viernes, octubre 17, 2025

¿Cuál es la mejor solución AntiDDos para defenderse de los Ataques DDoS en Internet?

Si eres un profesional del mundo de la Ciberseguridad, ya sea en el Blue Team, en el Red Team o directamente el CISO de una compañía, seguro que ya sabes la respuesta a esta pregunta, y sabes que Cloudflare tiene la mejor solución AntiDDoS en Internet por algo que es intrínseco a la arquitectura de la plataforma de la compañía, pero para los que no sabéis por qué, dejadme que os lo explique en un artículo cortito que va a hacer que lo entendáis e una forma muy sencilla.
Esta pregunta que os hecho en el título la podías responder sin necesidad de que yo escribiera este artículo, ya que si vas a cualquier lugar de Internet lo vas a encontrar de una forma u otra. Podéis preguntarle a cualquier buscador de GenAI, y si no os contesta que es Cloudflare, entonces es que no funciona y tienes que cambiar de buscador.
Como os he dicho, esta información es fácil de conocer, y cualquier CISO de una organización que tiene claro que perder su puesto de trabajo por que la solución AntiDDoS que ha implantado no proteja suficientemente sus activos, probablemente tiene Cloudflare como protección. Las grandes empresas digitales en Internet que basan sus ingresos en modelos de suscripción SaaS, pero la mayoría de los e-commerce que vemos hoy en día. 

Intensidad de los Ataques DDoS

La primera de ellas es la virulencia e intensidad de los Ataques DDoS que tenemos hoy en día, donde en Cloudflare se han detectado ataques de hasta 29,4 y 29,7 Tbs, que seguro que es un tráfico mucho mayor que el que soporta la conexión a Internet de todos los servidores expuestos en la red. 


Y estos dos últimos han sido en este mes de Octubre, e indica que esto no va a parar, sino que va a seguir creciendo en intensidad. Así que, si tienes un activo en Internet que es la fuente de tus ingresos, y no estás protegido contra estos ataques que se ejecutan a nivel mundial, la cosa pinta mal.

El Edge como Superficie de Exposición

El segundo punto importante de por qué las soluciones AntiDDoS de Cloudflare son capaces de mitigar estos ataques se basan en varios conceptos que tienen que ver con el diseño de la plataforma en el Edge de Cloudflare, que desde el inicio está pensada para dotar de Seguridad y Alto Rendimiento a todos los servicios de Internet. ¿Cómo? Pues sencillo, con una red global de nodos en el Edge que forman una única plataforma.
Como podéis ver en la imagen, en Julio de este año, la capacidad de tráfico en el Edge que soporta la red de Cloudflare es de 405 Tbps, gracias a tener una red distribuida por más de 330 ciudades en el mundo en más de 120 países, lo que hace que tenga 3 veces más capacidad en el Edge que la suma de todos los otros proveedores AntiDDos. Pero es que está conectado a más de 13.000 redes directamente para lograr la distribución de tráfico más rápida en el Edge posible. Y es que la plataforma de Cloudflare tiene el Doble de Puntos de Presencia en Edge en el mundo a la suma de todos los demás proveedores. Vamos, Cloudflare es el "Big Gorilla" en el Edge.
Pero la magia final es que es una única plataforma mundial, que cuando detecta un ataque de DDoS, este es distribuido tanto en origen como de manera coordinada, para evitar que se pueda tumbar un PoP, haciendo que todos los nodos colaboren en las distribución del ataque. ¿Cómo? Pues gracias primero a la gestión de manera global del tráfico, y en segundo lugar, gracias al diseño de la red AnyCast de Cloudflare.

Una red Anycast para distribuir la superficie en el Edge

Cuando un servicio está publicado en Cloudflare, su dirección IP está distribuida de forma Anycast, o lo que es lo mismo, está en todos los nodos del Edge. Cuando un cliente se quiere conectar a esa dirección IP, la dirección está publicada en el nodo más cercano a la persona. Es decir, que las 12.000 redes a las que está conectado alguno de los PoP de Cloudflare, cada cliente tiene a unos 20 ms la dirección IP que busca, porque está en el nodo más cercano a él, igual que está en el resto de los PoPs
¿Y qué efecto tiene en la protección AntiDDoS? Pues sencillo, supongamos una botnet que controla millones de dispositivos en Internet, y son utilizados para hacer un Ataque de DDoS contra una dirección IP de Internet. Este tráfico de ataque tendrá muchos orígenes distintos, y vendrá desde muchas redes distintas, así que si la dirección IP es una dirección IP Anycast en la plataforma Edge de Cloudflare, cada parte del tráfico de ataque se gestiona en un nodo diferente. Divide y Vencerás en la protección por diseño.
Después, si se diera el caso de que hay mayor impacto en un nodo en concreto del PoP, la gestión global de la red permite que parte de este tráfico sea redirigido a PoPs más cercanos sin pararse a limpiarlo, con lo que se el análisis del tráfico y su limpieza se comparte entre nodos más descargados. Y mientras tanto, el tráfico legítimo que ha sido limpiado es enviado correctamente al servicio que sigue funcionando.
Estas características únicas de la plataforma de Cloudflare le permiten a cualquier sitio de Internet protegido por los servicios AntiDDoS tener una superficie mundial de defensa. Y la magia se produce ya cuando, desde una de las herramientas de seguridad de la plataforma, ya sea WAF, DLP,  Cloud Access Security Broker, Bot Control, AI Audit, e-mail Filtering, Content Filtering, etcétera, da igual la que sea, la configuras, la aplicas, y en segundos está distribuida en todos los PoP del mundo. Único. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


Entrada destacada

+300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial

Hace un mes comencé a recuperar en un post mi interés en los últimos años, donde he publicado muchos artículos en este blog , y he dejado mu...

Entradas populares