Amenazas

Ataques DoS y DDoS: Diferencias, tipos y cómo evitar que tumben tu servidor con una denegación de servicio

Ataques de denegación de servicio (DOS Attacks)

Pocas cosas generan tanta ansiedad en un equipo IT como ver las gráficas de monitorización dispararse, la CPU al 100% y los servicios web caídos sin que nadie haya tocado nada. Es el clásico escenario de un ataque DoS (Denial of Service/Denegación de Servicio).

Lo primero que hay que entender para afrontar este problema sin pánico es que un ataque DoS o DDoS no es un «hackeo» en el sentido tradicional. El atacante no está descifrando contraseñas, ni robando bases de datos, ni instalando ransomware. Su único objetivo es el sabotaje: agotar los recursos de tu infraestructura para que los usuarios legítimos no puedan acceder a ella.

Sin embargo, no todos los ataques buscan saturar tu ancho de banda a lo bruto. A veces, unas pocas conexiones bien diseñadas son suficientes para arrodillar al servidor web más potente. Vamos a diseccionar cómo funcionan realmente estos ataques y, sobre todo, qué herramientas tienes a tu disposición para mitigarlos.

La diferencia fundamental: DoS vs. DDoS

Aunque a menudo se usan como sinónimos, la «D» extra lo cambia todo a nivel defensivo:

  • DoS (Denial of Service – Denegación de Servicio): Es un combate uno contra uno. Un único equipo atacante dispara contra un único servidor objetivo. Hoy en día, salvo que el atacante explote una vulnerabilidad muy específica de la aplicación, es difícil tumbar una infraestructura moderna con un simple DoS. Es fácil de bloquear: identificas la IP que genera el ruido y la baneas en el cortafuegos.
  • DDoS (Distributed Denial of Service – Denegación de Servicio Distribuida): Es un ejército contra uno. El atacante utiliza una botnet (una red de miles o millones de dispositivos infectados, desde ordenadores hasta cámaras IP o routers domésticos) para disparar contra tu servidor de forma simultánea. Aquí, bloquear IPs no sirve de nada, porque el tráfico malicioso proviene de miles de fuentes globales reales. Estos ataques son caros y sofisticados, tienes que ser medianamente apetecible al atacante, así que tranquilo.

Tipos de ataques DDoS: No todo es «enviar muchos datos»

Para defenderte, debes saber por dónde te están golpeando. Los ataques DDoS se dividen en tres grandes familias según la capa del Modelo OSI a la que apunten:

Ataques Volumétricos (El atasco de tráfico)

Son los más brutos y mediáticos. El objetivo es saturar el «tubo» de tu conexión a Internet. Da igual lo potente que sea tu procesador; si tu línea tiene una capacidad de 1 Gbps y el atacante envía 10 Gbps de tráfico basura, tus usuarios legítimos no podrán entrar.

  • Ejemplos clásicos: UDP Flood y ataques de amplificación (como la amplificación DNS o NTP), donde el atacante falsifica tu IP y le pide a miles de servidores abiertos en Internet que te envíen respuestas masivas.

Ataques de Protocolo (Agotamiento de red – Capas 3 y 4)

No buscan llenar tu tubo, sino agotar los recursos intermedios: la tabla de conexiones de tu firewall, los balanceadores de carga o la memoria del sistema operativo.

  • El clásico SYN Flood: En una conexión TCP normal, el cliente saluda (SYN), el servidor responde y espera confirmación (SYN-ACK), y el cliente confirma (ACK). En un SYN flood, el atacante envía miles de saludos y nunca confirma. El servidor se queda esperando, reservando memoria para cada conexión fantasma hasta que colapsa y no puede aceptar conexiones nuevas.

Ataques de Capa de Aplicación (Capa 7 – Los asesinos silenciosos)

Son los más peligrosos para un sysadmin desprevenido porque no necesitan mucho ancho de banda. Parecen tráfico humano legítimo, pero están diseñados para asfixiar al servidor web (Nginx, Apache) o a la base de datos.

  • HTTP Flood: Enviar miles de peticiones GET a la página de búsqueda de tu web. Carga poco la red, pero obliga a la base de datos a hacer consultas pesadas hasta que revienta.
  • Slowloris: El ataque quirúrgico por excelencia. El atacante abre muchas conexiones legítimas con el servidor web, pero le envía los datos sumamente despacio (un byte cada pocos segundos). Obliga a Nginx o Apache a mantener los hilos (threads) abiertos esperando a que termine. Con apenas unos megabytes de tráfico, el servidor se queda sin hilos disponibles y rechaza al resto de usuarios.

El daño colateral: DDoS como cortina de humo

Un apunte estratégico que ningún equipo de seguridad debe olvidar: un ataque DDoS volumétrico a menudo no es el objetivo final, sino una cortina de humo.

Mientras el Blue Team (equipo de defensa) está en pánico reiniciando servidores, desviando tráfico y mirando gráficas saturadas, el verdadero ataque está ocurriendo por la puerta de atrás. Los cibercriminales usan el caos del DDoS para ocultar en los logs un ataque de inyección SQL, exfiltrar datos o desplegar malware, sabiendo que nadie está prestando atención a alertas «menores» en ese momento.

Herramientas y estrategias de mitigación en el mundo real

¿Cómo se defiende uno de esto? La realidad técnica es dura: no puedes detener un ataque DDoS volumétrico grande desde tu propio servidor linux. Si te lanzan 50 Gbps y tu puerto es de 1 Gbps, el tráfico atascará la red de tu proveedor de Internet mucho antes de llegar a tus reglas de iptables.

Por eso, la mitigación se divide en dos frentes:

Mitigación a nivel de Sistema Operativo (Para DoS y ataques de Capa 7)

Si sufres un ataque pequeño o un abuso a nivel de aplicación (Capa 7), estas herramientas de software libre son tu primera línea de defensa:

  • Iptables / Nftables (Rate Limiting): A nivel de kernel en Linux, puedes configurar reglas para limitar el número de conexiones por segundo desde una misma IP (módulo limit o hashlimit). Es excelente para frenar un SYN Flood básico o un atacante pesado.
  • Fail2ban / CrowdSec: Estas herramientas leen tus logs (por ejemplo, el access.log de Nginx) en tiempo real. Si detectan que una IP está haciendo demasiadas peticiones raras, peticiones a URLs ocultas, o intentos de inicio de sesión fallidos, introducen automáticamente una regla en el firewall para banearla. CrowdSec es la evolución moderna, ya que es colaborativo (si una IP ataca a alguien en la red CrowdSec, te protege a ti también).
  • Ajustes de Sysctl: Modificar variables del kernel en Linux (/etc/sysctl.conf), como habilitar SYN Cookies (net.ipv4.tcp_syncookies = 1), es vital para que el sistema operativo soporte ataques de protocolo sin colapsar.

Mitigación Perimetral (La artillería pesada contra DDoS)

Para sobrevivir a una botnet, tienes que descentralizar tu infraestructura utilizando redes Anycast y filtros en la nube.

  • CDN y WAF Cloud (Cloudflare, Akamai, AWS Shield): Es la única defensa real contra ataques volumétricos. Estas empresas tienen centros de datos enormes por todo el mundo. Cuando te atacan, el tráfico malicioso no llega a tu servidor; es absorbido y limpiado por la red global de Cloudflare. Además, su Web Application Firewall (WAF) inspecciona la Capa 7 para descartar bots antes de que toquen tu código.
  • Ocultación de la IP de Origen: Para que un CDN funcione, tu IP real debe ser un secreto (recordemos el artículo sobre seguridad por oscuridad). Si el atacante averigua la IP pública real de tu máquina (por un registro DNS antiguo o un email saliente), saltará la protección de Cloudflare y te atacará directamente al servidor.

Checklist preventivo: ¿Está tu infraestructura preparada?

Antes de que las gráficas se pongan en rojo, revisa estos puntos:

  • ¿Tienes tu dominio detrás de un proxy inverso o CDN con protección DDoS activada?
  • ¿Está tu servidor configurado en el firewall para que solo acepte tráfico web (puertos 80/443) proveniente de las IPs de tu CDN y rechace todo lo demás?
  • ¿Has ajustado los timeouts de tu servidor web (Nginx/Apache) para desconectar clientes lentos y mitigar ataques tipo Slowloris?
  • ¿Tienes una política de «caché» agresiva para páginas estáticas, evitando que los atacantes fuercen a tu base de datos a trabajar innecesariamente?

Conclusión

Un ataque DDoS es una cuestión de asimetría: al cibercriminal le cuesta muy poco dinero alquilar una botnet unos minutos, pero a ti te puede costar miles de euros en ventas perdidas y reputación si tus servicios caen.

Entender la diferencia entre un atasco de red (volumétrico) y un francotirador silencioso (Capa 7) es lo que distingue a un administrador que reinicia servidores rezando para que el ataque pare, de un profesional que implementa una verdadera defensa en profundidad.

Aplica restricciones a nivel local, escóndete detrás de redes distribuidas y, sobre todo, no dejes que el ruido te distraiga de lo que realmente importa: la integridad de tus datos.

Carlos del Río Sáez
Carlos del Río Sáez
Especialista en tecnología y ciberseguridad con más de 17 años de experiencia en entornos educativos y corporativos. Enfocado en sistemas, IA aplicada y ciberdefensa. Ingeniero informático. Miembro de ISC2 (CC Certified) y Security+ Certified.
Conecta conmigo en LinkedIn

Suscríbete a Rutaciber.com

El objetivo principal de Rutaciber.com es educar en ciberseguridad. Suscríbete aquí y recibe nuevos artículos en tu email 👇

Sin spam, solo nuevos artículos | Política de privacidad

Artículos relacionados...