Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Protección frente a ataques DDoS: la principal amenaza para la disponibilidad de los servicios digitales
Los ataques distribuidos de denegación de servicio (DDoS) son cada vez más frecuentes. Buscan provocar indisponibilidad de servicios en los activos de empresas y organizaciones con el fin de lograr un impacto económico o un deterioro de la reputación de la empresa atacada.
Para llevarlos a cabo, grupos y actores organizados, movidos por motivos políticos, ideológicos, económicos o de cualquier otra naturaleza, hacen uso de herramientas que aprovechan la potencia de las redes de bots (botnets), para lanzar ataques desde múltiples localizaciones contra servicios concretos hasta que logran saturarlos y provocar así una denegación de servicio, impidiendo el acceso o su normal funcionamiento.
Los ataques DDoS se han convertido en una de las principales causas de interrupción de servicios digitales, afectando directamente a la continuidad del negocio y a la reputación de las empresas.
El crecimiento de los ataques DDoS a escala global
El panorama de ciberamenazas durante la segunda mitad del 2025 muestra una escalada significativa en el volumen y la sofisticación de los ataques DDoS, con más de 8 millones de ataques registrados, según datos de Netscout.
Las ciberamenazas evolucionan y los ataques DDoS se han convertido en herramientas utilizadas en conflictos digitales y campañas de desestabilización de infraestructuras críticas (comunicaciones, transporte, energía, defensa) a menudo operando a través de redes interconectadas, incrementándose especialmente durante eventos de alta visibilidad.
Principales tipos de ataques DDoS
En la actualidad los ataques DDoS se distinguen en volumétricos, ataques de agotamiento de estado o recursos y de aplicación.
Ataques DDoS volumétricos
Los ataques DDoS volumétricos persiguen saturar el ancho de banda disponible, lo que supone una sobrecarga tanto en la red de acceso, típicamente los accesos WAN de conexión a internet.
Para este tipo de ataques no se requiere que la dirección IP víctima esté asignada un servidor ni esté en uso. Basta con que esté enrutada en internet.
Se han dado casos de ataques a la última dirección IP del rango del cliente, que no tienen ningún uso. Por ejemplo, una inundación de paquetes no solicitados habitualmente de protocolo UDP que provocan una saturación de caudal en sentido descendente. Aunque en el firewall de entrada del datacenter se descarte ese tráfico, la saturación será efectiva y el atacante habrá conseguido su objetivo.
Algunos ejemplos más comunes de este tipo de ataque DDoS volumétricos son UDP Flood y DNS Reflection/Amplification:
- UDP Flood: consiste en generar grandes cantidades de paquetes UDP contra la víctima elegida.
- DNS Reflection/Amplification: utilizan servidores DNS para generar un gran volumen de tráfico y colapsar el servidor víctima.
Los ataques volumétricos no buscan vulnerar sistemas, sino colapsar la capacidad de red haciendo inaccesibles los servicios incluso aunque los sistemas de seguridad funcionen correctamente.
Ataques DDoS de agotamiento de recursos
Los ataques de agotamiento de recursos buscan consumir las tablas de estado de la pila TCP/IP que tienen casi todos los componentes de la infraestructura de seguridad y servicio de la víctima: firewalls, IPS, balanceadores, o los propios servidores TCP.
Todos los dispositivos stateful, los sistemas de red y seguridad que mantienen información sobre el estado de cada conexión, tienen un límite en la capacidad de procesamiento de conexiones nuevas. Este tipo de ataque lo que persigue es saturar dicha capacidad.
Dos ejemplos típicos de este tipo de ataques son SYN Flood o TCP Connection Flood
- SYN Flood: inunda con paquetes SYN la tabla de conexión de los servidores, bombardeándolos de modo que no pueden aceptar nuevas conexiones.
- TCP Connection Flood: inunda con conexiones TCP legítimas, a un ritmo superior al número de conexiones por segundo que puede soportar el firewall. Con esto, se deja sin comunicación todos los servicios detrás del firewall.
Adicionalmente, dejará de funcionar la conectividad entre la red interna (LAN) y la DMZ, donde residen los servicios expuestos a internet, poniendo de manifiesto que la saturación se produce en el firewall y no en la línea de acceso internet.
Ataques DDoS a nivel de aplicación
Los ataques de nivel de aplicación saturan recursos tales como CPU, memoria o sesiones simultáneas de un servicio concreto.
Este tipo de ataques son más silenciosos, pues además se pueden conseguir con tráfico legítimo y se pueden llevar a cabo incluso utilizando una sola máquina atacante y cursando niveles de tráfico relativamente bajos.
Algunos ejemplos de este tipo de ataque DDoS son:
- Slowloris, que persigue abrir tantas conexiones HTTP como se pueda a un servidor web y mantenerlas abiertas tanto tiempo como sea posible provocando que el servidor web bloquee las peticiones legítimas.
- RUDY: ataque muy parecido al anterior, que persigue saturar el número de conexiones de un servidor web y mantenerlas abiertas mediante el envío de tráfico.
- THC-SSL: ataque que consiste en generar muchos intentos de renegociación SSL que saturan la CPU del servidor HTTPS.
■ Por todo lo expuesto, las empresas con presencia en Internet necesitan proteger sus activos en la red, asegurar su continuidad de negocio y su reputación con una solución de protección frente a ataques DDoS adaptada a sus necesidades.
Para cada tipo de escenario de red de la compañía o tipo de ataque, es necesario aplicar una solución de arquitectura Anti-DDoS específica.
Soluciones Anti-DDoS para proteger los servicios digitales
Así, una solución de ISP, desde la red del operador, solventará adecuadamente cualquier tipo de ataque con una configuración y despliegue adecuados, con poco impacto en la provisión y entregando el tráfico limpio de forma transparente para el cliente por el mismo enlace de comunicación contratado sin necesidad de desvío de tráfico.
Una solución Cloud es adecuada para cualquier tipo de ataque volumétrico entregando el tráfico limpio por un enlace virtual punto a punto. También es adecuada cuando la empresa tiene sedes multipaís, con distintas localizaciones geográficas y diferentes proveedores de internet.
Estas soluciones ofrecen configuración on-demand, realizando el desvío de tráfico en el momento del ataque para ser contrarrestado; o en modo allways-on, de forma que todo el tráfico se está analizando en todo momento para atajar un ataque volumétrico en el instante que se produce.
■ Haciendo referencia a certificaciones de seguridad, las empresas de sector público requieren soluciones de seguridad certificadas con el Esquema Nacional de Seguridad (ENS), que otorga requisitos de seguridad sobre la operación e infraestructuras, y continuidad de negocio constante, revisable anualmente.
Capacidades clave de una solución de protección DDoS eficaz
Las características fundamentales que todas las soluciones de protección de ataques de denegación de servicios deben ofrecer incluyen monitorización y detección, mitigación y limpieza, e informes de mitigación:
- En la fase de monitorización se analiza el tráfico hacia el cliente o desde el cliente de forma permanente buscando patrones de tráfico de ataque mediante mecanismos de detección de ataques DDoS.
- La fase de mitigación y limpieza de tráfico atacante se encarga de eliminar todo el tráfico no lícito hacia el cliente, que podrá realizarse de forma allways-on u on-demand atendiendo a la configuración específica realizada, de forma que el tráfico que llegue a la compañía sea siempre lícito para evitar cualquier tipo de colapso de los servicios, atajando de este modo de forma transparente el ataque.
- Y por último, cualquier tipo de solución de ataques de denegación de servicio, es conveniente que ofrezca información en todo momento en un momento de ataque, tanto al inicio, durante y a la finalización del mismo.
Un servicio gestionado de protección DDoS desde el operador permite detectar, mitigar y limpiar el tráfico malicioso con mayor rapidez y eficacia, minimizando el impacto en los servicios.
La importancia de un servicio gestionado de protección DDoS desde el operador
Nos podríamos preguntar si es necesario contratar un servicio gestionado acompañando a la solución de ataques de denegación de servicios. Y de ser así, a quién.
Como se indicaba al principio, los ataques de denegación de servicios son cada vez más frecuentes, millones de ataques anuales. Y según el tráfico de internet, quién puede observar la mayor parte del tráfico es quién puede atajar mejor este tipo de ataques de indisponibilidad de servicios.
Así, contar con un servicio gestionado de protección DDoS apoyado en la red del operador y operado por equipos especializados resulta clave para una defensa eficaz. Telefónica de España, en su rol de proveedor de servicios de internet, aporta una visión privilegiada del tráfico global y la capacidad de actuar directamente desde la red para mitigar los ataques.
Sobre esta infraestructura, desde Telefónica Tech ponemos a disposición de las empresas equipos expertos dedicados íntegramente a la detección y mitigación de ataques DDoS, con más de 1.500 ataques mitigados anualmente en entornos de clientes, aplicando en cada fase del ataque las contramedidas más adecuadas y minimizando el impacto sobre los servicios del cliente.
■ Contar con la experiencia de un especialista permite adaptar la respuesta y aplicar la solución más eficaz ante cada tipo de ataque DDoS. No obstante, el operador de telecomunicaciones siempre dispone de una visión global del tráfico que le permite anticipar y mitigar ataques de manera más ágil y precisa. Así, la combinación de ambos factores proporciona la mejor defensa ante amenazas de denegación de servicio.
Un operador de telecomunicaciones, como Telefónica de España, por su visibilidad global del tráfico y su capacidad de respuesta en red, es el actor mejor posicionado para mitigar ataques DDoS de forma eficaz.
De este modo, la detección del ataque se realiza de forma automática cuando se identifican determinados patrones de tráfico dirigido a los enlaces del cliente, y genera una alarma que se registra en los sistemas para su evaluación por parte de la operación del servicio. Este ofrecerá mitigación efectiva de todo tipo de ataques y detección proactiva de los ataques de denegación de servicio.
Cuando se detecta un posible ataque, las herramientas de detección generan las correspondientes alarmas, y se debe actuar en consecuencia. Bien de forma automática o manual, pero siempre bajo la observación de una mano experta en este tipo de soluciones, que en nuestro caso otorga Telefónica España desde su posición de ISP.
Conclusiones
Toda empresa con presencia en Internet, de cualquier sector o industria, con necesidad de proteger sus activos en la red y asegurar su disponibilidad de servicios, continuidad de negocio y reputación, necesita una solución adaptada de protección de ataques de denegación de servicios que detecte, mitigue e informe en todo momento a la compañía afectada por un ataque.
En el caso del sector público, requiere adicionalmente soluciones de seguridad que cumplan certificaciones como ENS (Esquema Nacional de Seguridad).
Un operador de telecomunicaciones, por su visibilidad global del tráfico y su capacidad de respuesta en red, junto con un equipo experto en este tipo de soluciones, es el actor mejor posicionado para mitigar ataques DDoS de forma eficaz.
■ DDoS Protection: En Telefónica Tech diseñamos y operamos servicios gestionados de protección DDoS que cubren de forma integral las distintas necesidades de seguridad de las empresas, combinando soluciones adaptadas a cada entorno con la experiencia de nuestros equipos especializados en mitigación de ataques DDoS.
