En los últimos 10 años, el acceso a internet en América Latina y el Caribe creció un 150%, impulsado por la adopción de servicios móviles y pagos digitales; afirma Statista. Este avance pone a prueba la ciberseguridad en México, que enfrenta riesgos crecientes dentro de su infraestructura.
Uno de los principales peligros es el ataque de denegación de servicio distribuido (DDoS, por sus siglas en inglés), que consiste en sobrecargar de forma premeditada a un servidor, con accesos simulados hasta inutilizarlo. Esto causa interrupciones en el servicio, pero puede escalar hasta obtener pérdidas económicas irreparables.
¿Qué otras amenazas enfrenta la región y cómo se están preparando las organizaciones? A continuación, lo analizamos en detalle.
Índice de temas
¿Qué es un ataque DDoS y cómo funciona?
Los ataques DDoS se han convertido en una de las formas más efectivas de interrumpir el funcionamiento de un sitio web. Al saturarlo intencionalmente con tráfico falso, los ataques impiden su desempeño normal y, en muchos casos, viene acompañado de la exigencia de un pago para detener la ofensiva.
Este tipo de amenazas no son nuevas. El primer ataque DDoS documentado ocurrió en 1999, dice una publicación del MIT, cuando una red de 114 computadoras infectadas colapsó un servidor de la Universidad de Minnesota utilizando un script malicioso conocido como Trin00.
Definición de los ataques DDoS
Para darle sentido a esta nomenclatura, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA en inlgés) de los Estados Unidos describe a los ataques DDoS como:
Una técnica maliciosa que busca saturar servidores, redes o sistemas para impedir que los usuarios legítimos accedan a servicios como sitios web, correos electrónicos o plataformas bancarias.
Al generar un volumen masivo de tráfico falso, el sistema colapsa o se vuelve inaccesible, causando interrupciones operativas, pérdidas económicas y daños a la reputación de la organización.
Para lograr su efectividad, los delincuentes utilizan múltiples sistemas informáticos comprometidos como fuentes de tráfico de ataque. Cuando el número de solicitudes excede la capacidad de cualquiera de los componentes de la infraestructura, el servicio puede verse afectado de las siguientes formas:
- Una respuesta a las solicitudes más lenta de lo normal
- Solicitudes de usuarios ignoradas
Las máquinas atacadas pueden incluir computadoras y otros recursos en red, como dispositivos IoT. Este flujo masivo de datos hace que los recursos del servidor sean insuficientes.
Los principales blancos de los ataques DDoS
Algunos de los blancos que suelen ser objeto de un ataque DDoS son las páginas de comercio electrónico, plataformas de casinos en línea y los sitios web de cualquier empresa u organización que ofrezca servicios en línea y dependa de ellos.
Ocurre dada la esencia pura de los sitios web, debido a que todos ellos tienen una capacidad limitada de solicitudes que pueden manejar al mismo tiempo. Además, el ancho de banda del canal que conecta el servidor a internet también tiene una capacidad finita.
DDoS en el mundo: datos y estadísticas
Actualmente, los ataques representan una amenaza constante. La firma Cloudflare, software enfocado en proteger los sitios web, reveló que, durante el primer trimestre de 2025, mitigaron cerca de 20.5 millones de ataques DDoS.
A modo comparativo, en 2024 se bloquearon 21,3 millones de ataques DDoS. Y en lo que va de 2025, Cloudflare tiene bloqueado el 96% de los ataques impedidos en 2024. Esto representa un aumento interanual del 358% y un aumento intertrimestral del 198%.
El impacto significativo que pueden tener en la disponibilidad de un sitio web y, por lo tanto, en la experiencia del usuario si no se toman medidas preventivas, puede también afectar la reputación y —en casos extremos— hasta la pérdida de datos personales y confidenciales.
DDoS en México: elecciones y ciberseguridad
Durante mayo y junio de 2025, los ciudadanos de México se vieron invadidos por una serie de publicaciones en la prensa donde se relacionaban las estadísticas de los ciberataques con la previa de las elecciones judiciales de México el 1 de junio.
De acuerdo con el “Informe de inteligencia sobre amenazas DDoS” publicado por Netscout en 2025, durante las elecciones nacionales mexicanas se observó un aumento del 218% en la frecuencia de los ataques DDoS.
Esto demuestra cómo los adversarios explotan los hitos políticos para cometer delitos cibernéticos. Lo mismo ocurrió en Georgia, días cercanos a una votación parlamentaria, donde los ataques crecieron un 1,489%. En una escalada política en Israel, los DDoS ascendieron al 2,844%.
Sin embargo, si bien estos números son alarmantes y deben llamar a los distintos departamentos del Estado a tomar medidas al respecto; esto no quiere decir que la escalada de ataques DDoS en México tenga relación con la coyuntura electoral de este año.
Esto no quita que desde 2022, los ataques DDoS se hayan convertido en una herramienta fundamental en conflictos sociopolíticos, utilizándose durante elecciones, protestas y disputas políticas; como afirma Netscout en su informe. En la política, NoName057(16) es el actor dominante detrás de las campañas.
Así funciona un ataque DDoS en tiempo real
Los ataques DDoS en tiempo real son uno de los tipos de ataque en donde múltiples dispositivos envían un gran volumen de tráfico a un servidor o sitio web, con el objetivo de sobrecargarlo y hacer que deje de funcionar.
Estos ataques son perpetrados por cibercriminales con diversas motivaciones, que van desde fines financieros y competencia desleal hasta activismo político y vandalismo digital.
Son devastadores para los sitios web: causan pérdidas financieras, daños en la reputación de la empresa e incluso afectan a su posicionamiento en los motores de búsqueda.
Bots y los ataques DDoS
Para llevar a cabo el ataque DDoS, los ciberdelincuentes utilizan una red de dispositivos comprometidos, conocidos como bots.
Estos, generalmente computadoras, teléfonos inteligentes, routers u otros dispositivos conectados a Internet, están infectadas con un software malicioso que permite a los atacantes controlarlas de forma remota.
Cuando los bots reciben la orden envían tráfico malicioso al sitio web de la víctima, con el objetivo de sobrecargarlo de demanda y hacer que se vuelva inaccesible para los usuarios legítimos.
La magnitud del ataque dependerá del número de dispositivos comprometidos y de la capacidad de estos para generar tráfico.
Características comunes de un ataque DDoS
Los ataques DDoS comparten algunas características comunes que los hacen distinguibles de otros tipos de ataques informáticos.
Usan bots infectados con malware
En primer lugar, éstos son llevados a cabo por los mencionados “bots” que, por lo general, son infectados previamente con malwares y controlados por el atacante de forma remota.
Tienen capacidad de evolucionar y adaptarse
Otra característica común de los ataques DDoS es su capacidad de evolución y adaptación. Los atacantes pueden utilizar técnicas cada vez más sofisticadas y variadas, como la amplificación de paquetes, el envenenamiento de DNS y el uso de botnets de IoT, para llevar a cabo sus ataques.
¿Cuánto tiempo dura un ataque DDoS?
Respecto a cuánto puede durar un ataque DDoS, la empresa de telecomunicaciones Cisco indica que, en promedio:
- 33% de los ataques DDoS se prolongan una hora
- 60% duran menos de un día completo
- 15% de los ataques DDoS son capaces de durar hasta un mes
Cuánto persista el ataque dependerá de dos motivos: Los recursos disponibles del atacante para destinar un tiempo considerable al ataque y la eficacia de la víctima para implementar medidas que mitiguen el ataque.
Consecuencias de los ataques, primeros síntomas
Una de las principales consecuencias es la interrupción del servicio o la negación del acceso a los recursos críticos.
Esto puede afectar la productividad de los empleados y la capacidad de las empresas para brindar servicios a sus clientes, lo que puede resultar en la pérdida de ingresos y la disminución de la satisfacción del cliente.
Primeros síntomas de un ataque DDoS
Cuando esto ocurre, el owner de un sitio puede reconocer que es víctima de un ataque DDoS por distintos síntomas que aparecen, entre los que se destacan:
- El sitio web se ralentiza inesperadamente;
- Interrupciones intermitentes y total inaccesibilidad del servicio;
- Los usuarios idóneos del sitio experimentan tiempos largos de carga y errores de conexión;
- Ante un monitoreo de tráfico aparecen caídas bruscas de visitas o patrones de audiencia poco comunes.
Ataques DDoS impactan reputación de las organizaciones
Además, los ataques DDoS también pueden tener un impacto negativo en la reputación de la empresa.
Si los clientes no pueden acceder a los servicios o los tiempos de respuesta son muy lentos, pueden perder la confianza en la empresa y buscar alternativas en la competencia.
Tipos y técnicas de ataque DDoS
Existen varios tipos y técnicas de ataques DDoS que pueden ser utilizados por los ciberdelincuentes. Entre ellos:
| Tipos de ataques DDoS | Descripción |
| Inundación (Flood) | Envía miles de solicitudes falsas para sobrecargar el servidor. |
| Amplificación | Multiplica el tráfico al usar servidores de terceros. |
| Envenenamiento de DNS | Modifica el DNS para redirigir el tráfico a sitios maliciosos usando reflexión desde solucionadores DNS abiertos. |
| Capa de aplicación (L7) | Apunta a la capa 7 (HTTP GET/POST), afectando directamente recursos del servidor y siendo difícil de detectar. |
| Bajo y lento | Tráfico bajo y persistente que pasa desapercibido. |
En el panorama Mexicano, el sitio oficial de Netscout afirma que, durante 2024, se registraron un total de 18, 432 ataques DDoS en el país, alcanzando un pico de 142 Gbps en una sola ofensiva. De todos ellos, los cinco vectores más utilizados fueron:
- DNS Amplification: 8,012 ataques
- L2TP Amplification: 6,764 ataques
- Ataques DNS: 3,555 ataques
- NTP Amplification: 2,139 ataques
- STUN Amplification: 1,895 ataques
Ataque DoS y DDoS ¿cuál es más grave?
En relación a los ataques de denegación de servicio (DoS por sus siglas en inglés), la web de Amazon Web Services explica que su principal diferencia contra los DDoS es la cantidad de fuentes que utilizan para abrumar un sitio:
- El ataque DoS utiliza una sola fuente, por ejemplo, un ordenador
- El ataque DDoS se hace de múltiples fuentes, como una botnet con miles de dispositivos infectados
Los DDoS son, generalmente, más peligrosos debido a la distribución de las fuentes de ataque, lo que complica su defensa o bloqueo y son difíciles de mitigar.
Detectar un ataque DoS es menos grave y fácil de exterminar debido a la escasa cantidad de fuentes que utiliza para debilitar el tráfico de un sitio.
DDoS en México: industrias bajo ataque
Netscout aportó cifras que demuestran cuáles son las seis principales industrias locales que, entre julio y diciembre de 2024, más número de ataques DDoS recibieron en México.
Telecomunicaciones
El sector más afectado fue el de las telecomunicaciones, con 12,424 ataques registrados, picos de 67.59 Gbps y una duración promedio de 329 minutos por ataque.
Operadores de cable e inalámbricos
Le siguen los operadores de cable, que acumularon 2,239 ofensivas, con un ataque máximo de 20.2 Gbps e impacto de hasta 2.55 millones de paquetes por segundo (Mpps). En tercer lugar quedaron los operadores inalámbricos, con 1,113 ataques y un pico de 35.1 Gbps.
Infraestructura informática
También fueron blanco frecuente los proveedores de infraestructura informática, como servicios de alojamiento web y procesamiento de datos; con 410 ataques que alcanzaron los 7.79 Gbps y una duración promedio de más de cuatro horas.
Streaming y telecomunicaciones por satélite
Aunque en menor volumen, los servicios de streaming, redes sociales y proveedores de contenido experimentaron 23 ataques con un impacto puntual significativo de 31.48 Gbps, mientras que las telecomunicaciones por satélite registraron solo 15 incidentes, pero también figuran entre los 6 más grandes.
La “red zombi” o botnet
Una red zombi o botnet es una red de dispositivos conectados a Internet que han sido infectados por malware, el cual les permite ser controlados por el atacante de manera remota.
Los dispositivos infectados se convierten en “bots” o “zombis” que pueden ser utilizados por el atacante para llevar a cabo diferentes acciones maliciosas.
Phishing, una de las más comunes
El phishing es una de las más comunes, el envío de spam a otros equipos, ciberataques a gran escala e incluso ataques DDoS.
En este último, se utiliza una IP de origen falsificada para ocultar la verdadera fuente del ataque y dificultar su identificación.
Es necesario prestar especial atención a la detección de dirección IP falsificada, lo que permitirá identificar de manera más eficiente los ataques que se están llevando a cabo en la red.
La creación de botnets suele llevarse a cabo mediante técnicas de ingeniería social o la explotación de vulnerabilidades en los sistemas.
Los dispositivos más comúnmente infectados son los ordenadores personales, los servidores y los dispositivos IoT como los enrutadores, sistemas de videovigilancia y otros dispositivos inteligentes.
¿Cómo crear una botnet?
Para crear y usar botnets, la empresa de antivirus Avast dice que los hackers dividen su ataque en tres etapas: Infectar el dispositivo, ampliar la botnet y activarla para cumplir su cometido.
1. Infección:
El hacker, quien es propietario de los bots, debe introducir el malware de la botnet en los equipos de sus víctimas. La descarga e instalación de la botnet se suele hacer mediante malwares a los que las personas acceden vía ingeniería social. El más común es un troyano;
2. Expansión:
Luego, los equipos zombis son utilizados para infectar otros dispositivos, armando una cadena que propaga automáticamente el malware en dispositivos más vulnerables;
3. Ataque:
Una vez que la red zombi de botnets adquiere un tamaño significativo, el hacker puede usar la potencia combinada de todos los dispositivos infectados para cualquier fin, desde devastadores ataques DDoS hasta actividades de criptominería.
Qué se necesita para cometer un ataque DDoS
Los atacantes pueden utilizar una variedad de técnicas para lanzar ataques DDoS, como el spoofing de IP, que falsifica las direcciones de origen de los paquetes para evitar la detección y la mitigación de sus ataques. Sin embargo, la Universidad Nacional Autónoma de México (UNAM) es mucho más concisa.
Según una publicación de la Revista Seguridad de la UNAM, “no es necesario tener conocimientos para realizar un ataque de DDoS sino una cartera con al menos US$ 50“.
En 2010, rentar una botnet para ejecutar un ataque DDoS por 24 horas podía oscilar entre los 50 y varios miles de dólares, dice la UNAM. Para 2020, el sitio web ESET afirmaba que dejar sin servicio a un sitio web podía costar desde US$89 durante dos días, hasta $623 por semana.
¿Cómo se ejecutan un ataque DDoS?
A nivel técnico, los ciberdelincuentes aplican distintos mecanismos. Por ejemplo, una de las herramientas más utilizadas en la actualidad es “Low Orbit Ion Cannon (LOIC)”, una aplicación de código abierto que permite a los usuarios realizar ataques a través de la capa de protocolo TCP y UDP, utilizando una interfaz sencilla.
Otro de los métodos más comunes es “High Orbit Ion Cannon (HOIC)”. Se trata de una herramienta de ataque que ha sido desarrollada para reemplazar a LOIC.
HOIC utiliza el protocolo HTTP para llevar a cabo ataques más sofisticados y difíciles de mitigar, y está diseñada para que al menos 50 personas trabajen juntas en un intento de ataque coordinado.
La última de las opciones es a través de Slowloris, una herramienta que se enfoca en provocar un ataque lento y de bajo consumo de ancho de banda en el servidor objetivo.
Esta aplicación utiliza una cantidad relativamente limitada de recursos para lograr su efecto perjudicial.
Similar a ella, existe R.U.D.Y (R-U-Dead-Yet), la cual permite al usuario lanzar ataques lentos a través de una interfaz interactiva sencilla.
Al abrir múltiples solicitudes HTTP POST y mantener esas conexiones abiertas el máximo de tiempo posible, el objetivo del ataque es saturar lentamente al servidor de destino.
¿Cómo protegerse de un ataque DDoS?
Es importante destacar que los ataques DDoS pueden ser especialmente peligrosos para sitios web y aplicaciones que no cuentan con medidas de seguridad adecuadas.
Un firewall de aplicaciones web ayudaría en la protección contra ataques DDoS al filtrar el tráfico malicioso y permitir solo el tráfico legítimo.
Medidas preventivas contra ataques DDoS
Sin embargo, para enfrentar los ataques distribuidos DDoS se requiere de una solución más robusta que pueda mitigar la magnitud de los ataques.
Es por eso que es recomendable contar con una estrategia de mitigación de DDoS que incluya la combinación de soluciones tecnológicas y medidas preventivas, tales como:
- Limitar los puntos de ataque potenciales mediante el uso de balanceadores de carga para proteger los recursos críticos;
- Asegurar una capacidad de ancho de banda adecuada y la capacidad de escalar recursos de servidores rápidamente;
- Implementar técnicas de limitación de velocidad y análisis del tráfico para diferenciar entre tráfico legítimo y malicioso;
- Implementar un Firewall de Aplicaciones Web (WAF) para mitigar ataques sofisticados y personalizar las reglas de mitigación;
- Establecer un monitoreo constante y tener un plan de respuesta rápida para identificar y mitigar los ataques rápidamente.
Conclusiones
En conclusión, el objetivo principal de un ataque DDoS es abrumar y sobrecargar un sitio web o servidor con una cantidad masiva de tráfico falso, para que deje de funcionar y se convierta en un objeto de denegación de servicio distribuido DDoS.
Esto puede tener graves consecuencias, desde la interrupción del servicio y la pérdida de ingresos, hasta la pérdida de la reputación y la confianza de los usuarios en el sitio web o la empresa afectada.
