Volver al blog
Seguridad 24 Nov 2025 8 min lectura

Protección contra ataques DDoS: Cómo defender tu web

Descubre cómo proteger tu web de ataques DDoS. Tipos de ataques, señales de alerta y soluciones de mitigación.

Protección contra ataques DDoS: Cómo defender tu web

Un ataque DDoS (Distributed Denial of Service) puede tumbar tu web en minutos, dejándola inaccesible para usuarios legítimos. En esta guía te explicamos qué son estos ataques, cómo detectarlos y, lo más importante, cómo protegerte.

¿Qué es un ataque DDoS?

Un ataque DDoS inunda tu servidor con tráfico malicioso desde múltiples fuentes (de ahí "distribuido"), superando su capacidad y haciéndolo inaccesible. Es como si miles de personas bloquearan la entrada de tu tienda física impidiendo que entren clientes reales.

Diferencia con DoS

  • DoS: Ataque desde una sola fuente (más fácil de bloquear)
  • DDoS: Ataque desde miles de fuentes (muy difícil de filtrar)

Tipos de ataques DDoS

1. Ataques volumétricos

Saturan el ancho de banda con volumen masivo de tráfico.

  • UDP Flood: Envío masivo de paquetes UDP
  • ICMP Flood: Avalancha de pings
  • Amplificación DNS: Usa servidores DNS para amplificar el tráfico

2. Ataques de protocolo

Explotan debilidades en protocolos de red.

  • SYN Flood: Satura la tabla de conexiones TCP
  • Ping of Death: Paquetes malformados que crashean sistemas

3. Ataques de capa de aplicación

Los más sofisticados. Parecen tráfico legítimo.

  • HTTP Flood: Miles de peticiones HTTP aparentemente normales
  • Slowloris: Mantiene conexiones abiertas indefinidamente
  • Ataques a formularios: Envío masivo de formularios

Señales de que estás sufriendo un DDoS

  • Web extremadamente lenta o inaccesible
  • Picos anormales de tráfico en analytics
  • Alto consumo de CPU/RAM sin razón aparente
  • Errores 503 (servicio no disponible)
  • El uptime muestra caídas
  • Tráfico desde IPs/países inusuales
  • Patrones de tráfico no humanos

Cómo protegerse de ataques DDoS

1. Usa un CDN con protección DDoS

La forma más efectiva y sencilla. Los CDN como Cloudflare absorben el tráfico malicioso antes de que llegue a tu servidor.

Cloudflare (recomendado):

  • Plan gratuito incluye protección DDoS básica
  • Planes de pago ofrecen protección avanzada
  • Mitiga ataques de cualquier tamaño

2. Configura rate limiting

Limita las peticiones por IP para bloquear atacantes sin afectar usuarios legítimos.

# Nginx - Limitar a 10 req/segundo por IP
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

server {
    location / {
        limit_req zone=one burst=20 nodelay;
    }
}

3. Firewall de aplicación web (WAF)

Un WAF filtra tráfico malicioso antes de que llegue a tu aplicación.

  • Cloudflare WAF: Incluido en planes de pago
  • Sucuri: WAF especializado en WordPress
  • AWS WAF: Para infraestructura en AWS

4. Bloqueo geográfico

Si tu audiencia es local, bloquea países desde donde no esperas tráfico legítimo.

# .htaccess - Bloquear países específicos
# (usa GeoIP o Cloudflare para esto)

5. Blackholing y rate limiting a nivel de red

Para ataques volumétricos masivos, tu hosting puede implementar blackholing (desviar el tráfico a "la nada") como última defensa.

6. Escala tu infraestructura

Mayor capacidad = mayor resistencia. Considera:

  • Hosting con recursos escalables
  • Load balancer para distribuir carga
  • Auto-scaling en cloud

Plan de respuesta a DDoS

Similar al plan de acción cuando tu web se cae, ten preparado un protocolo:

1. Detección

2. Análisis rápido

  • ¿Qué tipo de ataque es?
  • ¿De dónde viene el tráfico?
  • ¿Qué recursos están saturados?

3. Mitigación

  • Activar modo "Under Attack" en Cloudflare
  • Aplicar rate limiting más agresivo
  • Bloquear IPs/rangos identificados
  • Contactar a tu hosting si es necesario

4. Comunicación

  • Informar al equipo interno
  • Si afecta a clientes, comunicar estado

5. Post-mortem

  • Analizar qué pasó
  • Reforzar defensas
  • Documentar para futuros incidentes

Protección por tipo de hosting

Hosting compartido

Poco control. Depende del proveedor. Usa Cloudflare como primera línea.

VPS

  • Cloudflare o CDN con protección
  • Configura firewall (iptables, ufw)
  • Instala fail2ban
  • Configura rate limiting en Nginx/Apache

Cloud (AWS, Google Cloud)

  • Servicios nativos de protección DDoS
  • AWS Shield (básico gratuito, advanced de pago)
  • Auto-scaling para absorber picos

Configuración básica de protección

Cloudflare (gratuito)

  1. Crea cuenta y añade tu dominio
  2. Cambia nameservers
  3. Activa "Proxy" en los registros DNS
  4. En Security, configura nivel de seguridad "Medium" o "High"
  5. Habilita "Browser Integrity Check"

fail2ban (Linux)

# Instalar
sudo apt install fail2ban

# Configurar para Nginx
[nginx-limit-req]
enabled = true
port = http,https
filter = nginx-limit-req
logpath = /var/log/nginx/error.log
maxretry = 10
findtime = 60
bantime = 3600

Monitoreo y detección temprana

La detección temprana es crucial. Configura:

  • WatcherWolf: Alertas inmediatas de caídas de uptime
  • Análisis de logs: Revisar logs del servidor para patrones anómalos
  • Alertas de tráfico: Notificación si el tráfico supera umbrales normales

Monitorea tu web contra DDoS

Conclusión

Los ataques DDoS son una amenaza real, pero con las defensas adecuadas puedes mitigar su impacto. La combinación de un CDN con protección DDoS, configuración de servidor apropiada, y un plan de respuesta te preparan para enfrentar estos ataques.

Complementa la protección DDoS con una estrategia completa de seguridad web para tener una defensa robusta.

¿Listo para monitorear tu web?

Empieza gratis y recibe alertas instantáneas cuando tu sitio tenga problemas.

Crear cuenta gratis
Compartir:

Artículos relacionados