Inicio Hosting WordPress SEO Marketing VacaWeb.com 🚀 Hosting desde $85 MXN/mes
Blog Seguridad Ataques DDoS: Qué Son y Cómo Proteger tu Sitio Web en México
Seguridad

Ataques DDoS: Qué Son y Cómo Proteger tu Sitio Web en México

22 Jul 2025 10 min de lectura VacaWeb Blog
⚔️

Explicación técnica de los ataques DDoS y las mejores estrategias de defensa para sitios web mexicanos. Tipos de ataques, impacto económico y soluciones de mitigación efectivas.

¿Qué es un ataque DDoS y por qué afecta a sitios mexicanos?

Un ataque de Denegación de Servicio Distribuido (DDoS) ocurre cuando miles de máquinas comprometidas (botnets) bombardean simultáneamente un servidor con solicitudes falsas hasta saturarlo. En México, los ataques DDoS han aumentado un 180% en los últimos dos años, según datos de Cloudflare para Latinoamérica. Sectores como eCommerce, gobierno y servicios financieros son los más afectados durante fechas clave como El Buen Fin y Hot Sale.

Los ataques se clasifican en tres capas: volumétricos (saturan el ancho de banda con tráfico masivo, p.ej. UDP floods), de protocolo (explotan debilidades en TCP/IP como SYN floods) y de capa de aplicación (HTTP GET/POST floods que imitan tráfico legítimo y son los más difíciles de detectar). Un sitio en hosting compartido sin protección puede quedar inaccesible en segundos.

🛡️
Diagrama de las tres capas de ataques DDoS: volumétrica (L3/L4), protocolo (L4) y aplicación (L7). Cada capa requiere una estrategia de mitigación diferente.

Capa 1: Protección a nivel de servidor con Imunify360 y CSF

En servidores cPanel/WHM con VacaWeb, la primera línea de defensa es ConfigServer Security & Firewall (CSF) combinado con Imunify360. CSF permite limitar conexiones por IP en tiempo real. Abre WHM → ConfigServer Security & Firewall → Firewall Configuration y ajusta estos parámetros críticos:

# En /etc/csf/csf.conf — límites de conexión por IP
CT_LIMIT = 300          # Máx. conexiones simultáneas por IP
CT_INTERVAL = 30        # Intervalo de revisión en segundos
CT_BLOCK_TIME = 1800    # Bloquear IP por 30 minutos
SYNFLOOD = 1            # Activar protección SYN flood
SYNFLOOD_RATE = 100/s   # Máx. 100 SYN por segundo
SYNFLOOD_BURST = 150    # Ráfaga máxima permitida
PORT_FLOOD = 1
PORT_FLOOD_INTERVAL = 300
PORT_FLOOD_RATE = 500

Después de editar, aplica los cambios con:

csf -r   # Reinicia el firewall
csf -l   # Lista las IPs bloqueadas actualmente
csf -d 192.168.1.100  # Bloquear IP manualmente

Capa 2: Reglas .htaccess para ataques de capa de aplicación

Para ataques HTTP flood (miles de solicitudes a tu sitio web), puedes usar .htaccess con mod_evasive en Apache o reglas equivalentes en LiteSpeed para limitar la tasa de solicitudes por IP:

# .htaccess — Limitar solicitudes por IP (L7 DDoS básico)
<IfModule mod_rewrite.c>
  RewriteEngine On
  # Bloquear user-agents vacíos (bots básicos)
  RewriteCond %{HTTP_USER_AGENT} ^-?$ [OR]
  RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget|libwww) [NC]
  RewriteRule .* - [F,L]
</IfModule>

# Bloquear rangos de IP sospechosos (ejemplo)
Deny from 185.220.0.0/16
Deny from 198.96.0.0/16

# Limitar métodos HTTP permitidos
<LimitExcept GET POST HEAD>
  Order Allow,Deny
  Deny from all
</LimitExcept>
💡 Consejo profesional En LiteSpeed (el servidor de VacaWeb), las reglas .htaccess son compatibles y se aplican directamente. Además, LiteSpeed tiene throttling nativo por IP que puedes activar desde WHM → LiteSpeed Web Admin Console → Throttle.

Capa 3: Cloudflare como escudo perimetral

Cloudflare actúa como proxy inverso frente a tu servidor. Al apuntar tus DNS a Cloudflare (registros A con proxy naranja ☁️), todo el tráfico pasa por su red antes de llegar a tu hosting. Durante un ataque, activa el modo "Under Attack" desde Security → Settings:

# Usando la API de Cloudflare para activar Under Attack Mode
curl -X PATCH "https://api.cloudflare.com/client/v4/zones/TU_ZONE_ID/settings/security_level"   -H "Authorization: Bearer TU_API_TOKEN"   -H "Content-Type: application/json"   --data '{"value":"under_attack"}'

# Regla de firewall: bloquear países si el ataque es geolocalizado
# En Cloudflare Dashboard → Security → WAF → Custom Rules:
# (ip.geoip.country ne "MX") and (cf.threat_score gt 10) → Block
☁️
Arquitectura de protección multicapa: Cloudflare filtra el tráfico volumétrico antes de que llegue al servidor. Solo el tráfico legítimo pasa al hosting de VacaWeb.

Monitoreo y alertas en tiempo real

No puedes protegerte de lo que no monitorizas. Configura alertas automáticas con las siguientes herramientas:

HerramientaQué monitorizaCosto
UptimeRobotDisponibilidad HTTP/HTTPS cada 5 minGratis (hasta 50 monitores)
Cloudflare AnalyticsTráfico bloqueado, amenazas por paísGratis con plan Free
Imunify360Escaneo de malware, IPs bloqueadasIncluido en VacaWeb Pro
CSF Email AlertsNotificaciones de bloqueo de IPsGratis (configuración manual)

Para recibir alertas por email desde CSF cuando una IP es bloqueada, edita /etc/csf/csf.conf:

LF_ALERT_TO = "admin@tudominio.com.mx"
LF_ALERT_FROM = "csf@tuservidor.vacaweb.com"
CT_EMAIL_ALERT = 1  # Alerta al bloquear por conexiones excesivas

Plan de respuesta ante un ataque activo

Si tu sitio está bajo ataque ahora mismo, ejecuta este protocolo en orden:

  1. Activa Cloudflare Under Attack Mode — inmediatamente reduce el tráfico malicioso
  2. Identifica las IPs atacantes: en SSH ejecuta netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head -20
  3. Bloquea en CSF: csf -d IP_ATACANTE "DDoS activo $(date)"
  4. Notifica a VacaWeb vía ticket — nuestro equipo puede aplicar mitigación a nivel de red (null routing)
  5. Revisa logs: tail -f /var/log/apache2/access_log | grep "$(date +%d/%b/%Y)"
⚠️ Advertencia importante No bloquees rangos de IP de Cloudflare (103.21.244.0/22, 103.22.200.0/22, etc.) durante un ataque. Si usas Cloudflare como proxy, el tráfico legítimo también pasa por esas IPs. Bloquearlas desconectaría tu sitio para todos los visitantes reales.

Prevención a largo plazo: hardening del servidor

La mejor defensa es la que implementas antes del ataque. Estas configuraciones en tu VPS o servidor dedicado reducen drásticamente la superficie de ataque:

# Límites del kernel Linux para mitigar SYN floods
echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
echo "net.ipv4.tcp_max_syn_backlog = 2048" >> /etc/sysctl.conf
echo "net.ipv4.tcp_synack_retries = 2" >> /etc/sysctl.conf
echo "net.ipv4.conf.all.rp_filter = 1" >> /etc/sysctl.conf
sysctl -p  # Aplica los cambios sin reiniciar

En VacaWeb, todos los planes de hosting compartido incluyen protección DDoS básica a nivel de red. Los planes VPS y Dedicados incluyen Imunify360 con WAF activo y la posibilidad de habilitar protección avanzada mediante ticket de soporte. Contáctanos en soporte técnico si necesitas un plan de mitigación personalizado para tu negocio.

Escenarios Prácticos: Protección DDoS en México

Escenario 1 — Tienda en línea atacada durante El Buen Fin: Un competidor contrata un ataque DDoS volumétrico de 10 Gbps justo en el pico de ventas. Sin protección previa, el sitio cae. Diagnóstico y mitigación de emergencia:

# Identificar el ataque en tiempo real
# Ver conexiones activas por IP (top 20 IPs)
ss -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -20

# Ver conexiones en estado SYN_RECV (indicador de SYN flood)
ss -ant | grep SYN_RECV | wc -l

# Bloquear IP atacante con iptables (inmediato)
iptables -A INPUT -s 203.0.113.0/24 -j DROP

# Limitar conexiones por IP (rate limiting en iptables)
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j REJECT
iptables -A INPUT -p tcp --dport 443 -m connlimit --connlimit-above 20 -j REJECT

# Activar Cloudflare "Under Attack Mode" via API
curl -X PATCH "https://api.cloudflare.com/client/v4/zones/ZONE_ID/settings/security_level"   -H "Authorization: Bearer CF_TOKEN"   -H "Content-Type: application/json"   --data '{"value":"under_attack"}'

Escenario 2 — Servidor de correo corporativo bajo ataque de spam flood: 50,000 emails por minuto desde IPs rotativas saturan Postfix. La solución es Fail2ban + rate limiting en el MTA para limitar conexiones SMTP por IP.

Errores Comunes en Protección DDoS

ErrorConsecuenciaCausaSolución
IP del servidor expuestaDDoS directo bypasea CloudflareIP real pública sin protegerCambiar IP del servidor y no exponer nunca la real
Sin plan de contingenciaHoras de downtime buscando soluciónSin runbook de incidentesDocumentar pasos de mitigación antes de necesitarlos
Cloudflare sin configurarProtección básica insuficienteSolo proxying, sin reglas WAFConfigurar reglas de firewall y rate limiting en CF
No informar al proveedorSin protección upstreamMitigación solo en el servidorContactar soporte del hosting; pueden filtrar en el backbone
Sin modo mantenimientoUsuarios ven error 502 durante ataqueSin página de contingenciaPreparar página estática de mantenimiento en CDN

Preguntas Frecuentes sobre Protección DDoS

¿Cloudflare gratuito protege realmente contra DDoS?

El plan gratuito de Cloudflare incluye protección DDoS L3/L4 (volumétrico) ilimitada. Lo que no incluye: reglas WAF avanzadas (L7), protección de API, y soporte prioritario. Para sitios con ataques sofisticados (DDoS L7 que simula navegadores reales), necesitas Cloudflare Pro ($20/mes) o Business ($200/mes). Para la mayoría de sitios mexicanos medianos, el plan gratuito es suficiente.

¿Cuánto cuesta un ataque DDoS para contratar en la dark web?

Según reportes de Kaspersky y Recorded Future, un ataque DDoS de 10-100 Gbps por una hora cuesta entre $10-150 USD en mercados underground. Esta baja barrera de entrada explica por qué son frecuentes. La protección (Cloudflare Pro + servidor bien configurado) cuesta más que contratar el ataque, pero protege el negocio completo, no solo ese incidente.

¿Cómo diferencia Cloudflare el tráfico legítimo del DDoS?

Cloudflare analiza: fingerprints del navegador, comportamiento de JavaScript, patrones de request (tiempo entre peticiones, headers), reputación de la IP en su base de datos global, y Challenge Pages (CAPTCHA o JavaScript challenge para IPs sospechosas). El "I'm Under Attack Mode" activa el JavaScript challenge para todos los visitantes, dejando pasar solo los que superan la verificación.

¿Un ataque DDoS puede dañar permanentemente mi servidor?

No directamente el hardware, pero sí puede: llenar el disco con logs de acceso, agotar la RAM generando procesos del servidor web, comprometer el rendimiento del servidor durante horas, y en casos extremos, hacer que el proveedor suspenda la cuenta temporalmente por exceder ancho de banda. La protección proactiva (Cloudflare + rate limiting) es mucho más económica que el daño colateral de un ataque sin protección.

¿Cómo protejo un servidor de correo de ataques de spam/DDoS?

Configura Fail2ban para bloquear IPs con más de 5 intentos de autenticación fallidos en 10 minutos: maxretry = 5, bantime = 3600 en jail.conf. Activa SPF, DKIM y DMARC para no ser usado como relay de spam. Usa Spamhaus y SpamCop como listas negras en tiempo real. Para servidores con alto volumen, considera Mailgun o SendGrid como frontend de envío con mejor reputación de IP.

📚 Profundiza en estos temas

👨‍💻
Juan Vaca Cloud Infrastructure Expert & Founder de VacaWeb

Fundador de VacaWeb, con más de 15 años administrando infraestructura Linux en producción. Especialista en LiteSpeed, CloudLinux, cPanel/WHM y arquitectura de hosting de alto rendimiento para el mercado mexicano. Ha diseñado y migrado la infraestructura de más de 1,200 sitios web empresariales.

Tags: #ddos #seguridad #proteccion
Compartir:

Artículos Relacionados

🔐

SSL y HTTPS: Por qué tu Sitio Web Necesita Certificado de Seguridad en 2025
🛡️

Imunify360: La Capa de Seguridad que Todo Hosting Debería Tener
💾

Cómo Hacer Backups de tu Sitio Web: Guía Completa de Respaldos Automáticos