Hace tres años recibimos un ataque de amplificación NTP que saturó nuestro enlace de uplink en menos de cuatro minutos. 18 Gbps de tráfico basura dirigido contra la IP de un servidor de juegos que alojaba uno de nuestros clientes empresariales. Durante veinte minutos, todos los abonados de ese segmento de red estuvieron degradados.
Desde entonces he dedicado bastante tiempo a entender el panorama real de la protección DDoS para operadores de tamaño medio en España. No el panorama de los folletos de ventas, sino el de lo que realmente funciona, lo que no, y lo que cuesta cuando te sientas a negociar de verdad. Esto es lo que he aprendido.
Los tipos de ataque que realmente vemos en redes ISP
Antes de hablar de soluciones, hay que entender el problema. Los ataques DDoS que afectan a ISPs medianos en España en 2026 se dividen en tres categorías principales:
Ataques volumétricos L3/L4: Son los más frecuentes y los más fáciles de entender. Inundación de tráfico UDP, TCP SYN floods, ICMP floods. El objetivo es saturar el ancho de banda del enlace de la víctima o los recursos del dispositivo de red. El tamaño medio de estos ataques en España ha subido mucho: ya no es raro ver ataques de 50-100 Gbps contra objetivos que tienen un enlace de 1-10 Gbps. Si tu uplink tiene 10 Gbps y te llegan 80 Gbps de basura, el problema no está en tu red; está en el tramo antes de llegar a ti.
Ataques de amplificación DNS/NTP/SSDP: Usan servidores mal configurados en internet para amplificar el tráfico. Un atacante envía paquetes pequeños con IP de origen falsificada (la víctima) a miles de resolvers DNS o servidores NTP abiertos. Esos servidores responden con paquetes mucho mayores a la IP falsificada. El factor de amplificación NTP puede llegar a 4.000x. Son especialmente dañinos porque el tráfico parece legítimo y viene de IPs distribuidas por todo el mundo.
Ataques de capa de aplicación (L7): HTTP floods, slowloris, ataques contra APIs específicas. Estos no se mitigan con los mismos mecanismos que los volumétricos. Necesitan inspección de capa 7 y son más difíciles de distinguir del tráfico legítimo. Para un ISP que aloja servicios propios o de clientes, son cada vez más relevantes.
Las opciones reales de mitigación
Blackhole comunitario (RTBH): la primera línea
El Remote Triggered Black Hole (RTBH) es la herramienta más básica y está disponible en prácticamente todos los acuerdos de tránsito. Cuando detectas un ataque, anuncias via BGP una comunidad especial que le indica a tu upstream que descarte todo el tráfico hacia esa IP destino. Resultado: la IP atacada queda «agujereada», el ataque no llega a tu red, pero el servicio en esa IP tampoco.
Es efectivo para proteger el resto de tu red cuando un cliente está bajo ataque. Es totalmente ineficaz si el objetivo eres tú como operador (te cortas el servicio tú mismo) y no ayuda nada con ataques distribuidos que no van contra una IP concreta.
Coste: 0 euros adicionales si ya tienes BGP con tu upstream. Es parte del servicio estándar en la mayoría de contratos de tránsito.
Flowspec: el siguiente nivel
BGP Flowspec es una extensión de BGP que permite propagar reglas de filtrado más granulares que un simple blackhole. Puedes decirle a tu upstream «descarta el tráfico UDP hacia el puerto 53 que venga de estas 50 subredes» sin tener que descartar todo el tráfico hacia una IP. Es mucho más quirúrgico que RTBH.
El problema es el soporte. No todos los upstreams ofrecen Flowspec como parte del servicio estándar, y los que lo ofrecen a veces tienen limitaciones en el número de reglas simultáneas. En España, algunos proveedores de tránsito nacionales lo tienen disponible; los grandes carriers internacionales (Cogent, Lumen, Telia) también, pero hay que pedirlo explícitamente y a veces negociarlo.
Coste: habitualmente sin coste adicional si el upstream lo soporta, pero requiere que tengas la automatización en tu lado para generar y retirar las reglas Flowspec de forma rápida. Hacerlo a mano no tiene sentido operativamente.
Scrubbing center upstream: cuando el blackhole no es suficiente
Cuando necesitas que el servicio siga funcionando durante el ataque y el volumen es demasiado grande para mitigarlo localmente, la opción es redirigir el tráfico a un centro de limpieza (scrubbing center) que filtra el tráfico malicioso y te devuelve solo el legítimo.
En España, los servicios más usados por ISPs medianos son:
- Voxility: Buena presencia en España, precios razonables para el nivel de servicio. Su modelo para ISPs suele ser tráfico comprometido con capacidad de ráfaga. Un contrato de protección con capacidad de limpieza de hasta 100 Gbps para un bloque /24 puede estar entre 800 y 1.500 euros/mes dependiendo del volumen garantizado.
- Cogent Shield: Si ya eres cliente de Cogent para tránsito, su servicio Shield tiene una integración razonablemente limpia. Los precios varían mucho según el volumen de tránsito ya contratado y son negociables.
- Path.net / Serverius / NOCTION: Otras opciones con presencia en puntos de intercambio europeos que sirven a ISPs españoles, con precios y modelos variables.
Lo importante a entender sobre los scrubbing centers es que la latencia añadida es real: el tráfico hace un desvío geográfico. Si el scrubbing center está en Frankfurt y tus abonados están en Sevilla, estás añadiendo 20-30 ms de latencia durante el ataque. Para tráfico de voz o gaming, eso importa. Por eso algunos operadores activan el scrubbing solo cuando el ataque supera un umbral y vuelven al routing normal cuando cesa.
Mitigación local con null route automático
Para ataques de tamaño medio (hasta 5-10 Gbps si tu enlace lo aguanta temporalmente), una solución local con detección basada en NetFlow/IPFIX y null route automático puede ser suficiente. Herramientas como FastNetMon (open source y versión comercial) analizan los flujos de tráfico en tiempo real, detectan anomalías y ejecutan automáticamente un blackhole via BGP hacia la IP atacada.
El coste de FastNetMon Advanced está en torno a 1.200-2.000 euros/año dependiendo del número de interfaces monitorizadas. La versión community es gratuita pero con limitaciones. Para un ISP con varios uplinks de 1-10 Gbps, es una capa de protección muy razonable antes de necesitar un scrubbing center externo.
Cuándo es suficiente el blackhole y cuándo necesitas más
La respuesta honesta: depende de tu mix de clientes. Si tienes básicamente abonados residenciales y algunos negocios pequeños sin SLA, el RTBH comunitario de tu upstream más un sistema de null route automático es probablemente suficiente para el 95% de los ataques que vas a ver. El coste de un scrubbing center dedicado no está justificado.
Si tienes clientes de empresa con SLA de disponibilidad, hospedas servidores, o tienes clientes del sector gaming o financiero, necesitas protección activa que mantenga el servicio durante el ataque. Ahí sí tiene sentido el scrubbing center, aunque sea en modalidad de activación bajo demanda.
Lo que no recomiendo en ningún caso es asumir que no va a pasarte nada. Los ataques DDoS en España han subido en frecuencia y volumen en los últimos tres años. El coste de prepararse es muy inferior al coste de una incidencia grave, tanto en términos económicos como de reputación.
Una cosa que la gente no hace y debería
BCP38. Filtrado de IP de origen en los bordes de tu red. Es una recomendación de 2000 (sí, del año 2000) y todavía hay ISPs en España que no la implementan. BCP38 evita que tus propios abonados puedan lanzar ataques de amplificación con IP falsificada desde dentro de tu red. No te protege a ti de ataques externos, pero te hace parte de la solución en lugar de parte del problema. Y algunos upstreams empiezan a pedirlo como requisito de peering.
Si tienes dudas sobre qué nivel de protección necesita tu red, hablemos. En bayma.es/operadores/seguridad-antiddos puedes ver cómo abordamos la seguridad de red en Bayma y ponerte en contacto con nosotros. Nada de presentaciones genéricas: revisamos tu arquitectura y tu perfil de riesgo y te decimos lo que tiene sentido para tu caso concreto.