frente a los adversarios. Para obtener más información sobre nuestras soluciones de ciberseguridad, póngase en contacto con nosotros hoy mismo.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• ¿Sigue siendo eficaz el correo electrónico frío en 2025? Buenas prácticas para la difusión y la seguridad - 20 de junio de 2025
• Caso práctico de DMARC MSP: Cómo PrimaryTech simplificó la seguridad del dominio del cliente con PowerDMARC - 18 de junio de 2025
• Falsos positivos DMARC: Causas, soluciones y guía de prevención - 13 de junio de 2025