David Rodríguez Rey

El ataque de Denegación de Servicio es la amenaza más común de indisponibilidad de Servicios, y la protección híbrida desde la red de operador combinada con solución local, es la mejor manera de protegerse. El nuevo escenario de los ataques DDoS Los ataques de Denegación de Servicio Distribuidos (DDoS) buscan provocar indisponibilidad de servicios mediante flujos sostenidos de paquetes desde lugares distribuidos hacia un direccionamiento de una compañía, buscando colapsar los servicios para crear indisponibilidad de los mismos, provocando impacto económico, o deterioro de imagen de la compañía atacada. Recientemente, en un post anterior, describimos en detalle qué son los ataques DDoS, qué tipos de ataques existen, qué debe aportar una solución de protección de ataques DDoS, y la necesidad de adquirir un servicio gestionado, desde una compañía que, desde una posición de red idónea, y con personal altamente cualificado ante este tipo de ataques, protegerán adecuadamente el tráfico de la red frente a ataques DDoS. Pero en la actualidad están surgiendo nuevos vectores de ataque y ataques multivector. Los ataques DDoS ya no son estáticos ni de un solo vector: hoy son dinámicos, multivector y cada vez más sofisticados. Los ciberdelicuentes y los botmasters siguen explotando vulnerabilidades y buscando nuevas formas de secuestrar redes y obtener acceso a los datos de las empresa. A diario podemos ver en los medios de comunicación titulares sobre ataques DDoS muy sofisticados y que causan un gran impacto. Todo el tráfico y los datos que circulan por las redes están bajo la constante amenaza de piratas informáticos que lanzan ataques DDoS multivector altamente sofisticados. La cantidad de ataques DDoS ha aumentado a todos los niveles, desde ataques de un solo vector hasta aquellos que utilizan incluso 25. En particular, se nota la creciente prevalencia de ataques de más de 15. Los atacantes a menudo utilizan entre 15 y 25 vectores para lanzar ataques complejos y de gran volumen de ataque diferentes dirigidos a diferentes capas de empresas e infraestructuras de proveedores de servicios. Además, la utilización de botnets que lanzan ataques complejos y de gran escala ahora está automatizada. Numerosos ataques van dirigidos a infraestructuras clave como enrutadores, firewalls, DNS y concentradores VPN, y las empresas no disponen de infraestructura adecuada para atenuarlos o resolverlos adecuadamente. Actualmente, se ha sobrepasado el umbral de los 10 millones de ataque en 2025, segun datos de Netscout, y se ha establecido una nueva normalidad que alcanza el millón de ataques DDoS al mes. Ataques más dinámicos y difíciles de detectar Los ciberdelicuentes están encontrando nuevas formas de hacer sus ataques más eficientes, haciendo los ataques más dinámicos y difíciles de detectar. Se consolida una tendencia al uso de ataques a la IP directa, en lugar de utilizar técnicas de amplificación y reflexión, a la vez que han crecido de manera significativa los ataques DDoS dirigidos a capa de aplicación y dentro del tráfico HTTPS cifrado. Esta nueva modalidad añadida a los ataques volumétricos tradicionales marca un panorama cada vez más volátil de ataques DDoS que siguen aumentando en frecuencia. Como los sistemas de protección de ataques DDoS actualmente son muy competentes, los atacantes han mejorado su capacidad y frecuencia de ataque contra la capa de aplicación o periféricos, combinando estos ataques con los tradicionales volumétricos. Se están lanzando escaneos a la red para ver dónde atacar de forma más directa y los ataques están dejando de ser estáticos en el tiempo y ahora son dinámicos, con múltiples vectores de ataques, y además están cambiando de ser a la misma IP todo el tiempo a múltiples IP específicas que van variando durante el ataque. Ejemplos de nuevos ataques Carpet Bombing Este es el ejemplo de ataque Carpet Bombing, que consiste en atacar a todas las IPs de la red y las van cambiando. El tráfico hacia una IP es pequeño, pero sumado con todos genera un volumen muy alto, y lo van cambiando cada tres minutos. DNS Water Torture Otro ejemplo de ataque muy habitual es el DNS Water Torture, que es un ataque al DNS, preguntando por nombres que no existen, y sobrecargan el procesamiento de los DNS, intentando resolver estos nombres inexistentes, preguntando a DNS en niveles superiores, fuera de la compañía. Slow Loris Un ejemplo de ataque de aplicación es el llamado Slow Loris, que consiste en enviar las trazas de un paquete, no necesariamente malformadas, muy poco a poco, creando múltiples conexiones con el servidor de aplicaciones que se quedará esperando la finalización de un paquete que nunca llega, colapsando la pila de conexiones. Por todo lo expuesto, la protección tradicional frente ataques DDoS ya no es suficiente. La necesidad de protección local 'always-on' El número de ataques volumétricos está descendiendo, y están creciendo el número de ataques directos a una IP, ataques dentro del tráfico cifrado HTTPS, ataques carpet bombing atacando a múltiples IPs de la compañía, ataques DNS Water Torture, y los escaneos de red para encontrar vulnerabilidades de la red, y que al mismo tiempo debido al tráfico que generan son en sí ataques DDoS. Para paliar este crecimiento de nuevos ataques sofisticados, con menor volumen y enfocados en colapsar las aplicaciones o periféricos, es necesario disponer de un dispositivo que actúe de forma inline en tráfico, en modo always-on, que analice todo el tráfico de red incluyendo el tráfico cifrado. Disponiendo un módulo de protección local Anti-DDoS de seguridad en línea, implementado de forma on-premise en el perímetro de la red del Data Center de la compañía cliente (es decir, entre el router de internet y el firewall) se consigue protección robusta frente a este aumento de nuevos ataques. El equipo 'on-premise' actúa como primera y última línea de defensa, protegiendo tanto frente a amenazas entrantes como salientes. Esta posición en la red, con un motor de procesamiento de paquetes sin estado (stateless) y alimentado con una inteligencia de amenazas le permiten detectar y detener automáticamente tanto las amenazas entrantes como la comunicación saliente de los hosts internos comprometidos, actuando esencialmente como la primera y la última línea de defensa para las empresas. Este dispositivo no implementa funcionalidades de firewall. La razón principal para ello es que, de hacerlo, debería convertirse en un dispositivo con estado (stateful) y tener una tabla de sesiones que podría colapsarse. Este tipo de dispositivos con estado, como los firewalls, son sensibles a los ataques DDoS y, en sí mismos, son objetivos. El dispositivo de protección local on-premise debe desplegarse después del router de internet para proteger tanto al firewall, como a cualquier dispositivo periférico de la red, como IDS, IPS o balanceadores. Beneficios del módulo de protección Anti-DDoS Local Primera línea de defensa: bloquea los ataques DDoS entrantes para proteger la disponibilidad de la red, los servicios o los dispositivos de seguridad con estado. Última línea de defensa: bloquea la comunicación saliente de dispositivos comprometidos hacia infraestructuras de comando y control. Protección frente a todo tipo de ataques DDoS, incluyendo volumétricos hasta la capacidad del enlace. Inspección continua del tráfico, añadiendo protección en los ataques en tráfico cifrado. Protección híbrida: red de operador + solución local En coordinación con una solución de protección DDoS desde el proveedor de servicios de internet, se conseguirá protección híbrida, de forma que los ataques volumétricos habituales de gran capacidad sigan protegiéndose aguas arriba, y los ataques más sofisticados puedan solventarse con este equipamiento local on-premise. La protección híbrida es la manera más eficaz y automatizada de defenderse frente a ataques de denegación de servicio. Los equipos on-premise pueden operar de forma independiente pudiendo detectar y mitigar ataques DDoS volumétricos y de aplicaciones. Cuando detectan que un ataque pueda superar la capacidad del enlace, envían una alarma al Servicio Anti-DDoS del ISP, permitiendo una mitigación adicional automática desde la red. El desvío del tráfico hacia el servicio en red del ISP es automatizado cuando se detecte un ataque volumétrico que supere ciertos umbrales configurables de intensidad. De esta manera, se consigue un modelo de protección híbrida que combina un dispositivo local con el Servicio Anti-DDoS de red de Telefónica Tech, permitiendo defenderse tanto de ataques sofisticados mitigados on-prem como de grandes ataques volumétricos sin añadir latencia al tráfico. Principales características de la protección híbrida Mayor eficacia en la detección de ataques volumétricos, de agotamiento de estados y sofisticados de aplicación. Integración de las capas de protección y sincronización automática de la lista de mitigación. Escalabilidad ilimitada con la capacidad de mitigación de Telefónica. Optimización de recursos locales. Detección y mitigación de ataques salientes desde el propio Data Center. Posibilidad de incorporar servicios de inspección SSL y Malware. Protección específica de DNS. Reducción de costes y mejora de la resiliencia. Conclusiones Implantar una protección de ataques DDoS desde el operador con una protección local integrada con la red del operador es la mejor solución de arquitectura frente a los ataques de denegación de servicios, para mitigar tanto ataques volumétricos como de aplicación y multivector. El servidor on-premise actúa en modo always-on y detecta y mitiga ataques dentro de su alcance de forma inmediata, tanto entrantes como salientes, pudiendo además inspeccionar tráfico SSL para detectar y mitigar ataques dentro del tráfico cifrado. Adquirir un servicio gestionado para la solución completa integrada es la manera más eficaz ante la resolución de ataques DDoS, debido a la alta cualificación del personal del ISP operando estas tecnologías. ■ Protege tu negocio frente a ataques DDoS avanzados. Activa una defensa híbrida con mitigación automática y soporte experto 24×7 para asegurar la continuidad de tus servicios. Conoce cómo podemos ayudarte → Ciberseguridad Hemos construido el SOC del futuro con IA, talento y NextDefense XDR 30 de octubre de 2025

Los ataques distribuidos de denegación de servicio (DDoS) son cada vez más frecuentes. Buscan provocar indisponibilidad de servicios en los activos de empresas y organizaciones con el fin de lograr un impacto económico o un deterioro de la reputación de la empresa atacada. Para llevarlos a cabo, grupos y actores organizados, movidos por motivos políticos, ideológicos, económicos o de cualquier otra naturaleza, hacen uso de herramientas que aprovechan la potencia de las redes de bots (botnets), para lanzar ataques desde múltiples localizaciones contra servicios concretos hasta que logran saturarlos y provocar así una denegación de servicio, impidiendo el acceso o su normal funcionamiento. Los ataques DDoS se han convertido en una de las principales causas de interrupción de servicios digitales, afectando directamente a la continuidad del negocio y a la reputación de las empresas. El crecimiento de los ataques DDoS a escala global El panorama de ciberamenazas durante la segunda mitad del 2025 muestra una escalada significativa en el volumen y la sofisticación de los ataques DDoS, con más de 8 millones de ataques registrados, según datos de Netscout. Las ciberamenazas evolucionan y los ataques DDoS se han convertido en herramientas utilizadas en conflictos digitales y campañas de desestabilización de infraestructuras críticas (comunicaciones, transporte, energía, defensa) a menudo operando a través de redes interconectadas, incrementándose especialmente durante eventos de alta visibilidad. Principales tipos de ataques DDoS En la actualidad los ataques DDoS se distinguen en volumétricos, ataques de agotamiento de estado o recursos y de aplicación. Ataques DDoS volumétricos Los ataques DDoS volumétricos persiguen saturar el ancho de banda disponible, lo que supone una sobrecarga tanto en la red de acceso, típicamente los accesos WAN de conexión a internet. Para este tipo de ataques no se requiere que la dirección IP víctima esté asignada un servidor ni esté en uso. Basta con que esté enrutada en internet. Se han dado casos de ataques a la última dirección IP del rango del cliente, que no tienen ningún uso. Por ejemplo, una inundación de paquetes no solicitados habitualmente de protocolo UDP que provocan una saturación de caudal en sentido descendente. Aunque en el firewall de entrada del datacenter se descarte ese tráfico, la saturación será efectiva y el atacante habrá conseguido su objetivo. Algunos ejemplos más comunes de este tipo de ataque DDoS volumétricos son UDP Flood y DNS Reflection/Amplification: UDP Flood: consiste en generar grandes cantidades de paquetes UDP contra la víctima elegida. DNS Reflection/Amplification: utilizan servidores DNS para generar un gran volumen de tráfico y colapsar el servidor víctima. Los ataques volumétricos no buscan vulnerar sistemas, sino colapsar la capacidad de red haciendo inaccesibles los servicios incluso aunque los sistemas de seguridad funcionen correctamente. Ataques DDoS de agotamiento de recursos Los ataques de agotamiento de recursos buscan consumir las tablas de estado de la pila TCP/IP que tienen casi todos los componentes de la infraestructura de seguridad y servicio de la víctima: firewalls, IPS, balanceadores, o los propios servidores TCP. Todos los dispositivos stateful, los sistemas de red y seguridad que mantienen información sobre el estado de cada conexión, tienen un límite en la capacidad de procesamiento de conexiones nuevas. Este tipo de ataque lo que persigue es saturar dicha capacidad. Dos ejemplos típicos de este tipo de ataques son SYN Flood o TCP Connection Flood SYN Flood: inunda con paquetes SYN la tabla de conexión de los servidores, bombardeándolos de modo que no pueden aceptar nuevas conexiones. TCP Connection Flood: inunda con conexiones TCP legítimas, a un ritmo superior al número de conexiones por segundo que puede soportar el firewall. Con esto, se deja sin comunicación todos los servicios detrás del firewall. Adicionalmente, dejará de funcionar la conectividad entre la red interna (LAN) y la DMZ, donde residen los servicios expuestos a internet, poniendo de manifiesto que la saturación se produce en el firewall y no en la línea de acceso internet. Ataques DDoS a nivel de aplicación Los ataques de nivel de aplicación saturan recursos tales como CPU, memoria o sesiones simultáneas de un servicio concreto. Este tipo de ataques son más silenciosos, pues además se pueden conseguir con tráfico legítimo y se pueden llevar a cabo incluso utilizando una sola máquina atacante y cursando niveles de tráfico relativamente bajos. Algunos ejemplos de este tipo de ataque DDoS son: Slowloris, que persigue abrir tantas conexiones HTTP como se pueda a un servidor web y mantenerlas abiertas tanto tiempo como sea posible provocando que el servidor web bloquee las peticiones legítimas. RUDY: ataque muy parecido al anterior, que persigue saturar el número de conexiones de un servidor web y mantenerlas abiertas mediante el envío de tráfico. THC-SSL: ataque que consiste en generar muchos intentos de renegociación SSL que saturan la CPU del servidor HTTPS. ■ Por todo lo expuesto, las empresas con presencia en Internet necesitan proteger sus activos en la red, asegurar su continuidad de negocio y su reputación con una solución de protección frente a ataques DDoS adaptada a sus necesidades. Para cada tipo de escenario de red de la compañía o tipo de ataque, es necesario aplicar una solución de arquitectura Anti-DDoS específica. Soluciones Anti-DDoS para proteger los servicios digitales Así, una solución de ISP, desde la red del operador, solventará adecuadamente cualquier tipo de ataque con una configuración y despliegue adecuados, con poco impacto en la provisión y entregando el tráfico limpio de forma transparente para el cliente por el mismo enlace de comunicación contratado sin necesidad de desvío de tráfico. Una solución Cloud es adecuada para cualquier tipo de ataque volumétrico entregando el tráfico limpio por un enlace virtual punto a punto. También es adecuada cuando la empresa tiene sedes multipaís, con distintas localizaciones geográficas y diferentes proveedores de internet. Estas soluciones ofrecen configuración on-demand, realizando el desvío de tráfico en el momento del ataque para ser contrarrestado; o en modo allways-on, de forma que todo el tráfico se está analizando en todo momento para atajar un ataque volumétrico en el instante que se produce. ■ Haciendo referencia a certificaciones de seguridad, las empresas de sector público requieren soluciones de seguridad certificadas con el Esquema Nacional de Seguridad (ENS), que otorga requisitos de seguridad sobre la operación e infraestructuras, y continuidad de negocio constante, revisable anualmente. Capacidades clave de una solución de protección DDoS eficaz Las características fundamentales que todas las soluciones de protección de ataques de denegación de servicios deben ofrecer incluyen monitorización y detección, mitigación y limpieza, e informes de mitigación: En la fase de monitorización se analiza el tráfico hacia el cliente o desde el cliente de forma permanente buscando patrones de tráfico de ataque mediante mecanismos de detección de ataques DDoS. La fase de mitigación y limpieza de tráfico atacante se encarga de eliminar todo el tráfico no lícito hacia el cliente, que podrá realizarse de forma allways-on u on-demand atendiendo a la configuración específica realizada, de forma que el tráfico que llegue a la compañía sea siempre lícito para evitar cualquier tipo de colapso de los servicios, atajando de este modo de forma transparente el ataque. Y por último, cualquier tipo de solución de ataques de denegación de servicio, es conveniente que ofrezca información en todo momento en un momento de ataque, tanto al inicio, durante y a la finalización del mismo. Un servicio gestionado de protección DDoS desde el operador permite detectar, mitigar y limpiar el tráfico malicioso con mayor rapidez y eficacia, minimizando el impacto en los servicios. La importancia de un servicio gestionado de protección DDoS desde el operador Nos podríamos preguntar si es necesario contratar un servicio gestionado acompañando a la solución de ataques de denegación de servicios. Y de ser así, a quién. Como se indicaba al principio, los ataques de denegación de servicios son cada vez más frecuentes, millones de ataques anuales. Y según el tráfico de internet, quién puede observar la mayor parte del tráfico es quién puede atajar mejor este tipo de ataques de indisponibilidad de servicios. Así, contar con un servicio gestionado de protección DDoS apoyado en la red del operador y operado por equipos especializados resulta clave para una defensa eficaz. Telefónica de España, en su rol de proveedor de servicios de internet, aporta una visión privilegiada del tráfico global y la capacidad de actuar directamente desde la red para mitigar los ataques. Sobre esta infraestructura, desde Telefónica Tech ponemos a disposición de las empresas equipos expertos dedicados íntegramente a la detección y mitigación de ataques DDoS, con más de 1.500 ataques mitigados anualmente en entornos de clientes, aplicando en cada fase del ataque las contramedidas más adecuadas y minimizando el impacto sobre los servicios del cliente. ■ Contar con la experiencia de un especialista permite adaptar la respuesta y aplicar la solución más eficaz ante cada tipo de ataque DDoS. No obstante, el operador de telecomunicaciones siempre dispone de una visión global del tráfico que le permite anticipar y mitigar ataques de manera más ágil y precisa. Así, la combinación de ambos factores proporciona la mejor defensa ante amenazas de denegación de servicio. Un operador de telecomunicaciones, como Telefónica de España, por su visibilidad global del tráfico y su capacidad de respuesta en red, es el actor mejor posicionado para mitigar ataques DDoS de forma eficaz. De este modo, la detección del ataque se realiza de forma automática cuando se identifican determinados patrones de tráfico dirigido a los enlaces del cliente, y genera una alarma que se registra en los sistemas para su evaluación por parte de la operación del servicio. Este ofrecerá mitigación efectiva de todo tipo de ataques y detección proactiva de los ataques de denegación de servicio. Cuando se detecta un posible ataque, las herramientas de detección generan las correspondientes alarmas, y se debe actuar en consecuencia. Bien de forma automática o manual, pero siempre bajo la observación de una mano experta en este tipo de soluciones, que en nuestro caso otorga Telefónica España desde su posición de ISP. Conclusiones Toda empresa con presencia en Internet, de cualquier sector o industria, con necesidad de proteger sus activos en la red y asegurar su disponibilidad de servicios, continuidad de negocio y reputación, necesita una solución adaptada de protección de ataques de denegación de servicios que detecte, mitigue e informe en todo momento a la compañía afectada por un ataque. En el caso del sector público, requiere adicionalmente soluciones de seguridad que cumplan certificaciones como ENS (Esquema Nacional de Seguridad). Un operador de telecomunicaciones, por su visibilidad global del tráfico y su capacidad de respuesta en red, junto con un equipo experto en este tipo de soluciones, es el actor mejor posicionado para mitigar ataques DDoS de forma eficaz. ■ DDoS Protection: En Telefónica Tech diseñamos y operamos servicios gestionados de protección DDoS que cubren de forma integral las distintas necesidades de seguridad de las empresas, combinando soluciones adaptadas a cada entorno con la experiencia de nuestros equipos especializados en mitigación de ataques DDoS. ■ MÁS DE ESTA SERIE Ciberseguridad Protección híbrida DDoS: la arquitectura más eficaz frente a ataques multivector 18 de febrero de 2026