Pandora FMS en el Open Expo Europe 2025, 7 y 8 de Mayo. Más información →

 
← Regresar a IT Topics

Ataques DDoS: qué son, cómo funcionan y cómo protegerse

Secciones

Descubre qué es un ataque DDoS, cómo funciona y qué estrategias existen para mitigar y prevenir este tipo de amenaza. Aprende a proteger tu infraestructura con herramientas de monitorización y detección temprana como Pandora FMS.

Introducción

Un ataque DDoS (Distributed Denial of Service) o denegación de servicio distribuido es cuando un ciberdelincuente, mediante equipos zombis o botnets, realiza solicitudes masivas y sucesivas a una dirección IP (por ejemplo, hacia un servidor, un servicio o la red) con la intención de sobrecargarla y colapsarla.
La consecuencia de estos ataques a las empresas y a los servicios en línea es que los sistemas y/o servicios de TI no pueden acceder a los datos u otros recursos empresariales. El impacto se refleja en la continuidad del negocio (sin acceso a servicios críticos, la pérdida de productividad), los costos elevados de reparación y los graves daños a la reputación. De acuerdo con el reporte ENISA Threat Landscape 2024, los ataques DDoS ocupan el primer puesto en los ciberataques a las organizaciones.

¿Cómo funciona un ataque DDoS?

Para comprender cómo se lleva a cabo un ataque DDoS, sigamos la Figura 1, en la cual el cibercriminal (1) prepara el ataque apoyándose en dispositivos infectados (endpoints como un smartphone, un ordenador o un portátil, servidores o dispositivos IoT) por un malware para convertirlos en sus zombies o botnets (2), que son una red formada por diversos equipos controlados (3) por un cibercriminal de forma remota; aunque también el cibercriminal usa el IP Spoofing (o suplantación de IP) que es una técnica para falsificar la dirección IP de origen (se hace pasar por usuario legítimo) de un paquete de datos en el tráfico de una red. Tanto los botnets como el IP Spoofing tienen como objetivo generar tráfico malicioso. Se realizan múltiples solicitudes falsas (4) simultáneamente a un mismo objetivo (5) para saturarlo, comprometiendo así el ancho de banda, la capacidad de CPU o su memoria. De esta manera, el ataque DDoS hace que la red o los servicios de TI de la empresa sufran cierta latencia o sea completamente imposible acceder a ellos para auténticos usuarios (6).

Figura 1- Diagrama de un ataque DDoS

Tipos de ataques DDoS más comunes

Para saber a qué os podéis enfrentar tú y tu equipo, es importante que conozcáis los distintos tipos de ataques DDoS:

  • Ataques volumétricos
    Los ataques volumétricos consumen recursos de ancho de banda al provocar un alto volumen de tráfico, de manera que los usuarios legítimos no puedan acceder al sistema de destino. Estos ataques incluyen la amplificación de DNS (Domain Name System o Sistema de Nombres de Dominio), en la que el atacante utiliza la dirección IP del objetivo al iniciar una solicitud de una gran cantidad de datos. Esto significa que el servidor envía y recibe simultáneamente los mismos datos y, posteriormente, se ve sobrecargado. Aquí presentamos algunos ejemplos:

    • En un ataque de inundación SYN, el atacante envía múltiples paquetes SYN al servidor sin completar el proceso con el paquete final, por lo que las conexiones quedan abiertas y siguen consumiendo recursos.
    • En una inundación UDP, el cibercriminal envía una gran cantidad de paquetes UDP a puertos aleatorios en el servidor objetivo. El servidor intenta procesar cada paquete y, al no encontrar una aplicación que “escuche en esos puertos”, responde con un mensaje de «destino inalcanzable». Este proceso puede saturar el ancho de banda y el servidor se vuelve inestable o inoperable.
    • En un ataque de inundación ICMP, el delincuente envía múltiples paquetes de solicitud de eco ICMP (o pings) al servidor objetivo. Cada solicitud requiere que el servidor procese y responda con un paquete de respuesta de eco. El servidor puede quedar colapsado, consumiendo procesamiento y ancho de banda de la red, denegando el servicio para los usuarios legítimos.
  • Ataques de protocolo
    Los ataques de protocolo apuntan hacia los recursos de la red sobrecargando el firewall o el balanceador de carga, por lo que también se les llama ataques de agotamiento de estado. Por ejemplo, el atacante manipula el protocolo de enlace de tres pasos de una conexión TCP hasta que se consumen los recursos de la red. Esto impide que un dispositivo adicional pueda establecer una nueva conexión. Algunos ejemplos:

    • En el ataque por amplificación de DNS, el atacante aprovecha los servidores DNS vulnerables para enviar paquetes UDP con direcciones IP falsificadas. Esto llega a bloquear el tráfico legítimo.
    • El ataque Smurf explota el Protocolo de Mensajes de Control de Internet (ICMP), enviando grandes cantidades de paquetes ICMP con la dirección IP de origen falsificada de una víctima a la red empresarial. Esto provoca la ralentización o bloqueo de redes y sistemas.
    • En el ataque por reflexión, el cibercrimen se aprovecha de servidores que responden a solicitudes sin verificar adecuadamente la dirección de origen. La NIST considera que estos ataques son particularmente problemáticos, ya que se basan en la capacidad de un host infectado o de falsificar la dirección de origen de sus solicitudes a servidores de Internet potentes (por ejemplo, servidores DNS). Al colocar la dirección del objetivo del ataque final en la dirección de origen de sus solicitudes, los ataques de reflexión utilizan los recursos de la propia infraestructura de Internet contra sí mismos.
  • Ataques a la capa de aplicación
    También se le conoce como ataque de capa 7, en que se dirige a la «capa de aplicación» del modelo OSI (Open System Interconnection, o Interconexión de Sistemas Abiertos). A diferencia de otros tipos de ataques DDoS, que atacan a la red con tráfico, este ataque se centra en funciones o características específicas de una aplicación o servicio web.

    • En el ataque Slowloris tiene por objetivo mantener abiertas múltiples conexiones HTTP parciales con el servidor objetivo durante el mayor tiempo posible, provocando el agotamiento de recursos. Esto es porque el atacante envía constantemente encabezados parciales, impidiendo que el servidor cierre conexiones por el tiempo de espera.
    • En el ataque Ping of Death, el atacante envía una solicitud de ping de 65,536 bytes, que es el tamaño máximo en IP. TCP/IP permite fragmentar un paquete en segmentos más pequeños que luego se vuelven a ensamblar. Estos ataques aprovechan este fallo fragmentando paquetes que, cuando se reciben, suman más que la cantidad permitida de bytes, provocando la sobrecarga del búfer en el sistema operativo receptor, lo que hace que el sistema se bloquee y se interrumpan los servicios.

Impacto de un ataque DDoS en la infraestructura IT

Ahora que conoces los tipos de ataques DDoS, debes comprender cómo puede afectar a tu organización:

  • Sobrecarga de recursos y disponibilidad de los servicios, como el ancho de banda, la capacidad del CPU y la memoria, abrumados por el tráfico malicioso en la red, los servidores o los servicios bajo ataque.
  • Interrupción de servicios por la sobrecarga en los servidores, que en ese momento no pueden procesar las solicitudes legítimas.
  • Pérdida de ingresos, especialmente para organizaciones donde los servicios en línea son el corazón del negocio. Una interrupción provoca la pérdida directa de ingresos al impedir responder al cliente o llevar a cabo transacciones. Hay que tener en mente que la latencia provoca una mala experiencia para los clientes.
  • Costos de mitigación de un ataque y la restauración de los servicios pueden ser muy elevados, además de tener que implementar soluciones de seguridad adicionales y pagar penalizaciones por el incumplimiento.
  • Riesgos reputacionales, considerando que los clientes son cada vez más sensibles sobre cómo se utiliza su información y pueden percibir a la empresa como poco confiable.

Algunas cifras del impacto de los ataques DDoS en organizaciones, de acuerdo con el informe 224 DDoS Attack Trends de F5Labs:

  • La frecuencia de los incidentes es directamente proporcional a la cantidad de clientes en una región determinada. Independientemente de la dirección postal de la sede de una organización o de la dirección virtual de su espacio IPv4, a los atacantes no les importan los límites geográficos.
  • Por su facilidad, los ataques DDoS se han duplicado de un año a otro; de 1,000 ataques en 2022 a más de 2,100 en 2023.
  • En promedio, las empresas han sufrido al menos 1 ataque al mes.
  • La empresa que más ataques sufrió (¡187 durante 2023!) fue una de Servicios de Soporte.

Estrategias de protección y mitigación de ataques DDoS

Para proteger a los usuarios y a las empresas de los ataques DDoS, INCIBE recomienda primero implementar capas de seguridad en la infraestructura de red por ser la entrada a los servicios de TI. Por ejemplo, si se tiene servicios en línea en la organización, se debe instalar un router entre la red y el proveedor de servicios (ISP), configurando capas de seguridad como una lista de control de acceso (ACL) para controlar el acceso a la red con base en las IP de los usuarios o el firewall. En muchas ocasiones es el propio proveedor de servicios de Internet (ISP) el que proporciona este router, pero no siempre es así, o no nos permite configurar estas medidas de seguridad, debiendo en este caso contar con un router adicional interno en nuestra red a modo de firewall que nos permita aplicar estas medidas de seguridad. En el caso de empresas con servicios en línea alojados en servidores externos (hosting, VPS o servidores dedicados), se debe instalar un router entre la red y el proveedor de servicios (ISP) de manera virtual (servicios del servidor o los paneles de configuración del proveedor de Internet). También es importante consultar las medidas y estándares de protección que el ISP aplica en toda su red. Otra recomendación es implementar una red de entrega de contenidos (o CDN, Content Delivery Network) para organizaciones de servicios con zonas alejadas geográficamente y un alto volumen de solicitudes.
Otra estrategia es instalar un proxy inverso hacia varios servidores de la red con copias exactas de los servicios para poder equilibrar el número de solicitudes a un mismo servidor y evitar su saturación.

Figura 2- Mitigación de DDoS

Adicionalmente, se recomienda:

  • Además de los firewalls, como la primera línea de defensa para filtrar el tráfico entrante y bloquear el tráfico malicioso, mediante los sistemas de detección y prevención de intrusiones (IDS, Intrusion Detection System/IPS, Intrusion Prevention System) debes monitorizar el tráfico de red en busca de actividades sospechosas y tomar medidas para bloquear ataques en tiempo real.
  • Considera que los sistemas de mitigación de DDoS pueden manejar grandes volúmenes de tráfico malicioso y proteger la infraestructura, tales como la mitigación en la nube (ejemplo Cloudflare, AWS Shield) para absorber y filtrar el tráfico DDoS antes de que llegue a la red objetivo; Redes de Entrega de Contenido (CDN) para equilibrar la carga en múltiples servidores; y la escalabilidad automática para gestionar los picos de tráfico durante un ataque.
  • Recuerda que implementar la monitorización de red y el análisis de tráfico son fundamentales para detectar patrones anómalos. La Monitorización confiere la visibilidad continua y en tiempo real del tráfico en la red y, de este modo, tú y tu equipo podéis implementar la detección temprana de comportamientos inusuales que evidencien un ataque DDoS en ciernes. El análisis de tráfico también permite comprender los flujos de los datos y las posibles brechas de seguridad.

También se recomienda la constante actualización de software y sistemas operativos de equipos y dispositivos, recordando que el cibercrimen siempre está al acecho de cualquier vulnerabilidad.

Cómo Pandora FMS ayuda a mitigar ataques DDoS

Pandora FMS es una herramienta de monitorización flexible y adaptable que puede ayudar en la mitigación de ataques DDoS mediante varias funcionalidades clave:

  • Monitorización de tráfico en tiempo real. Pandora FMS proporciona una visibilidad completa de la infraestructura de red desde una plataforma centralizada e intuitiva para detectar patrones de tráfico inusuales que podrían indicar un ataque DDoS.
  • Correlación de eventos con Pandora SIEM para detectar patrones de ataque. Mediante herramientas y sistema de detección y prevención de intrusiones se puede detectar actividades maliciosas o violaciones de políticas. Esta información se recopila de manera centralizada en el sistema de gestión de eventos e información de seguridad (Pandora SIEM), que puede combinar y correlacionar resultados de múltiples fuentes y utilizar el filtrado de alarmas para distinguir la actividad maliciosa de las falsas alarmas.
  • Automatización de respuestas ante detección de tráfico anómalo. Pandora FMS permite configurar alertas en tiempo real, además de notificar inmediata y automáticamente sobre cualquier actividad sospechosa o picos de tráfico inusuales.
  • Integración con soluciones avanzadas de monitorización. Pandora FMS se integra con Pandora SIEM y las herramientas de análisis de amenazas, lo cual te brinda una solución robusta para prevenir ataques y mejorar la seguridad de la infraestructura.

Cómo Pandora FMS se complementa con otras soluciones de seguridad

Las herramientas de análisis de amenazas integradas en Pandora FMS utilizan algoritmos avanzados para detectar anomalías en el tráfico de red y en los registros de eventos. Apoyándose en tecnologías punteras como la Inteligencia Artificial y Machine Learning, Pandora FMS puede identificar patrones complejos y predecir posibles ataques antes de que ocurran. También la analítica avanzada y los informes detallados pueden ayudarte a entender mejor las amenazas y a tomar decisiones más informadas.
Además, Pandora FMS puede integrarse eficazmente con sistemas de detección y prevención de intrusiones (IDS/IPS) para mejorar la seguridad de la red, ya que combina los datos de monitorización de seguridad y la detección de intrusiones, proporcionando una visión integral de la seguridad de la red y agilizando la respuesta del equipo. Por ejemplo, si tu sistema IDS detecta un intento de intrusión, Pandora FMS recibe esta alerta y, gracias a su capacidad de correlación de eventos, identifica que este intento es parte de un ataque más amplio. Inmediatamente, Pandora FMS puede activar medidas de mitigación, como bloquear direcciones IP sospechosas, y notificar al equipo de seguridad para una intervención manual. Con EDR (Enpoint Detection and Response), Pandora FMS incorpora las capacidades de detección y protección ante amenazas sobre los dispositivos, con una visibilidad detallada en cada endpoint, especialmente para empresas que han adoptado un enfoque de BYOD para que cada empleado use el dispositivo de su preferencia.

Conclusión

Los ataques de malware están y estarán siempre al acecho tanto de personas como de empresas, buscando la mínima vulnerabilidad en dispositivos, redes y aplicaciones para emprender ataques de malware que, a su vez, den paso a ataques como DDoS, que cada año siguen presentes en todas las industrias y latitudes. Sea en un ataque volumétrico, de protocolo o en las capas de aplicación, el ataque DDoS buscará la forma de colapsar las redes y los servicios de TI, afectando a la productividad, la continuidad del negocio y su reputación. Ten en cuenta que existen plataformas y herramientas tecnológicas que, al trabajar de manera integrada como Pandora FMS y Pandora SIEM, se vuelven sólidas y resilientes frente a los ataques DDoS, además de poder implementar una estrategia proactiva que detecta los ataques inmediatamente; y, en caso de ataque, minimizar el tiempo de inactividad y preservar la continuidad del negocio, evitando mayores costes económicos y el daño a la reputación de la empresa.
Descubre cómo las soluciones de seguridad y gestión IT de Pandora FMS pueden ayudarte a implementar una estrategia de seguridad integral y proactiva – solicita tu Trial.

← Regresar a IT Topics

Habla con el equipo de ventas, pide presupuesto,
o resuelve tus dudas sobre nuestras licencias

¡Contacta ahora!

Comparte tu experiencia
con Pandora FMS y gana

20€


Haz tu reseña →