¿Puede una VPN protegerme de DDoS?

Las VPN personales protegen a you de ataques DDoS si su IP real no está expuesta. No protegen un servicio que usted opera. Para la protección del servicio necesita una CDN o un servicio de depuración. Para los jugadores preocupados por los ataques tipo "swatting", esconderse detrás de la IP de un proveedor de VPN es el patrón correcto.

¿Cuánto suelen durar los ataques DDoS?

Minutos a días. El ataque medio en 2025 durará menos de 10 minutos: lo suficientemente largo como para interrumpirlo, pero lo suficientemente corto como para que su lanzamiento sea barato. Los ataques sostenidos (de horas a días) generalmente significan atacantes motivados con bolsillos más profundos: campañas de extorsión, operaciones geopolíticas o rivalidades inusualmente persistentes.

¿Cuál es la diferencia entre DoS y DDoS?

DoS (Denegación de Servicio) proviene de una fuente; DDoS es de muchos. Los ataques de fuente única se pueden bloquear trivialmente mediante un filtro de IP; Los ataques distribuidos necesitan una defensa de absorción de ancho de banda. Casi todos los ataques modernos de denegación de servicio son DDoS; el término DoS heredado es mayoritariamente histórico.

¿Son ilegales los ataques DDoS?

Sí, en casi todas las jurisdicciones. La Ley de Abuso y Fraude Informático de EE. UU., la Ley de Uso Indebido de Computadora del Reino Unido y leyes similares en la UE tipifican como delito la interrupción no autorizada del servicio. La cooperación internacional contra los servicios estresantes ha dado lugar a detenciones en muchos países. A pesar de esto, la atribución es difícil y muchos atacantes operan desde jurisdicciones que no persiguen.

¿Por qué los ISP no filtran el tráfico falsificado en la fuente?

Podrían implementar BCP38/filtrado de ingreso, y la mayoría lo hace para redes nuevas. Las redes heredadas y algunos ISP más pequeños todavía permiten que direcciones de origen falsificadas abandonen su red, lo que permite ataques de amplificación. La iniciativa de Normas Mutuamente Acordadas para la Seguridad de Enrutamiento (MANRS) impulsa su adopción, pero persiste una larga cola de redes permisivas.

Explicación de los ataques DDoS: cómo las inundaciones destruyen sitios y por qué son difíciles de detener

Un ataque de denegación de servicio distribuido intenta hacer que un servicio sea inaccesible abrumándolo con tráfico de muchas fuentes a la vez. La economía es profundamente asimétrica: unos pocos miles de dólares alquilados a un servicio de estrés por contrato pueden acabar con un sitio cuyo funcionamiento cuesta millones. Defenderse de ellos es una de las áreas más activas de la ingeniería de redes.

El cuerpo completo del artículo se proporciona en inglés a continuación.

A Ataque de denegación de servicio distribuido (DDoS) inunda un objetivo con más tráfico del que puede manejar, agotando el ancho de banda, la CPU o la capacidad de la aplicación. Debido a que el tráfico proviene de muchas fuentes (a menudo decenas de miles de dispositivos comprometidos que actúan como una botnet o amplificación a través de servidores mal configurados), el filtrado en el destino no funciona: el ataque debe absorberse o eliminarse en sentido ascendente. ataques: inundan la red con paquetes sin procesar para saturar el ancho de banda. Inundaciones UDP, inundaciones ICMP, inundaciones SYN. A menudo se basa en amplificación: una pequeña solicitud a un servidor mal configurado produce una gran respuesta a la IP de origen falsificada (la víctima).

Ataques de protocolo: explotan las debilidades de los protocolos mismos. Slowloris mantiene abiertas miles de conexiones TCP sin completarlas; Los ataques de renegociación de SSL obligan a costosas operaciones criptográficas.

Ataques de capa de aplicación (Capa 7): parecen tráfico de usuarios legítimos, pero están diseñados para agotar los recursos de las aplicaciones. Inundaciones HTTP, consultas de búsqueda costosas, solicitudes repetidas a puntos finales dinámicos que pierden el caché.

Los ataques volumétricos son las noticias más ruidosas (clase Tbps), pero los ataques a la capa de aplicación suelen ser más dañinos porque son más difíciles de filtrar sin afectar a los usuarios reales.

Amplificación: hacer que las pequeñas inundaciones sean enormes

Los mayores ataques DDoS dependen amplificación: el atacante envía una pequeña solicitud UDP con una IP de origen falsificada (la dirección de la víctima) a un servidor que devuelve una respuesta mucho mayor. La víctima recibe la respuesta gigante y no tiene idea de dónde vino la solicitud original. Factores de amplificación:

DNS: amplificación de 50 a 100× con respuestas EDNS0 y DNSSEC
NTP monlist: hasta 500× (parcheado hace mucho tiempo, pero los servidores heredados aún existe)
memcached — históricamente hasta 50.000× en 2018; en su mayoría parcheados ahora
CLDAP - alrededor de 50×
SSDP/UPnP - alrededor de 30×

Los ataques DDoS más grandes divulgados públicamente se han basado en amplificación combinada con botnets, alcanzando picos superiores a 3 Tbps. El más grande en 2025 rompió 5 Tbps.

Botnets: de donde proviene el tráfico

Detrás de los ataques más grandes: una botnet de dispositivos comprometidos. Los dispositivos IoT (cámaras de seguridad, enrutadores, televisores inteligentes, DVR) son objetivos fáciles porque se envían con credenciales predeterminadas y rara vez reciben actualizaciones de seguridad. La botnet Mirai (2016) comprometió cientos de miles de dispositivos IoT y se utilizó en los famosos ataques de Krebs y OVH. El código fuente de Mirai se filtró públicamente y docenas de derivados aún operan.

Las botnets modernas también incluyen servidores en la nube comprometidos, máquinas virtuales obtenidas con tarjetas de crédito robadas y proxies residenciales (servicios IP móviles que en realidad son botnets alquilados). servicios "booter" o "stresser". El marketing afirma que son para pruebas de estrés legítimas; en la práctica, la mayor parte de los clientes atacan los sitios de otras personas. Las fuerzas del orden internacionales han eliminado varios grandes factores estresantes, pero otros nuevos los reemplazan en unos meses. La oferta es demasiado barata y la demanda demasiado constante para desaparecer.

Cómo funciona la protección DDoS

Defender un solo sitio contra ataques de múltiples Tbps es imposible: ningún sitio normal tiene tanto ancho de banda. La defensa es poner protección frente al sitio en un proveedor con mucha más capacidad:

BGP redireccionamiento/blackholing: retira rutas a la IP de destino, eliminando todo el tráfico. Útil como último recurso, pero desconecta a la víctima por completo.
Centros de depuración: Cloudflare, Akamai, AWS Shield, Imperva y otros mantienen grandes instalaciones donde se filtra el tráfico entrante. El tráfico legítimo se reenvía al origen; el tráfico de ataque se reduce.
Limitación de velocidad: en el borde de CDN, limita las tasas de solicitud por IP para evitar inundaciones en la capa de aplicación.
Desafíos de JavaScript: presenta un breve desafío de cálculo que los navegadores reales completan de forma invisible, pero la mayoría de los bots no puedo.
CAPTCHA alternativa: para tráfico sospechoso, solicite verificación humana.

Los grandes proveedores de CDN/WAF pueden absorber ataques de prácticamente cualquier tamaño que se hayan visto en la naturaleza; la capacidad de red de Cloudflare supera los 300 Tbps a partir de 2026.

Lo que puede haga como operador de un sitio pequeño

Siéntese detrás de una CDN con protección DDoS: el nivel gratuito de Cloudflare cubre protección básica para sitios pequeños; los niveles pagos y otros proveedores (Akamai, Fastly) manejan más.
Oculte su IP de origen: solo permita el tráfico desde los rangos de IP de la CDN; rechace conexiones directas.
Utilice una política de límite de velocidad razonable: muchos niveles de CDN gratuitos ofrecen limitación de velocidad básica.
Sea paciente durante un ataque: las defensas entran en acción, los atacantes se quedan sin dinero o se aburren.

La carrera armamentista continúa

2024-2026 vio nuevas categorías de ataques: ataques HTTP/2 de "reinicio rápido" que explotan las debilidades del protocolo, ataques de capa 7 generados por IA para imitar el comportamiento humano y ataques hipervolumétricos de capa 3 entregados a través de máquinas virtuales en la nube secuestradas. Los defensores han respondido con un filtrado de comportamiento más inteligente, una mitigación acelerada por hardware y una cooperación más estrecha entre proveedores. La tendencia neta: los ataques pequeños son más baratos que nunca, pero los sitios bien defendidos también se recuperan más rápido que nunca.

Preguntas frecuentes

¿Puede una VPN protegerme de DDoS?: Las VPN personales protegen a <em>you</em> de ataques DDoS si su IP real no está expuesta. No protegen un servicio que usted opera. Para la protección del servicio necesita una CDN o un servicio de depuración. Para los jugadores preocupados por los ataques tipo "swatting", esconderse detrás de la IP de un proveedor de VPN es el patrón correcto.
¿Cuánto suelen durar los ataques DDoS?: Minutos a días. El ataque medio en 2025 durará menos de 10 minutos: lo suficientemente largo como para interrumpirlo, pero lo suficientemente corto como para que su lanzamiento sea barato. Los ataques sostenidos (de horas a días) generalmente significan atacantes motivados con bolsillos más profundos: campañas de extorsión, operaciones geopolíticas o rivalidades inusualmente persistentes.
¿Cuál es la diferencia entre DoS y DDoS?: DoS (Denegación de Servicio) proviene de una fuente; DDoS es de muchos. Los ataques de fuente única se pueden bloquear trivialmente mediante un filtro de IP; Los ataques distribuidos necesitan una defensa de absorción de ancho de banda. Casi todos los ataques modernos de denegación de servicio son DDoS; el término DoS heredado es mayoritariamente histórico.
¿Son ilegales los ataques DDoS?: Sí, en casi todas las jurisdicciones. La Ley de Abuso y Fraude Informático de EE. UU., la Ley de Uso Indebido de Computadora del Reino Unido y leyes similares en la UE tipifican como delito la interrupción no autorizada del servicio. La cooperación internacional contra los servicios estresantes ha dado lugar a detenciones en muchos países. A pesar de esto, la atribución es difícil y muchos atacantes operan desde jurisdicciones que no persiguen.
¿Por qué los ISP no filtran el tráfico falsificado en la fuente?: Podrían implementar BCP38/filtrado de ingreso, y la mayoría lo hace para redes nuevas. Las redes heredadas y algunos ISP más pequeños todavía permiten que direcciones de origen falsificadas abandonen su red, lo que permite ataques de amplificación. La iniciativa de Normas Mutuamente Acordadas para la Seguridad de Enrutamiento (MANRS) impulsa su adopción, pero persiste una larga cola de redes permisivas.