Un ataque de denegación de servicio distribuido (DDoS) es un intento de saturar una página web o servicio online con tanto tráfico que lo ralentice o deje de funcionar. En lugar de colarse en un sistema, el atacante lo colapsa. Para cualquiera que tenga un sitio web, supone una pérdida de ventas, clientes frustrados y horas de interrupción del servicio, además de daños a su reputación.
Índice:
La magnitud de estos ataques va en aumento. En su informe sobre amenazas del tercer trimestre de 2025, Cloudflare registró 5,9 millones de ataques DDoS bloqueados, lo que supone un aumento del 87% respecto al trimestre anterior y del 95% respecto al mismo periodo del año pasado. La inteligencia artificial está potenciando ambos frentes de la batalla. Los atacantes aprovechan la automatización para adaptarse rápidamente, y los defensores usan sistemas basados en máquinas para detectar y detener los ataques en cuestión de segundos. Para ser conscientes de la importancia de todo esto, es fundamental entender cómo funcionan estos ataques y por qué siguen siendo uno de los métodos más comunes para atacar servicios online.
¿Cómo funciona un ataque DDoS y en qué se diferencia de un ataque DoS?
Un ataque DDoS consiste en llevar a un sistema más allá de sus límites operativos. Todos los sitios web funcionan con servidores que aceptan solicitudes (cargar una página, procesar un pago, buscar un archivo, etc.) y devuelven una respuesta. Cada solicitud consume una pequeña cantidad de ancho de banda y capacidad de procesamiento. En condiciones normales, esa carga es predecible, pero un ataque DDoS rompe ese equilibrio de forma deliberada.
Los atacantes empiezan creando una red de dispositivos comprometidos, conocida como «botnet». En ella, los ciberdelincuentes usan malware para infectar ordenadores ordinarios, servidores en la nube o dispositivos conectados a internet y controlarlos mediante instrucciones remotas. En un momento dado, los delincuentes dan a esos dispositivos la orden de enviar tráfico al mismo objetivo. Dicho tráfico puede consistir en simples solicitudes de conexión, cargas repetidas de páginas o paquetes de datos diseñados para agotar la capacidad de la red.
A medida que se acumulan las solicitudes, los recursos del objetivo comienzan a verse afectados. El ancho de banda se agota y los usuarios legítimos no pueden acceder a sus datos. Los procesadores del servidor se saturan al intentar responder a todas las solicitudes entrantes y las tablas de conexión (que funcionan como «salas de espera» de las sesiones abiertas) alcanzan su capacidad máxima. Cuando se llegan a esos límites, el sistema se ralentiza hasta casi detenerse o deja de responder por completo. Desde fuera, parece un fallo total pero, en realidad, el servicio sigue funcionando, solo que está demasiado ocupado gestionando tráfico malicioso como para atender a usuarios reales.
Ataques DDoS vs. DoS: ¿en qué se diferencian?
Un ataque de denegación de servicio (DoS) proviene de una única fuente. Una sola máquina genera suficiente tráfico para saturar el objetivo, por lo que suele ser fácil de identificar y bloquear.
En cambio, como ya hemos visto, un ataque DDoS reparte la carga entre muchas fuentes a la vez. El tráfico puede venir de miles de direcciones IP en diferentes regiones. Bloquear una sola no sirve de mucho porque el resto sigue adelante. Esta distribución dificulta el filtrado y aumenta el riesgo de bloquear por error a usuarios legítimos. Por eso son los ataques DDoS (y no los DoS, que son más simples) los que dominan el panorama actual de las interrupciones de servicio.
Mejora tu seguridad en Internet
Almacena y gestiona tus objetos de valor digitales de forma segura
Obtén NordPassTres tipos comunes de ataques DDoS
Existen varios tipos de ataques DDoS que se diferencian principalmente por los puntos en los que ejercen presión. Algunos saturan una red con tráfico o interfieren en la forma en que los sistemas aceptan conexiones; otros se centran en partes concretas de una página web que exigen más potencia de procesamiento. En muchos ataques DDoS reales, estos métodos suelen solaparse. Comprender las diferencias nos aclara por qué para mitigarlos no basta con bloquear el tráfico.
Ataques DDoS volumétricos
Este tipo de ataques DDoS se basan en el volumen bruto de tráfico. El atacante envía cantidades enormes de datos hacia un objetivo hasta agotar su ancho de banda disponible. Cuando se alcanza ese límite, los usuarios legítimos no pueden acceder al sitio web porque la propia conexión está saturada.
Los ataques DDoS volumétricos suelen ejecutarse mediante botnets. Su volumen combinado de solicitudes puede alcanzar niveles muy superiores a los picos normales. El resultado es obvio: la página queda inaccesible porque la red no puede transmitir más datos.
Ataques DDoS de protocolo
Estos ataques centran su objetivo en la forma en que los sistemas establecen y mantienen las conexiones. Cada vez que un usuario visita un sitio web, el servidor reserva una pequeña cantidad de memoria y capacidad de procesamiento para gestionar esa sesión. Este proceso da por hecho que la conexión se llevará a cabo correctamente.
En un ataque de protocolo, el delincuente envía una gran cantidad de solicitudes de conexión incompletas o manipuladas. El servidor asigna recursos a cada una de ellas y espera. A medida que se llenan esos espacios reservados, quedan menos recursos disponibles para los usuarios legítimos. Al final, las nuevas conexiones fallan o se agota el tiempo de espera.
Ataques DDoS de capa de aplicación
Se centran en funciones específicas de una página web y no en la red en su conjunto. Elementos como las barras de búsqueda, los formularios de inicio de sesión y las páginas de pago suelen requerir más recursos de procesamiento que la simple carga de una página estática.
En este tipo de ataques, el delincuente centra sus esfuerzos en aquellos elementos que consumen muchos recursos. Cada solicitud obliga al servidor a ejecutar consultas en la base de datos, verificar credenciales o generar contenido dinámico. Aunque los niveles de tráfico no parezcan excesivos, la carga de trabajo que se impone al sistema es desproporcionada. En consecuencia, el rendimiento cae y, en casos graves, la aplicación deja de funcionar.
Detectar los ataques de capa de aplicación suele ser más difícil porque el tráfico puede imitar el comportamiento de un usuario legítimo. Por eso son tan frecuentes en los ataques DDoS actuales, sobre todo cuando se combinan con técnicas volumétricas o de protocolo en campañas coordinadas y multivectoriales.
El papel de la IA en los ataques DDoS
Los ataques DDoS siempre se han basado en la eficiencia: generar el máximo impacto con el mínimo esfuerzo. La llegada de la inteligencia artificial cambia la magnitud y la velocidad de ese efecto «palanca». La IA permite a los atacantes adaptarse en tiempo real y obliga a los defensores a responder con la misma agilidad.
IA al ataque: más rápida y adaptable
La IA cambia la forma en que se llevan a cabo los ataques DDoS. En lugar de limitarse a la fuerza bruta, los delincuentes pueden adaptar sus tácticas, imitar a usuarios legítimos y apuntar a puntos débiles específicos.
Tácticas adaptativas
Los ataques DDoS convencionales solían basarse en métodos fijos, como sobrecargar la red o saturar un servicio específico. Ahora, los sistemas con IA pueden poner a prueba las defensas en tiempo real y cambiar de técnica cuando se les bloquea. Si se filtra un vector, el tráfico se desvía hacia otro. Lo que empieza como una inundación de UDP (protocolo de datagramas de usuario) puede pasar a ser un ataque de DNS o basado en HTTP en cuestión de segundos.
Imitación del comportamiento humano
Los ataques DDoS de capa de aplicación tratan de parecerse cada vez más a la actividad de un usuario normal. Las herramientas de IA pueden generar patrones de tráfico que se asemejan al comportamiento real de navegación, variando el tiempo de las solicitudes, rotando los agentes de usuario o incluso simulando patrones de movimiento del cursor en ciertos casos. Cuanto más se parezca el tráfico malicioso a los usuarios legítimos, más difícil les resultará distinguirlos a los filtros tradicionales basados en reglas.
Escaneos selectivos
La IA también se puede usar para identificar puntos débiles antes de lanzar un ataque de denegación de servicio. En lugar de saturar todo un sitio web, los delincuentes analizan qué puntos finales consumen muchos recursos o no tienen parches de seguridad. Una ráfaga dirigida contra un inicio de sesión o una función de búsqueda vulnerables puede tener el mismo impacto que una avalancha mucho mayor. Además, se reduce la cantidad de tráfico necesaria y disminuye la probabilidad de que se detecte al instante.
IA defensiva: detección a velocidad de máquina
La IA también está cambiando la forma en que se detectan y contienen los ataques DDoS. Las defensas modernas se basan en el análisis automatizado y la mitigación rápida para identificar el tráfico anómalo y responder antes de que el problema se extienda.
Análisis de comportamiento
Los sistemas avanzados de mitigación de DDoS ya no dependen tanto de reglas estáticas, sino más bien del reconocimiento de patrones. En lugar de bloquear el tráfico únicamente por dirección IP o umbral de volumen, los modelos de IA establecen una referencia de comportamiento normal: cómo suelen acceder los usuarios a un sitio, con qué frecuencia se hacen solicitudes y qué patrones se esperan. Cuando el tráfico se desvía de forma sutil pero constante, el sistema lo señala y lo filtra. Estas anomalías pueden ser demasiado pequeñas o rápidas para que un analista humano las detecte en tiempo real.
Mitigación en menos de un minuto
Ahora es la velocidad la que determina el impacto. Muchos ataques DDoS duran solo unos minutos e incluso segundos, pero la interrupción puede prolongarse mucho más. Los sistemas de mitigación automatizados pueden redirigir el tráfico sospechoso a centros de depuración, aplicar límites de velocidad o distribuir la carga en redes globales en menos de un minuto. La intervención humana por sí sola no puede reaccionar a ese ritmo; la respuesta debe ser continua y autónoma.
Cómo saber si tu página web o servicio online está sufriendo un ataque
La mayoría de los ataques DDoS no se avisan. Al principio, parecen caídas habituales o ralentizaciones temporales, pero la diferencia está en el patrón y la persistencia. Si llevas un sitio web o dependes de uno para tu negocio, presta atención a estas señales de advertencia:
Tiempos de carga inusualmente lentos: si tu web se ralentiza de repente sin un aumento real de la demanda, esa suele ser la primera señal. Las páginas que normalmente se cargan en unos segundos empiezan a colgarse y los paneles de control dejan de responder. Si el rendimiento cae de forma generalizada, uno de los posibles motivos que debes barajar es un ataque DDoS.
Imposibilidad de acceder al sitio: una señal más evidente es que la página no cargue en absoluto. Los usuarios pueden ver errores como «503 servicio no disponible» o mensajes genéricos de tiempo de espera agotado. Si tu proveedor de alojamiento confirma que el servidor sigue en línea pero no puede procesar el tráfico, lo más probable es que se trate de un ataque de denegación de servicio.
Un pico repentino de tráfico procedente de una región concreta: si tienes acceso a analíticas o registros de alojamiento, comprueba de dónde provienen las solicitudes. Un aumento brusco del tráfico desde un único punto geográfico (sobre todo si no encaja con tu público habitual) puede indicar una acción coordinada. En muchos ataques DDoS, el tráfico parece concentrado o de origen inusual.
Rendimiento bajo en toda tu red: los ataques DDoS no siempre se dirigen a grandes empresas. Si la red de tu casa o de tu pequeña empresa se ralentiza en varios servicios a la vez y tu proveedor de internet confirma que no hay una caída generalizada, el culpable podría ser el exceso de tráfico entrante. Los routers y el hardware doméstico pueden sufrir cuando hay mucha carga sostenida.
Ningún síntoma por sí solo indica un ataque DDoS. Un rendimiento bajo puede tener muchas causas. Lo que caracteriza a un ataque de denegación de servicio es un tráfico anómalo y sostenido junto con la interrupción del servicio.
Cómo protegerte y proteger tu negocio de los ataques DDoS
Aquí tienes algunas pautas sobre cómo puedes protegerte a ti y a tu negocio de un ataque DDoS.
Usa una red de entrega de contenido (CDN)
Una red de entrega de contenido actúa como un colchón entre tu web y la red pública de internet. En lugar de enviar todo el tráfico directamente a tu servidor de origen, las solicitudes pasan primero por una red distribuida de servidores perimetrales.
Esta distribución es clave. Cuando los ataques DDoS tratan de saturar un único servidor, una CDN reparte el tráfico entrante entre muchas ubicaciones. Además, las redes grandes tienen una capacidad de ancho de banda mucho mayor que una configuración de alojamiento independiente. Si el tráfico se dispara, la red puede absorberlo y distribuirlo en lugar de dejar que falle un único punto.
Las CDN también guardan contenido estático en caché, lo que reduce la frecuencia con la que tu servidor de origen debe responder directamente. Durante los ataques DDoS volumétricos, esa reducción de la carga de trabajo puede mantener operativos tus servicios esenciales.
Implementa un cortafuegos de aplicaciones web (WAF)
Un cortafuegos de aplicaciones web está en la parte delantera de tu página y filtra las solicitudes entrantes. Imagínatelo como un guardián que evalúa el tráfico antes de que llegue a tu aplicación.
Los sistemas WAF actuales inspeccionan los patrones de solicitud, los encabezados y el comportamiento. Pueden aplicar límites de velocidad para restringir cuántas solicitudes puede realizar una sola fuente en un periodo de tiempo determinado, bloquear firmas maliciosas conocidas y poner a prueba las sesiones sospechosas mediante pasos de verificación.
En el caso concreto de los ataques de capa de aplicación, un cortafuegos de aplicaciones web suele ser la primera línea de defensa, ya que ayuda a distinguir entre usuarios legítimos y malos usos automatizados, incluso cuando el tráfico parece normal a primera vista.
Coordínate con tu proveedor de servicios de internet (ISP)
Los ISP suelen ofrecer servicios de mitigación de DDoS, como la depuración del tráfico. Mediante este proceso, el tráfico sospechoso se redirige a través de una infraestructura especializada que filtra los paquetes maliciosos antes de transferir el tráfico limpio a tu red.
En casos más graves, los proveedores pueden usar técnicas como el enrutamiento de agujero negro, que descarta temporalmente el tráfico dirigido a un objetivo específico para proteger toda la red. Es una medida drástica, pero puede evitar interrupciones más graves.
La clave está en la coordinación. Si gestionas servicios críticos, habla con tu proveedor antes de que ocurra un incidente. Averigua qué opciones de mitigación existen y cómo de rápido se pueden activar.
Mantén una buena higiene de dispositivos
Los ataques DDoS se ejecutan con más facilidad mediante dispositivos comprometidos. El hardware con poca seguridad conectado a internet, como routers y cámaras, suele acabar formando parte de las botnets.
Mantén el firmware actualizado, cambia las contraseñas predeterminadas y desactiva el acceso remoto innecesario. Utiliza credenciales seguras y únicas para cada dispositivo e interfaz administrativa.
Reutilizar contraseñas sigue siendo una de las formas más fáciles de comprometer la seguridad, sobre todo en herramientas internas y paneles de infraestructura. Un gestor de contraseñas como NordPass puede ayudarte a generar y almacenar credenciales complejas de forma centralizada, reduciendo así la dependencia de contraseñas predecibles o duplicadas.
Ninguna de estas medidas por sí sola garantiza la inmunidad frente a los ataques DDoS, pero en conjunto reducen tanto la exposición como el impacto.