Tecnología Innovación Ciencia Inteligencia Artificial Ciberseguridad Micrositios TIC

ciberseguridad

Ataques DDoS: ¿Cómo proteger su negocio?

Home Ciberseguridad
Dirección copiada

¿Sabía usted que un ataque DDoS cuesta en promedio alrededor de 6.000 dólares por minuto de interrupción? Hablamos de una tendencia cibercriminal que crece cada año en rentabilidad y número de ataques. Conozca en qué consiste y cómo mitigarlos.

Publicado el 22 de sept de 2025
Jorge Hernández

Periodista de tecnología, escritor y libretista. Editor en ImpactoTIC

Los DDoS cuestan a las empresas unos 6.000 dólares por minuto de interrupción
Los DDoS cuestan a las empresas unos 6.000 dólares por minuto.

En agosto de 2025, la firma de ciberseguridad Correo publicó el artículo: ‘The True Cost of a DDoS Attack’, un texto que dio algunas luces sobre una actividad criminal en ascenso: los ataques distribuidos de denegación de servicio (DDoS). Una actividad criminal que congestiona (imagine un trancón vehicular) los canales digitales de las empresas.

El estudio dio a conocer que, en promedio, los DDoS cuestan a las empresas unos 6.000 dólares por minuto de interrupción, una cantidad que varía según el tipo de empresa, su cantidad de clientes, vertical de negocio, etc.

Se trata de un fenómeno global que afecta a todo tipo de organizaciones y empresas sin importar su origen. Desde empresas privadas como EPS Sanitas y Audifarma hasta entidades gubernamentales como los ministerios de Salud y Justicia que vieron paralizados aproximadamente 2.000.000 de procesos legales en 2023.

De hecho su crecimiento ha sido tal que Bruce Schneier, criptógrafo y experto en seguridad, afirma que durante los últimos años, “alguien ha estado sondeando las defensas de las empresas que gestionan elementos críticos de Internet. Estas sondas adoptan la forma de ataques calibrados con precisión, diseñados para determinar exactamente cómo pueden defenderse estas empresas y qué se necesitaría para derribarlas”.

Por ello y para conocer sobre esta tendencia y cómo combatirla es necesario partir de las bases: ¿En qué consisten los DDoS?

¿Qué es un ataque DDoS y cómo funciona una “botnet”?

Según la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), un ataque distribuido de denegación de servicio (DDoS) se produce cuando varias máquinas operan conjuntamente para atacar un objetivo. Los atacantes DDoS suelen aprovechar el uso de una red de bots (botnets) , un grupo de dispositivos conectados a Internet que han sido secuestrados para llevar a cabo ataques a gran escala. 

Los atacantes se aprovechan de las vulnerabilidades de seguridad o de los puntos débiles de los dispositivos para controlar numerosos equipos mediante software. Una vez que tienen el control, los atacantes pueden ordenar a su red de bots que lleve a cabo un ataque DDoS contra un objetivo. En este caso, los dispositivos infectados también son víctimas del ataque.

De hecho, los DDoS se parecen mucho a los DoS o ataques de denegación de servicio que son esencialmente una forma de ciberataque que busca agotar los recursos de un sistema, aplicación o sitio web, con el fin de impedir el acceso de los usuarios legítimos. Esto provoca que el servicio objetivo se vuelva inaccesible, afectando su disponibilidad. Existen múltiples variantes de este tipo de ataque, todas enfocadas en saturar la capacidad del sistema.

Entre los métodos más comunes está la sobrecarga de recursos de red, donde se consume el hardware, software o ancho de banda del objetivo. Esto puede hacerse de manera directa, explotando vulnerabilidades o inundando el servidor con solicitudes, o mediante un ataque de amplificación por reflexión, en el que se utiliza un servidor de terceros para redirigir grandes volúmenes de tráfico hacia la víctima.

También existen ataques que saturan los recursos de protocolo, agotando las sesiones o conexiones disponibles, y los que se enfocan en los recursos de aplicación, consumiendo procesamiento o almacenamiento.

Cuando este tipo de ataque no proviene de una sola máquina, sino de múltiples dispositivos que actúan de forma coordinada, el DoS pasa a denominarse DDoS o ataque distribuido de denegación de servicio. Esta modalidad resulta más peligrosa y difícil de mitigar, ya que multiplica el volumen de tráfico y aprovecha la dispersión de los atacantes para dificultar la defensa.

¿Qué es una botnet?

La herramienta principal para ejecutar los DDoS es una botnet, una red de dispositivos conectados a internet que han sido infectados con malware y están bajo el control de un atacante. Esta red de “bots” o “zombis”, que puede incluir desde ordenadores y servidores hasta dispositivos del Internet de las Cosas (IoT) como cámaras o routers, recibe instrucciones de un servidor de comando y control (C&C).

Al recibir una orden, todos los dispositivos de la botnet envían solicitudes simultáneamente al servidor de la víctima, generando un volumen de tráfico que satura su capacidad y provoca la denegación del servicio.

Para ilustrarlo con una analogía de tráfico, imagine que un servidor web es una tienda con una sola puerta de entrada. El flujo normal de clientes representa el tráfico legítimo. Un ataque DDoS equivale a que miles de coches teledirigidos (la botnet) bloquean simultáneamente la entrada de la tienda, creando un atasco que impide el paso a los clientes reales. La tienda se vuelve inaccesible no por un problema interno, sino porque su infraestructura de acceso está completamente saturada.

El modelo OSI

El modelo OSI (Open Systems Interconnection) es un estándar conceptual desarrollado por la Organización Internacional de Normalización (ISO) a finales de la década de 1970 y publicado por primera vez en 1984. Su principal objetivo es facilitar la interoperabilidad entre diferentes sistemas de comunicación y fabricantes, creando un lenguaje común para que las redes puedan conectarse y comunicarse sin importar las diferencias tecnológicas o de protocolos. 

Desde su creación, el modelo OSI se ha convertido en una herramienta fundamental en la enseñanza, diseño y análisis de redes, ayudando a entender cómo viajan los datos a través de una red y cómo se interrelacionan los distintos protocolos y tecnologías. Y precisamente estas capas son objetivos de los ataques, segmentos que se dividen así:

  1. Capa Física:  Se encarga de la transmisión física de los bits a través de cables, fibra óptica o aire. Define las características eléctricas, ópticas y mecánicas del medio.
  2. Capa de Enlace de Datos:  Organiza los bits en tramas para enviarlos de manera fiable entre dos dispositivos conectados directamente, controlando errores y acceso al medio.
  3. Capa de Red:  Encargada de dirigir y enrutar los paquetes desde el origen hasta el destino, usando direcciones lógicas y seleccionando las mejores rutas.
  4. Capa de Transporte:  Asegura que la comunicación sea confiable, entregando los datos completos y en orden, controlando errores y gestionando la retransmisión si es necesario.
  5. Capa de Sesión:  Gestiona la apertura, mantenimiento y cierre de sesiones o conexiones entre aplicaciones.
  6. Capa de Presentación:  Traduce y convierte los datos a un formato entendible para ambas partes, además de realizar cifrado, compresión o descifrado.
  7. Capa de Aplicación:  Proporciona servicios directamente a las aplicaciones del usuario, como correo electrónico, navegación web o transferencia de archivos.

¿Por qué los ataques DDoS en Colombia crecieron un 94%?

En medio del último DDoS Summit Colombia, Telefónica Colombia y Radware dieron a conocer que los ataques DDoS  aumentaron un 94% entre 2023 y 2024 en Colombia. Al respecto es importante aclarar que este dato corresponde específicamente al aumento global de ataques de capa 7 dirigidos a la industria de los videojuegos.  

Si bien esta estadística no se aplica directamente al panorama nacional colombiano en su totalidad, la tendencia subyacente de un riesgo cibernético creciente en el país es una realidad documentada. El incremento de la actividad DDoS en Colombia y la región de América Latina se debe principalmente a dos causas probables:

  1. Mayor superficie de ataque por dispositivos IoT: La digitalización acelerada y la proliferación de dispositivos del Internet de las Cosas (IoT) con configuraciones de seguridad deficientes han creado un ecosistema vulnerable. Muchos de estos dispositivos son fáciles de comprometer e incorporar a botnets, aumentando los recursos disponibles para lanzar ataques desde dentro de la región. La infraestructura de internet en algunas zonas de Latinoamérica puede ser más susceptible a interrupciones, lo que significa que los ataques de menor volumen pueden causar un daño significativo.
  2. Hacktivismo y extorsión: Una parte considerable de los ataques DDoS en la región tiene motivaciones políticas, una práctica conocida como “hacktivismo”. Se han registrado picos de ataques en Colombia coincidiendo con eventos de alta tensión política, como los ciclos electorales presidenciales, utilizados como forma de protesta digital. Paralelamente, la extorsión es otro motor clave. Los atacantes amenazan o ejecutan un ataque DDoS contra una empresa y exigen un pago para detenerlo. Un caso reciente en Colombia fue el de la revista Cambio, que denunció haber recibido ataques y amenazas de extorsión para que eliminara una investigación periodística de su sitio web.

¿Qué tipos de ataques DDoS existen y cuál es el más difícil de detectar?

Los ataques DDoS son diversos y se clasifican en diferentes categorías según el recurso que buscan agotar de sus víctimas. Por ello, los atacantes a menudo combinan varias técnicas para maximizar el impacto y evadir las defensas. A continuación, se presenta una tabla con las opciones más usadas según su dificultad y vectores:

Tipo de ataqueVector y objetivoCapa OSIDificultad de detecciónEjemplo
VolumétricoSaturación de ancho de banda: Inunda la conexión a internet del objetivo con un volumen masivo de tráfico. Se mide en Gigabits o Terabits por segundo (Gbps/Tbps).Red (Capa 3) / Transporte (Capa 4).Baja a media: Son ataques ‘ruidosos’ que generan anomalías de tráfico evidentes, aunque a veces pueden confundirse con picos de tráfico legítimo.Amplificación de DNS: El atacante envía pequeñas consultas a servidores DNS abiertos usando la IP de la víctima. Los servidores responden con respuestas mucho más grandes, amplificando el volumen del ataque hacia el objetivo.
De ProtocoloAgotamiento de estado: Consume los recursos de equipos de red como firewalls o balanceadores de carga al explotar vulnerabilidades en los protocolos de comunicación. Se mide en Paquetes por segundo (pps).Red (Capa 3) / Transporte (Capa 4).Media: Son más sutiles que los ataques volumétricos, pero generan patrones anómalos en los paquetes que pueden ser detectados por sistemas avanzados.Inundación SYN (SYN Flood): El atacante envía una avalancha de solicitudes de conexión TCP (SYN) que el servidor deja abiertas, agotando su tabla de conexiones y bloqueando a usuarios legítimos.
De AplicaciónAgotamiento de recursos de la aplicación: Satura un servidor web con solicitudes que parecen legítimas pero que son computacionalmente costosas de procesar (ej. consultas a bases de datos). Se mide en Peticiones por segundo (rps).Aplicación (Capa 7).Alta: Es el tipo más difícil de detectar. El tráfico puede ser indistinguible del de un usuario real, y los ataques “lentos y bajos” están diseñados para pasar desapercibidos por las defensas basadas en umbrales.Inundación HTTP (HTTP Flood): Una botnet envía un gran número de peticiones HTTP (GET o POST) a una parte específica y pesada de un sitio web, como un formulario de inicio de sesión o un buscador, agotando la CPU y la memoria del servidor.
MultivectorAsalto combinado: Utiliza simultáneamente o en secuencia múltiples vectores de ataque de las categorías anteriores para confundir y sobrepasar las defensas.Capas 3, 4 y 7.Muy Alta: Diseñado para maximizar la disrupción. Un ataque volumétrico puede servir de “cortina de humo” para distraer a los equipos de seguridad mientras un ataque de aplicación más sigiloso roba datos.Un ataque de amplificación de DNS (volumétrico) para saturar el ancho de banda, combinado con una inundación HTTP (aplicación) contra la API de inicio de sesión y una inundación SYN (protocolo) contra el firewall.

¿Cómo reconocer que estás bajo un ataque DDoS?

La detección temprana es fundamental para una mitigación eficaz. Aunque algunas de estas señales pueden coincidir con eventos de tráfico legítimo elevado, su aparición súbita y sin una causa aparente justifica una investigación. Los síntomas más comunes de un ataque DDoS en curso son:

  • Lentitud súbita de la red y timeouts: Un indicador principal es una degradación notable y repentina del rendimiento. Las páginas web tardan mucho en cargar, las aplicaciones no responden y se producen errores de conexión o ‘timeout’ de forma generalizada.
  • Picos de tráfico anómalos: Un aumento drástico e inexplicable en el volumen de tráfico entrante es una señal clara. Este tráfico a menudo proviene de ubicaciones geográficas o rangos de direcciones IP inusuales para el perfil de usuario habitual.
  • Caída de servicios o endpoints críticos: El sitio web, las APIs u otros servicios en línea se vuelven completamente inaccesibles. A menudo, esto se manifiesta con errores del servidor, como el código HTTP 503 o ‘servicio no disponible’.
  • Patrones repetitivos en los registros (logs): Un análisis de los registros del servidor o del firewall puede revelar patrones sospechosos. Por ejemplo, una cantidad desproporcionada de solicitudes desde una misma IP, un aluvión de peticiones a una única página o patrones de tráfico con una periodicidad extraña (picos exactos cada 10 minutos).

¿Qué medidas básicas puedes aplicar hoy sin gran complejidad?

Aunque la defensa contra ataques a gran escala requiere servicios especializados, existen medidas fundamentales que cualquier organización puede implementar para construir una postura de defensa resiliente. Estas tecnologías funcionan mejor como un sistema de capas progresivas.

  1. Web Application Firewall (WAF): Actúa en la capa de aplicación (Capa 7) y es la primera línea de defensa contra ataques sofisticados. Inspecciona el tráfico HTTP/S y filtra solicitudes maliciosas que buscan explotar vulnerabilidades de la aplicación, como las inundaciones HTTP.
  2. Limitación de Tasa (Rate Limiting): Es una técnica que controla el número de solicitudes que un servidor acepta desde una misma dirección IP en un periodo de tiempo determinado. Es muy eficaz para mitigar ataques de fuerza bruta o ataques de aplicación que dependen de un alto volumen de peticiones por segundo.
  3. Red de Distribución de Contenidos (CDN): Una CDN es una red de servidores distribuidos geográficamente que almacena en caché el contenido estático de un sitio web. Su infraestructura masiva ayuda a absorber y dispersar el tráfico de ataques volumétricos, evitando que saturen la conexión del servidor de origen.
  4. Red Anycast: Es un método de enrutamiento avanzado utilizado por la mayoría de los proveedores de CDN y mitigación de DDoS. Permite que una misma dirección IP sea anunciada desde múltiples centros de datos en todo el mundo. Durante un ataque, el tráfico malicioso se distribuye por toda la red global del proveedor en lugar de concentrarse en un solo punto, lo que diluye su impacto y hace casi imposible que el ataque tenga éxito.

Otras medidas incluyen la configuración de listas de permisos/bloqueos (allow/deny lists) para restringir el acceso desde IPs conocidas como maliciosas y la implementación de alertas básicas que notifiquen sobre picos de tráfico anómalos.

Diagrama de mitigación de ataques DDoS

¿Qué casos recientes muestran el impacto real de los DDoS?

Los siguientes casos muestran la escala y las implicaciones estratégicas de las campañas modernas de ataques distribuidos de denegación de servicio (DDoS), que cada vez son más complejas y difíciles de enfrentar.

En septiembre de 2025, la empresa de infraestructura Cloudflare logró mitigar el ataque DDoS de mayor volumen registrado públicamente hasta la fecha. Este ataque alcanzó un pico de 11.5 Terabits por segundo (Tbps), lo que lo convierte en un récord histórico en términos de magnitud.

El ataque fue una inundación de paquetes UDP llevada a cabo por la botnet AISURU, una red formada por aproximadamente 300,000 routers y dispositivos IoT comprometidos. Lo más relevante de este evento no fue solo la escala masiva —capaz de saturar la capacidad de red de países enteros—, sino también su duración extremadamente corta, de apenas 35 segundos.

Este tipo de táctica, conocida como ‘ataque relámpago’, busca causar el máximo impacto antes de que los equipos humanos puedan responder. De esta manera, resalta la importancia de contar con sistemas de mitigación automatizados capaces de reaccionar en tiempo real frente a estas amenazas.

Otro caso ilustrativo ocurrió en noviembre de 2022, cuando el proveedor de salud colombiano Keralty y su filial EPS Sanitas fueron víctimas de un ciberataque. Aunque el vector principal fue el ransomware, el incidente también implicó la interrupción de servicios críticos, afectando el acceso a sitios web y la programación de citas médicas para millones de usuarios.

La relevancia de este caso en el contexto de los DDoS es que mostró una táctica en crecimiento: usar un ataque DDoS como distracción. Mientras la atención de los defensores se centra en restaurar el servicio, los atacantes aprovechan para ejecutar su verdadero objetivo, como el robo de datos o la instalación de ransomware. Esto demuestra que un ataque DDoS no debe verse solo como un problema de disponibilidad, sino como una señal de alerta de una intrusión más profunda y peligrosa.

Diagrama de mitigación de ataques DDoS

¿Cuándo conviene una mitigación local y qué evaluar del proveedor?

La elección de un proveedor de mitigación de DDoS es una decisión estratégica. La evaluación debe centrarse en un conjunto de criterios técnicos y operativos clave. Entre los más importantes se encuentran la capacidad de mitigación de la red del proveedor, la latencia, el Acuerdo de Nivel de Servicio (SLA) que garantice un tiempo de mitigación en segundos, el cumplimiento de normativas de datos y el acceso a soporte técnico especializado 24/7.

Además, la decisión entre una solución local (on-premise) o una global (basada en la nube) depende de las necesidades específicas de la organización. Cada una con sus fortalezas y retos:

  • Soluciones locales: Consisten en hardware desplegado en el perímetro de la red de la organización. Ofrecen una mitigación de muy baja latencia para ataques de aplicación y de protocolo de menor escala. Sin embargo, son ineficaces contra ataques volumétricos grandes, ya que estos pueden saturar la conexión a internet antes de que el tráfico llegue al dispositivo local.
  • Soluciones globales: Operan en redes masivas y distribuidas geográficamente. Son capaces de absorber los ataques volumétricos más grandes. Su principal desventaja potencial es la latencia si el proveedor no cuenta con una red de centros de depuración lo suficientemente distribuida.
CriterioMitigación local (On-Premise)Mitigación global (Cloud)
Defensa VolumétricaBaja: Limitada por la capacidad de la conexión a internet local.Excelente: Capacidad casi ilimitada para absorber ataques de múltiples terabits.
Defensa de AplicaciónExcelente: Latencia muy baja y control granular de políticas.Muy buena: Altamente efectiva, pero puede introducir una latencia mínima.
Impacto en LatenciaMuy bajo: El tráfico se inspecciona localmente.Bajo a medio: Depende de la proximidad de los centros de depuración del proveedor.
EscalabilidadFija: Limitada por la capacidad del hardware.Elástica: Escala bajo demanda para igualar el volumen del ataque.
Modelo de CostoAlto costo inicial (CapEx) y de mantenimiento (OpEx).Basado en suscripción (OpEx), con costos predecibles.

Como vemos, no existe una respuesta única. Por lo cual,  la mayoría de las empresas optan por un modelo híbrido que combina un dispositivo local para la defensa diaria y una conexión bajo demanda a un servicio en la nube para ataques volumétricos representa la estrategia más equilibrada y resiliente. Todo ello debe estar involucrado en una estrategia global de ciberseguridad que sea flexible y ajustada a los desafíos y recursos de cada organización.

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

Periodista de tecnología, escritor y libretista. Editor en ImpactoTIC
Jorge Hernández
Periodista de tecnología, escritor y libretista. Editor en ImpactoTIC

Periodista de la Universidad de La Sabana, escritor y guionista con más de 20 años de experiencia en medios como El Tiempo, El Espectador y la revista Esquire, además de medios de tecnología como Canal Informático y CityTech. Libretista de estudio para las cadenas RCN y ESPN. Además, ganador en convocatorias para el desarrollo de videojuegos (CREA Digital 2020) y series de televisión (Ibermedia 2023). Periodista de Impacto TIC, medio del grupo Nextwork360. Gamer y amante de la tecnología y toda clase de narrativas digitales y tradicionales.

Sígame en

Canales

Artículos relacionados

  • Cormagdalena, en alianza con Movistar Empresas, ha implementado un sistema de monitoreo que permite observar el comportamiento del río Magdalena

  • anuncios

    Cormagdalena y Movistar cuidan al río más importante de Colombia

    16 Jul 2025

    por Redacción Impacto TIC

    Compartir
  • EquipoZentrack-seguidor solar

  • ENTREVISTA

    Colombianos desarrollan el primer seguidor solar que revoluciona la transición energética

    27 Feb 2025

    por Sandra Defelipe Díaz

    Compartir
  • genAI en organizacion de procesos empresariales

  • guías empresariales

    Aumento de procesos empresariales: De RPA a GenAI

    10 Dic 2024

    por Redacción Impacto TIC

    Compartir
  • IA y finanzas Inteligencia Artificial para operaciones financieras

  • ESTUDIOS

    Inteligencia Artificial para operaciones financieras corporativas: impactos positivos en el ROI

    26 Dic 2024

    por Redacción Impacto TIC

    Compartir

Artículo 1 de 5