Los desarrolladores son el futuro de las empresas

Aprende más
Empresa El equipo que está detrás de las mejores experiencias online Mapa de la red Una nueva arquitectura para un internet moderno Relaciones con analistas del sector Descubre lo que los analistas del sector opinan de Fastly Noticias Noticias y anuncios recientes Plataforma La plataforma que impulsa la calidad, la velocidad y la seguridad de las experiencias digitales Historias de clientes Así es como se alcanza el éxito en internet Eventos Asiste a eventos en el que participa Fastly Vacantes Únete al equipo que está mejorando internet

La plataforma de edge cloud de Fastly

Ver todos los productos
Distribución de contenidos (CDN) Ofrece experiencias rápidas y personalizadas en todo el mundo Streaming en directo Ofrece experiencias de streaming en vivo sin interrupciones Streaming de vídeo bajo demanda Ofrece las mejores experiencias de vídeo bajo demanda Media Shield Optimiza los despliegues de múltiples CDN On-The-Fly Packager Empaquetado de vídeo dinámico y en tiempo real Image Optimizer Procesamiento rápido de imágenes en el borde Equilibrador de carga Control pormenorizado sobre las decisiones de enrutamiento Cifrado TLS Simplifica la gestión de TLS Origin Connect Disfruta de línea directa con Fastly Direcciones IP Gestiona fácilmente las direcciones IP HTTP3 y QUIC Protocolos modernos API de investigación de dominios Descubrimiento instantáneo y preciso de nombres de dominio Object Storage Get direct access to large files at the edge with zero egress fees
WAF de última generación Seguridad moderna para API y aplicaciones web en cualquier entorno Bot Management Detección y mitigación de ataques de bots DDoS Protection Mitigación automática de ataques disruptivos y distribuidos Seguridad de API Protege los puntos de conexión de tus API Protección en el lado del cliente Defiéndete ante ataques en el lado del cliente AI Bot Management Evita que los bots con IA rastreen el contenido de una web
Informática en el borde Pasa tus aplicaciones al borde: nuestra plataforma instantánea te ayudará a crear experiencias increíbles para tus usuarios Key Value Store Un almacén de clave-valor rápido a más no poder y tan fácil de usar como las herramientas de bases de datos que ya conoces WebSockets y Fanout Mensajería instantánea a escala mundial con personalización integral y configuración sencilla SDK para desarrolladores Programa los mismos servicios que usamos para crear productos de Fastly Enterprise sin servidores La plataforma sin servidores más potente, creada con normas abiertas e integrada con toda la gama de productos de Fastly IA Acelera tus cargas de trabajo de IA y mejora la eficiencia con el almacenamiento semántico en caché Object Storage Get direct access to large files at the edge with zero egress fees Caché programable Obtén acceso programático completo a la misma caché legendaria que impulsa nuestra CDN. Servidor MCP Control por IA para tus servicios Fastly.
Registros en tiempo real Envío y análisis de registros en tiempo real Edge Observer Datos históricos y en tiempo real sobre el tráfico Domain Inspector Evaluación de datos a nivel de dominio Origin Inspector Datos exhaustivos desde el origen hasta el edge Alertas Crea notificaciones acerca de métricas de servicios Log Explorer & Insights Interactúa con datos prácticos

Un servicio tan extraordinario como los resultados

Ver todos los servicios
Servicios profesionales Asistencia experta para migrar u optimizar tu servicio de distribución Servicios de entretenimiento en vivo Experiencias de streaming en vivo que se adaptan a tu público Planes de soporte Una asistencia inmejorable de principio a fin CDN gestionada Control y flexibilidad Managed Security Una protección para aplicaciones web gestionada por expertos Atención al cliente El soporte de Fastly te ayuda a crecer como nunca

Soluciones digitales innovadoras

Descubre todas nuestras soluciones
Streaming de contenido multimedia Experiencias de cine con el streaming en vivo y bajo demanda Nuevos contenidos multimedia Alto rendimiento para los medios de comunicación del mañana Prensa digital Contenidos en tiempo real y mejor experiencia para los lectores Retail y comercio electrónico Experiencias personalizadas al vuelo y a escala Servicios financieros Seguridad integrada para proteger los datos de los clientes Tecnología punta Escalabilidad instantánea al ritmo de tu crecimiento Turismo y hostelería Experiencias online personalizadas para tus huéspedes y viajeros Formación online Experiencias de aprendizaje seguras y a escala Videojuegos Impulsa la próxima victoria de tus jugadores con descargas de juegos ultrarrápidas y seguras iGaming Distribuye experiencias de juego rápidas, seguras, ininterrumpidas y atractivas en el borde
Ahorro en infraestructura Haz que tus gastos en la nube sean más bajos y predecibles Optimización multinube Reduce la complejidad y unifica tus recursos en la nube Confianza de los clientes Más información sobre las iniciativas de confianza de los clientes de Fastly Soluciones de privacidad Descubre cómo puedes proteger los datos de tus usuarios Panel de sostenibilidad Consulta tu consumo de electricidad y tus emisiones de GEI en la plataforma de Fastly

Herramientas para desarrollar experiencias a lo grande

Prueba Fastly gratis
Desarrolladores No esperes más para crear algo increíble Fast Forward A la vanguardia de la seguridad en internet Herramientas de desarrollo Las mejores herramientas para los mejores equipos SDK para desarrolladores Programa los mismos servicios que usamos para crear productos de Fastly Comunidad Interactúa con desarrolladores de todo el mundo Registrarse Crea una cuenta de desarrollo gratuita

Ayuda a hacer de internet un lugar más rápido, seguro y atractivo con Fastly

Por qué colaborar con Fastly Ayuda a ofrecer experiencias rápidas, seguras y atractivas Partners de la nube Conoce las ventajas de combinar Fastly con tus servicios en la nube Partners de canal Amplía tu oferta y tus posibilidades con los productos de Fastly Partners de tecnología e integración Descubre nuestro ecosistema de partners
Accede al portal de partners Encuentra todos los recursos para partners de Fastly en un único lugar Conviértete en partner Impulsa tu negocio distribuyendo o recomendando los productos de Fastly Encuentra un partner Te ayudamos a encontrar el partner que necesitas

Obtén ayuda con Fastly

Documentación Saca todo el partido a Fastly Biblioteca de recursos Accede a hojas de datos, informes y mucho más Fastly Academy Aprendizaje práctico sobre los productos de Fastly Centro de aprendizaje Conoce la tecnología que impulsa lo mejor de internet Blog Nuestras reflexiones e ideas más recientes Investigación de seguridad Seguridad reforzada por medio de la investigación Punto de vista de Fastly Explora conocimientos de los expertos y del sector
Centro de soporte Estamos a tu disposición Contacto Habla con nosotros hoy mismo
Volver al centro de aprendizaje

¿Qué es un ataque de amplificación de DNS?

Un ataque de amplificación de DNS es un ataque DDoS basado en reflexión que utiliza solucionadores de DNS abiertos para inundar a los objetivos con tráfico UDP amplificado.

Analicémoslo para entender cómo funciona. El Sistema de Nombres de Dominio (DNS) convierte los nombres de dominio que podemos leer, como example.com, en direcciones IP numéricas que los dispositivos usan para acceder a recursos online. Este proceso se basa en los servidores de nombres para resolver los nombres de dominio y devolver las direcciones IP adecuadas.

En un ataque de amplificación de DNS, el atacante falsifica su identidad haciéndose pasar por el sitio de destino. Envía pequeñas consultas —normalmente de solo unos cientos de bytes— a servidores de nombres abiertos que responden a cualquier solicitante. Los problemas empiezan cuando los servidores de nombres envían respuestas mucho más grandes, no a la fuente, sino a la dirección IP de destino falsificada. 

Impacto de los ataques de amplificación de DNS

Los ataques de amplificación de DNS pueden provocar interrupciones inmediatas y a largo plazo en tu negocio. Estos ataques están diseñados para saturar tu infraestructura, lo que provoca cortes en el servicio, limita el acceso a los recursos y deja vulnerabilidades duraderas. Estas son las principales consecuencias que debes tener en cuenta:

  • Interrupción en la accesibilidad del servicio: es posible que los clientes no puedan acceder a información o servicios esenciales, lo que perjudicaría su experiencia y reduciría la credibilidad de tu empresa. 

  • Consumo excesivo de recursos de red: el aumento repentino del tráfico consume mucho ancho de banda, lo que ralentiza toda la infraestructura. Esta situación afecta tanto a la productividad de los empleados como a la experiencia de los usuarios, lo que provoca retrasos que salen caros.

  • Costes directos y posibles pérdidas de ingresos: gestionar el ataque aumenta los gastos y las interrupciones del servicio hacen que se pierdan oportunidades, lo que afecta directamente a tus resultados. 

  • Pérdida de confianza de los clientes y deterioro de la imagen de marca: las interrupciones frecuentes pueden dañar tu reputación y hacer que los clientes busquen alternativas más fiables. 

  • Daños colaterales en sistemas de terceros: las aplicaciones conectadas y la infraestructura compartida pueden sufrir consecuencias inesperadas, aunque el ataque no vaya dirigido directamente contra ellas. 

  • Deterioro del rendimiento del sistema y de la red: los efectos de un ataque suelen perdurar, ralentizando poco a poco el rendimiento hasta que se adoptan medidas correctivas. 

  • Puesta al descubierto de otras debilidades de seguridad: estos ataques pueden revelar vulnerabilidades ocultas en tu red, lo que abre la puerta a nuevos ataques.

  • Carga de trabajo del equipo de TI y seguridad: al tener que resolver problemas constantemente, tus equipos acaban agotados, lo que reduce su capacidad para ocuparse de otras tareas esenciales. 

Detección de ataques de amplificación de DNS

La detección temprana es fundamental para mitigar los ataques de amplificación de DNS, ya que identificarlos en sus primeras fases puede evitar daños graves. Con herramientas y estrategias de monitorización proactivas, puedes detectar rápidamente cualquier actividad sospechosa y reaccionar antes de que el ataque cause daños importantes. A continuación te explicamos cómo detectar posibles incidentes:

  • Monitorización de picos repentinos de tráfico DNS o UDP: un aumento repentino e inesperado de consultas DNS o paquetes UDP en toda la red puede indicar un ataque activo dirigido a tus servicios. Vigilar estos picos permite a tu equipo actuar rápidamente para minimizar el impacto. 

  • Análisis del contenido de los paquetes en busca de consultas de amplificación: al examinar a fondo los paquetes de datos que circulan por la red, puedes identificar patrones anómalos de consultas DNS que no se ajustan al tráfico habitual. Estos patrones pueden incluir solicitudes diseñadas para aprovechar vulnerabilidades de amplificación de DNS. 

  • Detección de anomalías mediante el aprendizaje automático: los sistemas basados en IA que comprenden el comportamiento habitual de la red pueden señalar automáticamente cualquier desviación de la norma. Cuando los patrones de tráfico cambian de forma inesperada, los algoritmos de aprendizaje automático alertan al equipo de seguridad de posibles amenazas en tiempo real.

  • Seguimiento de respuestas DNS de gran tamaño: las respuestas DNS excesivamente grandes a ciertos tipos de consultas —sobre todo aquellas relacionadas con vulnerabilidades de amplificación— indican que están atacando tu red. Si observas respuestas significativamente grandes de forma constante en tu tráfico, es señal de que se está produciendo un ataque. 

  • Monitorización de una mayor diversidad en las fuentes de respuesta de los servidores DNS: si de repente las solicitudes DNS provienen de muchos servidores diferentes en lugar de las fuentes habituales, es una señal de alerta de un ataque de reflexión, mediante el cual se redirige el tráfico para saturar tus sistemas.

  • Seguimiento del aumento de los tipos de consultas vulnerables a la amplificación: presta atención a picos inusuales en tipos específicos de consultas, como registros ANY o TXT que no se ajusten al tráfico habitual de la red. Pueden ser un indicador de que los atacantes están probando tu red en busca de vulnerabilidades de amplificación. 

  • Detección de picos repentinos en el uso del ancho de banda: los aumentos rápidos e inexplicables en el ancho de banda de la red —sobre todo en el tráfico entrante— son un claro indicio de que tu red está saturada por un ataque de amplificación. Detectar estos picos a tiempo permite a tu equipo poner en marcha medidas de defensa antes de que el ataque se agrave. 

Prevención y mitigación de ataques de amplificación de DNS

Para contrarrestar de forma eficaz los ataques de amplificación de DNS se necesita un enfoque en varias capas, ya que ninguna solución por sí sola ofrece una protección total contra este tipo de ataque DDoS. Para reducir las vulnerabilidades y mitigar los daños, las empresas deben adoptar estrategias proactivas. Una solución integral incluye configuraciones técnicas, controles de red, planes de respuesta y colaboración con la comunidad de ciberseguridad en general. 

A continuación te indicamos algunas medidas clave que debes tener en cuenta como parte de tu estrategia de resiliencia:

  • Aplicación de la BCP38

Las recomendaciones de la BCP38 sugieren que los routers se configuren para filtrar los paquetes IP en función de sus direcciones de origen, garantizando así su autenticidad. Al habilitar el filtrado de entrada en todo el perímetro de tu red, puedes descartar las direcciones falsificadas que se usan en los ataques de amplificación de DNS, deteniendo así los ataques de reflexión antes de que se intensifiquen. 

  • Configuración segura del servidor DNS

Una configuración adecuada de tus servidores DNS puede evitar que los usen indebidamente en ataques de amplificación. Limitar las transferencias de zona a servidores autorizados, desactivar los solucionadores recursivos cuando no sean necesarios y proteger las opciones de transferencia de zona son pasos fundamentales para reducir la vulnerabilidad. 

  • Despliegue del DNS Anycast

Al distribuir los servidores DNS de referencia por varias ubicaciones geográficas, se dispersa el tráfico de los ataques, lo que evita que un solo servidor se vea desbordado. El DNS Anycast permite mantener la disponibilidad del servicio durante un ataque de reflexión, lo que dificulta que los atacantes paralicen la infraestructura. 

  • Limitación de frecuencia de peticiones de una sola fuente

La limitación del número de consultas DNS permitidas por dirección IP de origen evita que los atacantes saturen el sistema con un exceso de solicitudes. Además, configurar límites de volumen basados en los patrones habituales de tráfico añade una protección extra contra el uso indebido del DNS. 

  • Filtrado de tráfico malicioso de DNS

Implementa filtros para identificar y bloquear las consultas DNS que muestren patrones maliciosos. La detección de métodos de ataque conocidos evita que la red responda a solicitudes sospechosas. Actualiza estos filtros con regularidad para adelantarte a las amenazas emergentes.

  • Restricción de acceso a los solucionadores de DNS abiertos

La limitación del acceso a los solucionadores DNS garantiza que solo los usuarios autorizados puedan utilizar tus servicios. Implementa estándares de autenticación como DNSSEC para evitar que los atacantes aprovechen los solucionadores abiertos para lanzar ataques de reflexión. 

  • Limitación de frecuencia de respuesta DNS (RRL)

Al limitar la frecuencia con la que los servidores DNS envían respuestas idénticas, reduces el riesgo de abuso en casos de ataques de amplificación. Esta estrategia garantiza que tu red siga respondiendo con normalidad sin contribuir al posible tráfico de DDoS. 

  • Análisis continuo del tráfico DNS

La monitorización constante del tráfico DNS permite detectar rápidamente cualquier anomalía. Las alertas automáticas avisan de patrones inusuales, lo que permite a tu equipo de seguridad actuar con rapidez antes de que un ataque pueda causar daños importantes. 

  • Servicios especializados de protección DDoS

Los proveedores externos de protección contra ataques DDoS, como Fastly, ofrecen soluciones avanzadas de mitigación diseñadas para hacer frente a ataques complejos. Estos servicios cuentan con asistencia las 24 horas del día, los 7 días de la semana, y herramientas especializadas, lo que te proporciona una capa adicional de seguridad ante amenazas a gran escala. Comparar las diferentes ofertas te puede ayudar a elegir el mejor socio para reforzar tus defensas.

  • Auditorías de seguridad periódicas

Las auditorías periódicas de seguridad de tu infraestructura DNS y de tus controles técnicos son esenciales para identificar vulnerabilidades antes de que alguien pueda aprovecharlas. Si abordas los puntos débiles de forma proactiva, te aseguras de que los sistemas sean resilientes ante las tácticas de ataque en constante evolución. 

  • Implementación de listas de control de acceso (ACL)

La implementación de listas de control de acceso (ACL) te permite controlar qué direcciones IP y subredes pueden acceder a tus solucionadores de DNS. Las listas de bloqueo y de permiso ofrecen una medida de seguridad extra, ya que impiden que personas no autorizadas interactúen con tus servidores. 

  • Despliegue del WAF de última generación

El despliegue de firewalls de aplicaciones web (WAF) que analizan los patrones de tráfico DNS permite bloquear las solicitudes maliciosas antes de que lleguen a tus sistemas críticos. La actualización periódica de tus WAF y de las definiciones de amenazas garantiza que tus defensas sigan siendo eficaces frente a los métodos de ataque más recientes.

Por qué las soluciones de Fastly destacan a la hora de proteger contra los ataques de amplificación de DNS

La solución integral contra ataques DDoS y el WAF de última generación de Fastly están optimizados para combatir de forma eficaz los ataques de amplificación de DNS. La red global de seguridad en el edge de la plataforma inspecciona el tráfico DNS cerca de los usuarios finales, detectando y bloqueando las consultas maliciosas antes de que lleguen a la infraestructura del cliente. Estas soluciones de seguridad de Fastly ofrecen las siguientes ventajas y funciones avanzadas:

  • Absorción del tráfico de ataques: la red global de puntos de presencia (POP) de Fastly distribuye el tráfico de ataques entrante entre varias ubicaciones, lo que reduce la carga sobre cualquier nodo concreto. 

  • Monitorización del tráfico en tiempo real: las herramientas de análisis avanzadas detectan anomalías en tiempo real a medida que surgen las amenazas. El motor de detección SmartParse analiza los patrones de tráfico y minimiza los falsos positivos. 

  • Defensas especializadas contra ataques DNS: la seguridad de Fastly incluye protecciones diseñadas específicamente para hacer frente a los ataques DDoS, incluidos los intentos de amplificación.

  • Reglas de seguridad personalizables: Fastly te permite adaptar las configuraciones a tus necesidades concretas. Gracias a esta flexibilidad, las reglas se ajustan con precisión a tus condiciones específicas y a tus factores de riesgo.

  • Respuesta automática ante amenazas: Fastly puede poner en marcha contramedidas de forma autónoma, lo que te ahorra un tiempo muy valioso en caso de crisis. Una mitigación más rápida reduce el riesgo de que surjan problemas.

  • Control de seguridad basado en API: el acceso programático te permite integrar sin problemas tus procesos y flujos de trabajo de automatización.

  • Actualizaciones continuas de defensa: el refinamiento constante de la inteligencia y las estrategias de Fastly garantiza que las medidas de protección estén siempre al día frente a las amenazas emergentes.

  • Seguridad optimizada para el rendimiento: Fastly ofrece una seguridad gestionada y estable que mantiene la velocidad y la calidad de servicio que esperas. Tus usuarios no notan ninguna diferencia, mientras que tú disfrutas de una protección integral.

Descubre cómo Fastly destaca en la detección, prevención y mitigación de ataques de amplificación de DNS sin que ello afecte a tu experiencia ni a la de tus clientes: solicita hoy mismo una demostración gratuita.

¿Listo para empezar?

Ponte en contacto con nosotros
Habla con un experto