¿Qué es un ataque DDoS? Definición y ejemplos

¿Qué es un ataque DDoS?

Estos atascos en la red es un ataque directo que compromete la privacidad digital de los internautas. En marzo de 2025, se reportó un ataque DDoS en España a manos de un grupo de hackers rusos. Pusieron en el objetivo al Ministerio de Defensa, al Ministerio de Inclusión, la Seguridad Social, Centro Criptológico Nacional y el Real Instituto Elcano. ¿Por qué tanto interés en las instituciones españolas? Al desactivar sus páginas webs con DDoS, causarían el caos.

¿Cómo funciona un ataque DDoS?

Los ataques DDoS empiezan con unos hackers que manejan malware para crear redes de bots. Estos dispositivos se conectan a internet y están infectados con código malicioso, el siguiente paso será encontrar a la víctima ideal. Las redes de bots, denominado botnet, están presentes en numerosos escenarios, incluido los dispositivos IoT, móviles o portátiles.

¿Qué ocurre cuando se infecta un dispositivo? Los siguientes aparatos electrónicos corren la misma suerte siguiendo el efecto dominó. Es el principio de una epidemia que será difícil de parar. Se podría relacionar una enfermedad con una infección de DDoS, para llegar a un diagnóstico hacen falta medios, rapidez y un protocolo a seguir.

Cuando una botnet, una red de bots maliciosos diseñados para multiplicarse, ya controla un número importante de dispositivos, se lanza un ataque DDoS. Las instrucciones se envían en remoto y un servidor se encarga de procesar las solicitudes. La cantidad de información que deben manejar el servidor, la página web en particular, API y la propia red de la víctima es tal que es imposible mantener el buen funcionamiento. Todo se frena. El tráfico online colapsa como las autopistas de las grandes ciudades en la operación salida.

El poder de los hackers expertos en DDoS es tal que incluso se atreven a alquilar sus servicios. Cualquier persona con dinero y pocos escrúpulos puede contratar a un ciberdelincuente y lanzar un ataque DDoS al objetivo que consideren.

Los targets principales de los programadores de DDoS son los siguientes:

• Servidores web de empresas, instituciones gubernamentales o medios de comunicación (Cadena Sur fue víctima de un virus informático en 2019 que dejó KO su plataforma digital). Cuanto más grandes, mejor. 
• API y redes de servicios online.
• Infraestructuras críticas. Al igual que otros ciberataques como stuxnet, los hackers quieren desestabilizar los sistemas económicos y los sectores claves.

Tipos de ataques DDoS

Existen varios tipos de ataques DDoS, pasemos a definirlos y presentar sus características principales para que estés más preparado en caso de encontrarte con alguno.

Ataque inundación reset TCP

Los ataques a la conexión TCP, también llamados ataques de inundación de SYN, es una infección triple entre el TCP, el host y el servidor. Esta clase de ataque de denegación de servicio (DoS) o de denegación de servicio distribuido (DDoS) envía una gran cantidad de solicitudes SYN a un servicio para saturar con conexiones abiertas su conexión.

Ataque volumétrico

Los ataques DDoS de tipo volumétrico son los que ocurren con más frecuencia. La técnica consigue dañar el ancho de banda de la conexión a internet de la víctima y hacer que vaya muy lenta, incluso que se bloquee. Los botnets se encargan de ello.

La víctima recibirá tantas solicitudes a su servidor que será imposible actuar. Su única opción es esperar a que escampe y evaluar los daños después.

Ataque de fragmentación

Todos los cibernautas envían paquetes con datos a través de su red de internet. Según el protocolo TCP o UDP, los hackers lanzarán un ataque de fragmentación determinado que bombardea con paquetes de datos falsos que saturan el servidor.

De nuevo, la clave del éxito de los ataques DDoS es agotar los recursos tecnológicos de tus dispositivos electrónicos. Se abren tantos frentes que es imposible funcionar a base de parches.

Ataque a la capa de aplicación

Los ataques DDoS también ponen su atención sobre la capa de la aplicación. El servidor genera las páginas web y responde a peticiones HTTP, por eso es atractivo para los delincuentes virtuales.

Tal vez te des cuenta de que estás ante un ataque a la capa de la aplicación cuando intentas actualizar una página web y no funcione, aunque lo hayas hecho varias veces seguidas. Todo parece normal, pero más tarde o más temprano, el servidor se desbordará y no podrás navegar por la red.

Tipos de amplificación DDoS

Para llevar a cabo un ataque DDoS por amplificación se requieren ciertos conocimientos técnicos. Para empezar, identificar cuáles son las vulnerabilidades de los DNS y atacar por ese frente.

Las peticiones multiplican su tamaño con la tecnología de este tipo de DDoS. Ha llegado el momento de definir qué es un ataque de amplificación de reflexión DNS y el de reflexión CharGEN y sus principales características.

Ataque de reflexión DNS

Un servidor DNS se encarga de traducir los números de las direcciones web a nombres que todos podamos entender. Dicho esto, será más sencillo entender qué es un ataque de reflexión DNS dentro de las infecciones de DDoS.

Un ataque de reflexión DNS consiste en copiar la dirección IP de la víctima. Acto seguido, el ciberdelincuente envía peticiones al servidor DNS y esperará a recibir respuestas de gran tamaño. El dispositivo colapsa.

Reflexión CharGEN

CharGEN es un protocolo antiguo creado en 1983. Sus creadores pensaron que sería algo temporal, parecido a una prueba, pero muchas impresoras y fotocopiadoras siguen utilizando este protocolo y es muy inseguro. Su sistema frágil le permite a los hackers explotar las vulnerabilidades CharGEN.

Los hackers conseguirán sin gran esfuerzo paquetes con datos de la víctima y la víctima tendrá que enfrentar los problemas de un sistema saturado por culpa de las respuestas UDP.

¿Cómo identificar un ataque DDoS?

Aprende a identificar un ataque DDoS antes de que sea demasiado tarde para reaccionar. Sobre todo, ante el aumento de ciberataques en España.

Toma nota de las señales que indican que estás ante un ataque DDoS:

• Los servicios online dejan de funcionar correctamente. Un error 502 o “bad gateway” indica que existe una gran probabilidad de que estés a punto de sufrir un ataque DDoS. El rendimiento lento de tu dispositivo ocurre por múltiples motivos, como el aumento de temperatura de tu móvil, pero es necesario verificar la seguridad digital del aparato cuanto antes.
• La mayoría del tráfico proviene de una única dirección IP. Comprueba cuál es tu IP siempre que puedas para comprobar que el tráfico está siguiendo su curso natural.
• Aumento de tráfico a ciertas horas. Los hackers son animales de costumbres, suelen atacar en el mismo horario porque programan sus acciones con antelación.
• Más solicitudes en una determinada página web o punto final.

Ni siquiera las grandes empresas se libran de los ataques DDoS. Google también ha sido víctima de este ciberdelito. El 1 de junio del 2022, se registraron hasta 46 millones de solicitudes por segundo. La empresa necesitó 69 minutos para solucionar el problema.

¿Por qué se lanzan ataques DDoS?

Los hackers lanzan ataques DDoS están motivados por diferentes razones. A veces será imposible saber qué estaban pensando los ciberdelincuentes, pero quizá estas sean las motivaciones más frecuentes:

• Hacktivismo. Los hacktivistas usan ataques DDoS para derribar páginas web y servicios con los que disienten. Atacan los perfiles de personajes públicos o instituciones gubernamentales reconocidas por todos.
• Extorsión. Al bloquear las páginas web y manipular los datos digitales, el siguiente paso puede ser un chantaje.
• Rivalidad. La competencia desleal entre empresas o países puede ser otra motivación para lanzar un ataque DDoS.
• Guerra informática. Las elecciones o la opinión pública ya no funcionan como en el pasado, es fundamental crear una imagen pública a través de internet. Una guerra informática se nutre de ataques DDoS y otros ciberataques que causan daños enormes.

Los últimos ataques DDoS más graves en España

España ha sido el escenario de varios ataques DDoS en la última década. Hemos resumido los más graves:

• Ciberataque a la Cadena Ser (2019). La emisora de radio sufrió un ciberataque que afectó a sus sistemas informáticos. Necesitaron mucho tiempo para solucionar el problema. También afectó a Everis y otras empresas españolas de renombre.
• Ataques a los bancos españoles (2022-actualidad). Los ciberataques en el sector bancario de España ocupan los titulares de la prensa desde hace unos años. Un DDoS es capaz de colapsar sus páginas web y causar molestias a los clientes. 
• Un grupo llamado Noname057 ataca con un DDoS el Ministerio de Interior y otras instituciones durante la campaña electoral del 2023. En esa misma época, se denunció el intento de phishing en las elecciones generales y otras amenazas online que buscaban manipular los resultados de la cita electoral.
• Múltiples instituciones españolas, entre ellas la Casa Real y varios ministerios, fueron víctimas de DDoS (marzo, 2025). Un grupo de hackers atacó las páginas web oficiales de la institución española como método de protesta tras declaraciones del presidente de España en apoyo a Ucrania. Esto causó molestias a los contribuyentes.
• La Diputación de Gipuzkoa y varios ayuntamientos del País Vasco reportan ciberataques molestos (2025). Prácticamente todas las semanas, en prensa se reportan ataques informáticos a páginas de ayuntamientos y diputaciones a lo largo y ancho de la geografía española.

Esto es solo un breve adelanto de nuestro siguiente apartado, los ataques DDoS que más daño han hecho alrededor del mundo en los últimos años.

• Hong Kong (2014). Las páginas web de medios de comunicación y foros de intercambio de ideas sobre actualidad se vieron afectados por un ataque DDoS.
• Dyn (2016). Se atacaron los servicios en línea de Twitter, Spotify y Netflix. El botnet, llamado mirai, estaba compuesto de sistemas IoT inseguros.
• GitHub (2018). Hasta el momento, el ataque DDoS más grande de la historia. El problema se resolvió en unos minutos, pero todavía se sigue hablando de los daños que causó.

Por citar solo algunos ejemplos de DDoS, aunque hay otros países que se han visto afectados por la ciberguerra. 

Por ejemplo, Estonia (2007) que padeció los ataques informáticos de grupos de hackers, en el contexto de diversas decisiones gubernamentales relacionadas con la memoria histórica. Después de este suceso, quedando constancia la vulnerabilidad digital de todos los países, el gobierno de Estonia reforzó sus medidas de ciberseguridad y en la actualidad el NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE), redacta el Tallinn manual de ciberseguridad que se recomienda que todos los países del mundo sigan.

¿Cómo defenderte de los ataques DDoS?

Aplica estas medidas de seguridad para reducir los daños que un DDoS podría causarte:

• Empieza a usar herramientas de prevención de DDoS diseñadas por terceros. Elige los más fiables comparando sus reseñas disponibles online.
• Desarrolla un plan de prevención en tu organización. Las VPN para empresas son parte de las iniciativas que cualquier pyme podría aplicar a partir de este momento. La clave para frenar las ciberamenazas es la anticipación y definir un protocolo de emergencia.
• Familiarízate con herramientas de monitoreo del tráfico. Ya hay disponibles aplicaciones que analizan el tráfico online de los dispositivos e identifican su procedencia.
• Haz auditorías con frecuencia. Sobre ciberseguridad, no todo está escrito. El software evoluciona a pasos agigantados y es imprescindible mantenerse al día con las novedades.

¿Las VPN ofrecen protección frente a los ataques DDoS?

Una VPN es la herramienta perfecta para la protección DDoS porque oculta tu IP frente a cualquier posible atacante, de manera que no tiene forma de acceder a tus puertos para lanzar su ataque. 

Al utilizar una VPN, tu conexión es redirigida a través de uno de los servidores de la red privada virtual, con lo que tu IP real deja de ser visible, y, en su lugar, las páginas web o plataformas que visitas detectan la IP del servidor VPN.

Esto es especialmente útil para quienes juegan online utilizando conexiones P2P, porque este tipo de conexión deja expuesta la IP de sus usuarios y permite que sus rivales utilicen un ataque DDoS para ralentizar o desconectar su red. Con la IP de tu servidor VPN actuando como barrera, sencillamente nadie podrá lanzar un ataque DDoS contra ti.

Protege tu privacidad digital y la de tu familia con una VPN. En NordVPN, con una única suscripción podrás conectar una VPN hasta en diez dispositivos electrónicos diferentes o instalar una VPN en tu router, de modo que toda la red estará encriptada.