Ir al contenido
Amenazas y Ataques

¿Qué es un ataque DDoS?

Un ataque DDoS (Distributed Denial of Service, o denegación de servicio distribuida) intenta tumbar un sitio, una aplicación o una red inundándolo con un volumen enorme de accesos falsos al mismo tiempo, provenientes de miles de dispositivos infectados. El objetivo no es robar datos, sino dejar el servicio fuera de línea: sobrecargado, el sistema se vuelve lento o inaccesible para los clientes reales. Es el equivalente digital de una multitud bloqueando la entrada de una tienda para que ningún cliente real pueda pasar.

Zamak TechnologiesActualizado el 10 de julio de 2026

Cómo funciona un ataque DDoS

Un DDoS no explota una contraseña ni una falla de programación: abusa de un límite físico, la capacidad del servicio de atender pedidos. El ataque se arma en cuatro etapas.

1

Armar la red de ataque

El criminal infecta miles de computadoras, routers y cámaras conectadas con malware, formando una red controlada a distancia llamada botnet.

2

Apuntar al objetivo

Elige la dirección del sitio, la aplicación o la red de la víctima y programa a toda la botnet para atacarla al mismo tiempo.

3

Inundar

Los miles de dispositivos disparan accesos falsos en masa. El volumen consume la capacidad de red, la memoria o las conexiones del servidor.

4

Tumbar

Sin capacidad de sobra, el servicio se vuelve lento o sale de línea. Los clientes reales no pueden entrar, y cada minuto detenido se convierte en pérdida y desgaste de reputación.

Fuente: Cyber Encyclopedia de N-able y Cloudflare (Informe de Amenazas DDoS).

Señales de que puede estar bajo un ataque DDoS

  • El sitio o el sistema se volvió lento o quedó fuera de línea de repente, sin haber cambiado nada de su lado
  • Un pico inusual de tráfico proveniente de una misma región, país o tipo de dispositivo
  • La caída se concentra en un servicio específico (un formulario, una página de inicio de sesión, una API)
  • El proveedor de hospedaje o de red señala un consumo de banda muy por encima de lo normal
  • La inestabilidad vuelve en oleadas, con picos que suben y bajan en lugar de una falla única

Los tres tipos de ataque DDoS

  • Volumétrico El más común: inunda la conexión con un volumen gigante de tráfico (medido en bits por segundo) hasta agotar la banda disponible, como una manguera de incendios apuntada a un vaso.
  • De protocolo Explota el modo en que se establecen las conexiones, por ejemplo abriendo miles de conexiones a medias (SYN flood) para agotar la memoria de servidores y firewalls.
  • De capa de aplicación El más sofisticado: envía pedidos que parecen legítimos a una parte específica del sitio (una búsqueda, un inicio de sesión) para tumbar la aplicación con mucho menos tráfico, lo que dificulta distinguir el ataque del uso real.

Por qué el DDoS es un riesgo real para su negocio

+121%
de aumento en la cantidad de ataques DDoS a lo largo de 2025 (Cloudflare, Informe de Amenazas DDoS 2025)
5.376
ataques DDoS bloqueados por hora, en promedio, en 2025 (Cloudflare)
31,4 Tbps
el mayor ataque DDoS jamás registrado, concentrado en apenas 35 segundos, a fines de 2025 (Cloudflare)

El DDoS dejó de ser una amenaza de nicho y se volvió un problema de escala industrial. A lo largo de 2025, uno de los mayores proveedores de red del mundo registró un aumento del 121% en la cantidad de ataques DDoS, llegando a un promedio de 5.376 ataques bloqueados por hora, y el mayor de ellos alcanzó 31,4 terabits por segundo, un volumen capaz de tumbar casi cualquier servicio desprotegido, concentrado en apenas 35 segundos. Para la empresa, el daño rara vez es el robo de datos: es la indisponibilidad. Una tienda en línea fuera de servicio, un sistema de pedidos trabado o un portal de clientes inaccesible significan venta perdida, operación detenida y clientes que se van a la competencia, sin contar el uso del DDoS como cortina de humo para esconder otro ataque en curso. Como depende de infraestructura de red con mucha capacidad, esta es una de las amenazas en las que la protección especializada hace la mayor diferencia.

Cómo proteger a la empresa contra ataques DDoS

No se puede impedir que un criminal dispare el ataque, pero sí absorber el impacto antes de que llegue a su servidor. Las capas, en el orden que más protege:

  1. Protección DDoS especializada en el bordeUn servicio de mitigación con red distribuida absorbe y filtra el tráfico de ataque lejos de su infraestructura, antes de que llegue al servidor.
  2. Filtro de aplicación (WAF)Un firewall de aplicación separa el pedido legítimo del falso, esencial contra los ataques de capa de aplicación, que imitan el uso real.
  3. Capacidad y redundanciaDistribuir el servicio en más de un punto y tener holgura de capacidad impide que un solo servidor concentre todo el impacto.
  4. Monitoreo continuo del tráficoUn centro de operaciones que observa el tráfico en tiempo real reconoce el pico anormal y activa la mitigación en los primeros minutos, cuando más vale.
  5. Un plan de respuesta ensayadoSaber de antemano quién activa la mitigación y cómo comunicar a los clientes convierte un susto en una respuesta ordenada, no en una corrida.

En la práctica

La pregunta que revela la exposición: si su sitio principal saliera de línea ahora por una avalancha de tráfico falso, ¿cuánto tardaría alguien en darse cuenta, y existe hoy un servicio en el borde para absorber el ataque antes de que llegue a sus servidores?

Cómo protege Zamak la disponibilidad de su empresa

Zamak Technologies trata la disponibilidad como parte de la seguridad, no como un detalle de infraestructura. La protección contra DDoS combina mitigación en el borde, filtro de aplicación y monitoreo continuo por un centro de operaciones de seguridad, de modo que el pico de tráfico malicioso se absorba antes de llegar a los sistemas que sostienen la operación. Como cada minuto fuera de línea tiene un costo concreto, un buen punto de partida es la calculadora de costo de inactividad, que muestra en números lo que una parada representa para su negocio.

Preguntas frecuentes sobre DDoS

¿Cuál es la diferencia entre DoS y DDoS?
En un ataque DoS (denegación de servicio), la inundación parte de una sola fuente. En el DDoS (denegación de servicio distribuida), viene de miles de dispositivos a la vez, por lo general una botnet. El DDoS es mucho más difícil de bloquear justamente porque no hay una sola dirección para frenar: el tráfico llega de todos lados.
¿Un ataque DDoS roba datos de la empresa?
En general, no. El objetivo del DDoS es la indisponibilidad, dejar el servicio fuera de línea, no el robo de información. El riesgo extra es que el DDoS puede usarse como cortina de humo: mientras el equipo corre a restablecer el servicio, otro ataque intenta invadir la red sin ser notado.
¿Una empresa pequeña es blanco de DDoS?
Sí. Con botnets y servicios de ataque alquilados por poco dinero, tumbar el sitio de una empresa pequeña se volvió barato. Competidores, extorsión y activismo son motivaciones comunes, y los negocios menores suelen tener menos protección, lo que los vuelve blancos fáciles.
¿El firewall común protege contra el DDoS?
Ayuda poco. Un firewall tradicional puede incluso ser tumbado por el propio ataque, porque tiene una capacidad finita de conexiones. La protección eficaz contra DDoS ocurre en el borde de la red, con un servicio especializado que absorbe y filtra el tráfico antes de que llegue a su infraestructura.
¿Cuánto dura un ataque DDoS?
Varía de segundos a días. Los mayores ataques registrados duraron menos de un minuto, pero fueron lo bastante intensos para tumbar servicios desprotegidos. Otros se extienden por horas en oleadas. Por eso la mitigación debe ser automática y continua, no una reacción manual.
¿Cómo sé si estoy bajo ataque o si es solo un pico de accesos?
Un pico legítimo suele tener un motivo (una campaña, una noticia) y un patrón coherente de origen. Un DDoS aparece sin causa aparente, con tráfico concentrado en una misma región o tipo de dispositivo y apuntando a un punto específico. El monitoreo continuo es lo que distingue ambos en tiempo real.

Términos relacionados

Endpoint e Identidad
MFAPAM (acceso privilegiado)SSO (inicio de sesión único)
Detección y Respuesta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operaciones)
Red y Acceso
ZTNAFirewallVPNSASE
Gobernanza y Conformidad
LGPDISO 27001SOC 2NIST CSFShadow ITEvaluación de madurez cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestión de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidad)FedRAMPGRC (gobernanza, riesgo, cumplimiento)vCIOvCISO
Conceptos y Fundamentos
Deep webZero TrustDefensa en profundidadSuperficie de ataqueEndpointMenor privilegio
IA y Seguridad
Shadow AIGobernanza de IAInyección de promptsOWASP LLM Top 10Deepfake