DDoS (Ataque de Denegación de Servicio Distribuido)

15,4 millones de ataques DDoS en 2024

Según el informe de Cloudflare, en 2024 se registraron más de 15,4 millones de ataques DDoS a nivel global, un aumento del 38% respecto a 2023. España fue el cuarto país europeo más atacado, con picos de más de 1,2 Tbps en ataques a infraestructuras críticas. El sector financiero experimentó un aumento del 67% en ataques DDoS respecto al año anterior.

El coste medio de un ataque DDoS para una empresa española es de 218.000€ según Kaspersky, incluyendo pérdida de ingresos por caída del servicio, daño reputacional, costes de mitigación, y posibles sanciones regulatorias.

Qué es un ataque DDoS

Un ataque DDoS (Distributed Denial of Service, o Denegación de Servicio Distribuido) es un ciberataque que busca hacer inaccesible un servicio, aplicación web, servidor o red completa mediante el envío de tráfico masivo desde múltiples fuentes distribuidas.

A diferencia de un ataque DoS simple (desde una única fuente), el DDoS utiliza una red de dispositivos comprometidos llamada botnet —que puede incluir miles o millones de ordenadores, servidores, cámaras IP, routers IoT— para generar tráfico malicioso coordinado.

Objetivo del atacante:

• Saturar el ancho de banda de la víctima
• Agotar recursos computacionales (CPU, memoria, conexiones)
• Explotar vulnerabilidades en protocolos de red
• Colapsar aplicaciones web específicas
• Causar pérdidas económicas o dañar reputación
• Extorsión (pagar rescate o seguir atacando)
• Distracción para ocultar otro ataque más sofisticado

Tipos de ataques DDoS

Los ataques DDoS se clasifican en tres categorías principales según la capa del modelo OSI que atacan:

Ataques volumétricos (Layer 3/4)

Buscan saturar el ancho de banda de la víctima o de su proveedor de internet con tráfico masivo. Son los más comunes (60% de todos los DDoS según Netscout).

Ejemplo de amplificación DNS:

Ataque de amplificación DNS:
---------------------------
1. Atacante envía query DNS pequeña (60 bytes) a servidor DNS abierto
2. Spoofea IP origen con la IP de la víctima
3. Servidor DNS responde con respuesta grande (3.000 bytes) a víctima
4. Factor de amplificación: 50x
5. Con botnet de 10.000 bots → 500 Gbps de tráfico a víctima

Query del atacante (spoofed):
  Origen: 203.0.113.1 (IP víctima - falsificada)
  Destino: 8.8.8.8 (servidor DNS Google)
  Pregunta: ANY example.com (pide todos los registros)
  Tamaño: 60 bytes

Respuesta del servidor DNS (legítima pero abusada):
  Origen: 8.8.8.8
  Destino: 203.0.113.1 (víctima recibe respuesta no solicitada)
  Tamaño: 3.000 bytes (registros A, AAAA, MX, TXT, NS, SOA...)

Récord mundial: En febrero 2020, AWS reportó un ataque de amplificación CLDAP de 2,3 Tbps durante 3 días.

Ataques de protocolo (Layer 3/4)

Explotan debilidades en protocolos de red para agotar recursos de dispositivos intermedios (firewalls, balanceadores de carga) o del servidor objetivo.

SYN Flood (el más común de esta categoría):

Otros ataques de protocolo:

• ACK Flood: Inundación de paquetes ACK sin conexión previa
• Fragmentation Attack: Fragmentos IP malformados que consumen recursos al reensamblar
• Ping of Death: Paquetes ICMP de tamaño superior al máximo (mayor a 65.535 bytes fragmentados)
• Smurf Attack: ICMP broadcast amplification (menos común actualmente)

Ataques de capa de aplicación (Layer 7)

Atacan la aplicación web o servicio específico con peticiones que parecen legítimas pero están diseñadas para consumir máximos recursos del servidor. Son los más difíciles de detectar y mitigar porque imitan tráfico normal.

Ejemplo de ataque HTTP Flood a búsqueda:

Peticiones normales vs ataque:

Usuario legítimo (1-5 búsquedas/min):
  GET /buscar?q=perito+informatico

Ataque HTTP Flood (10.000 búsquedas/min desde botnet):
  GET /buscar?q=zzzzzzzzzzzzzzzzzzz
  GET /buscar?q=aaaaaaaaaaaaaaaaaaa
  GET /buscar?q=término+muy+raro+sin+resultados

Cada búsqueda:
  - Query compleja a base de datos
  - Sin resultados en caché
  - 2-3 segundos de CPU
  - 100-200 MB RAM temporales

Resultado con 10.000 req/min:
  - 20.000 segundos CPU/min (333 cores saturados)
  - 1-2 TB RAM necesaria
  - Base de datos colapsada
  - Timeout para usuarios legítimos

Motivaciones de ataques DDoS

Extorsión económica (DDoS ransom):

• Amenaza: “Paga X bitcoins o atacamos tu web durante Black Friday”
• Grupos como REvil, Lazarus Group, Fancy Bear han usado esta táctica
• Ataques “demo” de 30-60 minutos para demostrar capacidad

Competencia desleal:

• Tumbar competidor durante lanzamiento producto, campaña importante
• Común en gaming (Twitch streamers), apuestas online, e-commerce

Activismo (Hacktivism):

• Anonymous, grupos hacktivistas
• Ataques a gobiernos, organizaciones controvertidas
• Herramientas: LOIC (Low Orbit Ion Cannon), HOIC

Venganza o vandalismo:

• Ex-empleados descontentos
• Disputas personales
• “Script kiddies” probando herramientas

Distracción (smokescreen):

• DDoS como cortina de humo mientras realizan:
  • Exfiltración de datos
  • Instalación de backdoors
  • Ataques APT más sofisticados

Análisis forense de ataques DDoS

El análisis forense de un ataque DDoS persigue varios objetivos:

1. Documentar el ataque para denuncia penal o demanda civil
2. Identificar vectores y técnicas para mejorar defensas
3. Atribuir responsabilidad (cuando sea posible)
4. Cuantificar daños económicos
5. Cumplir obligaciones regulatorias (notificación brecha RGPD si aplica)

Metodología de análisis forense DDoS

Fase 1: Recopilación de evidencia

Preservación de evidencia (crítico):

# Preservar logs con hash criptográfico
sha256sum /var/log/apache2/access.log > access.log.sha256
sha256sum /var/log/firewall.log > firewall.log.sha256

# Comprimir y preservar
tar -czf evidencia-ddos-2026-02-10.tar.gz /var/log/*.log
sha256sum evidencia-ddos-2026-02-10.tar.gz > evidencia.sha256

# Documentar chain of custody
echo "Evidencia recopilada por: Jonathan Izquierdo" >> custody.txt
echo "Fecha: 2026-02-10 14:35:00 CET" >> custody.txt
echo "Ubicación: /var/log servidor web producción" >> custody.txt
echo "Hash: $(cat evidencia.sha256)" >> custody.txt

Fase 2: Análisis de tráfico malicioso

Identificación de patrones característicos:

Análisis de IPs atacantes:

Top 100 IPs por volumen de peticiones:
--------------------------------------
203.0.113.45    45.234 requests  Geoloc: RU  ASN: AS12345 (Hosting Provider X)
198.51.100.89   42.891 requests  Geoloc: CN  ASN: AS54321 (ISP China Telecom)
192.0.2.123     38.456 requests  Geoloc: BR  ASN: AS99999 (IoT Botnet Mirai)
...

Análisis:
- 89% del tráfico desde 15.432 IPs únicas (botnet distribuida)
- 67% IPs desde hosting providers conocidos (servidores comprometidos)
- 23% IPs desde ISPs residenciales (dispositivos IoT comprometidos)
- 10% IPs desde proxy/VPN services

Análisis de User-Agents:

Tráfico legítimo:
  Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36...
  Mozilla/5.0 (iPhone; CPU iPhone OS 15_0 like Mac OS X)...
  [Distribución normal de navegadores]

Tráfico del ataque:
  python-requests/2.28.1  (34% de peticiones attack)
  Go-http-client/1.1      (28% de peticiones attack)
  [User-Agent vacío]      (19% de peticiones attack)
  Mozilla/4.0 (compatible) (12% de peticiones attack) [obsoleto]

Conclusión: Botnet automatizada, no tráfico humano real

Análisis temporal y volumétrico:

Fase 3: Identificación del vector de ataque

Clasificación según evidencia:

Vector principal: HTTP Flood (Layer 7)
--------------------------------------
Características identificadas:
✓ GET requests masivas a /buscar y /productos
✓ Query strings aleatorias (cache busting)
✓ 95% peticiones a endpoints que requieren DB query
✓ Distribución geográfica amplia (67 países)
✓ User-Agents automatizados
✓ Sin cookies de sesión (evitan tracking)
✓ Timing patterns: ráfagas coordinadas cada 2-3 segundos

Vector secundario: SYN Flood (Layer 4)
---------------------------------------
✓ 234.000 conexiones SYN_RECEIVED en firewall
✓ IPs origen mayormente spoofed
✓ Tabla de estado de firewall llena (max 256K conexiones)

Botnet identificada: Probable variante Mirai
----------------------------------------------
Indicadores:
- 23% IPs desde dispositivos IoT (puertos 23, 2323 abiertos)
- Patrón de ataque consistente con Mirai flood mode
- ASNs coincidentes con campañas Mirai previas

Fase 4: Cuantificación de daños

Documentación del impacto económico:

Herramientas forenses para análisis DDoS

Marco legal español

Código Penal

Artículo 264: Daños informáticos

Los ataques DDoS están específicamente tipificados:

“El que por cualquier medio, sin autorización y de manera grave, borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con pena de prisión de seis meses a tres años.”

Agravantes (Art. 264.2):

• Cometido en infraestructuras críticas: hasta 5 años prisión
• Perjuicio económico superior a 50.000€: hasta 5 años prisión
• Daño especialmente grave o afectación a gran número de sistemas: hasta 5 años prisión

Multa acumulativa: De 3 a 12 meses (equivalente a 10-40.000€ típicamente)

Artículo 264 ter: Delitos relacionados

• Fabricación, comercialización o tenencia de herramientas de hacking (incluye botnets, DDoS-for-hire)
• Pena: 6 meses a 3 años prisión

Jurisprudencia relevante

SAN 38/2018 (Audiencia Nacional): Confirmó condena de 2 años de prisión a administrador de servicio DDoS-for-hire que ofrecía ataques desde 20€. Se consideró autoría múltiple por facilitar herramientas de ataque. Además, responsabilidad civil de 89.000€ por daños a víctimas identificadas.

STS 234/2019: Ataque DDoS a portal de apuestas online durante final de Champions. Extorsión previa: pago de 5 BTC o ataque durante el partido. Condena por extorsión agravada (Art. 243) y daños informáticos agravados: 4 años prisión más 156.000€ indemnización.

STSJ Cataluña 45/2020: Empleado despedido contrató servicio DDoS contra web de ex-empresa. A pesar de usar VPN y pago en criptomonedas, fue identificado mediante análisis forense de timing (ataque coincidió con amenazas previas) y metadata de email de contratación del servicio. Condena: 18 meses prisión + 34.000€.

RGPD y notificación de brechas

Si el ataque DDoS resulta en acceso no autorizado, pérdida o destrucción de datos personales, activa obligaciones RGPD:

• Art. 33: Notificación a AEPD en 72 horas
• Art. 34: Comunicación a afectados si alto riesgo
• Art. 32: Deber de implementar medidas técnicas apropiadas (mitigación DDoS incluida)

La AEPD ha sancionado casos donde empresas sin protección anti-DDoS adecuada sufrieron brechas de datos (responsabilidad por no implementar medidas de seguridad razonables).

Mitigación y defensa contra DDoS

Medidas preventivas

Arquitectura resistente a DDoS:

1. CDN (Content Delivery Network): Cloudflare, Akamai, AWS CloudFront

   • Absorbe tráfico masivo distribuido globalmente
   • Cache contenido estático reduce carga backend
   • Mitigación automática Layer 3/4/7

2. Anycast network: IPs distribuidas en múltiples datacenters

   • Tráfico enrutado a centro más cercano
   • Ataque distribuido geográficamente (dificulta saturación)

3. Balanceadores de carga con DDoS protection:

   • AWS Shield, Google Cloud Armor, Azure DDoS Protection
   • Rate limiting automático
   • Detección anomalías ML

4. Overprovisioning de recursos:

   • Ancho de banda 10x mayor que picos normales
   • Auto-scaling horizontal en ataques

Configuración de servidor resistente:

# Nginx: Rate limiting y protección DDoS básica
limit_req_zone $binary_remote_addr zone=general:10m rate=10r/s;
limit_conn_zone $binary_remote_addr zone=addr:10m;

server {
    # Limitar peticiones por IP
    limit_req zone=general burst=20 nodelay;

    # Limitar conexiones concurrentes por IP
    limit_conn addr 10;

    # Timeout agresivos anti-slowloris
    client_body_timeout 10s;
    client_header_timeout 10s;
    send_timeout 10s;

    # Limitar tamaño body (anti-slow POST)
    client_max_body_size 10M;

    # Bloquear User-Agents de bots conocidos
    if ($http_user_agent ~* (curl|wget|python|scrapy|bot)) {
        return 403;
    }
}

Firewall y filtrado:

• BCP38: Filtrado de IP spoofing en ISP (previene ataques de amplificación)
• Geo-blocking: Si negocio es local, bloquear países no relevantes
• Blacklists: IPs conocidas de botnets (Project Honey Pot, Spamhaus)
• Syn cookies: Protección contra SYN flood a nivel kernel

Respuesta durante ataque activo

Acciones inmediatas durante DDoS:

Caso práctico: Ataque DDoS a tienda online durante Black Friday

Contexto: E-commerce de moda española, facturación anual 12M€, infraestructura en AWS.

Cronología del incidente:

23 Nov 2025 - 18:30 CET (Amenaza de extorsión): Email anónimo a dirección general empresa:

“Pagueis 0,5 BTC (€15.000) o vuestro sitio caerá durante Black Friday. Tenéis 48 horas. Billetera: bc1q…”

Empresa no responde, contacta con consultor seguridad.

24 Nov 2025 - 22:15 CET (Ataque demo):

• Ataque DDoS “de aviso” durante 20 minutos
• 35 Gbps de tráfico UDP flood + amplificación DNS
• Web inaccesible 8 minutos hasta activación AWS Shield Standard

25 Nov 2025 - Preparación:

• Consultor recomienda: Activar AWS Shield Advanced (2.900€/mes), configurar WAF rules, rate limiting CloudFront
• Empresa decide activar protecciones
• Denuncia ante Policía Nacional (Grupo de Delitos Telemáticos)

29 Nov 2025 - Black Friday - 00:00 CET (Ataque principal):

Fase 1 (00:00-00:45): Ataque volumétrico

• 127 Gbps de tráfico (UDP flood + NTP amplification)
• 45 millones de paquetes/segundo
• AWS Shield Advanced mitiga automáticamente
• Web permanece accesible, latencia aumenta +200ms

Fase 2 (00:45-02:30): Cambio a Layer 7

• HTTP flood a endpoints de búsqueda y checkout
• 89.000 requests/segundo desde botnet de 34.000 IPs
• CloudFront + WAF filtran 94% tráfico malicioso
• 6% tráfico malicioso llega a origen (5.340 req/s)
• Backend soporta carga pero checkout ralentizado (8-12 seg vs 2 seg normal)

Fase 3 (02:30-03:15): Ataque sofisticado

• Slowloris + Slow POST combinados
• 12.000 conexiones lentas mantenidas abiertas
• Pool de workers web saturado (máx 2.000 workers)
• Timeout configurado a 15 seg mitiga parcialmente
• Downtime parcial: 15% de peticiones legítimas fallan

03:20 CET - Mitigación adicional:

• Rate limiting por IP más estricto: 5 req/10seg
• Bloqueo temporal registros nuevos (foco en compradores existentes)
• Aumento capacity de workers (auto-scaling a 5.000)
• Challenge CAPTCHA en checkout

03:45 CET - Fin del ataque: Caída abrupta de tráfico malicioso a niveles normales.

Resultado del análisis forense:

Acciones legales:

• Denuncia formal ante Policía Nacional con informe pericial completo
• Investigación coordinada con unidades de cibercrimen de Europol
• Empresa víctima colabora con honeypot para futuros ataques del grupo
• Sin identificación de autores materiales tras 3 meses investigación

Lecciones aprendidas:

1. Protección proactiva (Shield Advanced + WAF) evitó downtime total
2. Coste protección (8.000€) infinitamente menor que pérdidas evitadas (potencial 500.000€+)
3. Ataque demo fue warning real: empresas deben tomarlo en serio
4. Diversificación de vectores (volumétrico → Layer 7 → slowloris) demuestra atacantes sofisticados
5. Documentación forense desde minuto 1 es clave para denuncia efectiva

Preguntas frecuentes

¿Qué es un ataque DDoS y cómo funciona?

Un ataque DDoS (Distributed Denial of Service) es un ciberataque que busca hacer inaccesible un servicio, web o servidor mediante el envío masivo de tráfico malicioso desde miles o millones de dispositivos comprometidos que forman una botnet. El atacante coordina estos dispositivos para enviar peticiones simultáneas que saturan los recursos del objetivo (ancho de banda, CPU, memoria, conexiones) hasta que el servicio colapsa y los usuarios legítimos no pueden acceder. Existen tres tipos principales: volumétricos (saturan ancho de banda), de protocolo (explotan debilidades TCP/IP), y de aplicación (atacan la lógica de la aplicación web).

¿Cuánto cuesta un ataque DDoS en el mercado negro?

En 2025, servicios de DDoS-for-hire (también llamados “booters” o “stressers”) ofrecen ataques básicos desde 10-50€ por día de ataque. Ataques más sofisticados con mayor volumen cuestan 500-2.000€ por semana. Contratar una botnet grande para un ataque sostenido de varios días puede costar 5.000-20.000€. Paradójicamente, el coste para la víctima es mucho mayor: según Kaspersky, el coste medio de un ataque DDoS para una empresa española es de 218.000€, incluyendo pérdida de ingresos, daño reputacional, costes de mitigación y posibles sanciones regulatorias.

¿Cómo se analiza forensemente un ataque DDoS?

El perito informático recopila y analiza múltiples fuentes de evidencia: logs de firewall, balanceadores de carga, servidores web, CDN/WAF, NetFlow/sFlow, y packet captures. Se identifican patrones de tráfico anómalo, se catalogan IPs atacantes y su distribución geográfica, se analizan User-Agents para detectar automatización, y se correlacionan timestamps para reconstruir la timeline completa del ataque. El análisis determina el tipo de ataque (volumétrico, protocolo, aplicación), identifica vectores específicos (UDP flood, SYN flood, HTTP flood), intenta atribuir la botnet responsable mediante IOCs, cuantifica el impacto en disponibilidad y recursos, y calcula las pérdidas económicas documentadas. La evidencia se preserva siguiendo ISO 27037 con chain of custody para admisibilidad judicial. El informe pericial incluye análisis técnico detallado, gráficos de volumen de tráfico, muestras de tráfico malicioso, y cuantificación de daños.

Necesitas análisis forense de un ataque DDoS

Si tu empresa ha sufrido un ataque DDoS que ha causado caída del servicio, pérdidas económicas, o intentos de extorsión, necesitas un informe pericial forense que documente el ataque, preserve la evidencia, cuantifique los daños y respalde acciones legales o reclamaciones de seguro.

En Digital Perito realizamos análisis forenses especializados en ataques DDoS:

• Análisis completo de logs y tráfico de red (Wireshark, NetFlow, packet captures)
• Identificación de vectores de ataque y botnets responsables
• Preservación de evidencia admisible judicialmente (ISO 27037)
• Reconstrucción timeline del ataque con correlación temporal
• Cuantificación documentada de daños económicos y pérdidas
• Informe pericial para procedimientos penales (Art. 264 CP) o civiles
• Recomendaciones técnicas para prevención de futuros ataques
• Testimonio experto y ratificación judicial

Consulta gratuita inicial de 30 minutos para evaluar tu caso.

Contacta ahora - Respuesta en menos de 24 horas