Todos los sistemas operativos Ámsterdam · París · Reikiavik +5 Paga con Criptomoneda
EnglishРусский简体中文EspañolDeutschفارسیTürkçePortuguêsTiếng ViệtBahasa Indonesia
Glosario

¿Qué es la protección DDoS?

La protección DDoS es una infraestructura que detecta los ataques de inundación y filtra el tráfico hostil en sentido ascendente, de modo que tu servidor sigue respondiendo las peticiones legítimas mientras el ataque cae en un filtro.

Actualizado: 2026-06-12

Desplegar un VPS Ver precios
Fenrir el lobo parapetado detrás de un escudo

Un ataque de denegación de servicio distribuido (DDoS) no hackea nada. Simplemente envía tanto tráfico — desde miles de dispositivos comprometidos a la vez — que el enlace, la pila de red o la aplicación se ahogan, y los usuarios legítimos ya no pueden conectarse. Los ataques son baratos de alquilar por horas, por eso golpean a servidores de juegos por rencillas, a empresas por notas de rescate y a sitios polémicos pero legales por desacuerdo. La protección DDoS es la contrainfraestructura: detección que reconoce una inundación en segundos y capacidad de depuración suficientemente grande para absorberla mientras reenvía el tráfico real. En un VPS no puedes añadir esto por tu cuenta — cuando los paquetes llegan a tu NIC virtual, la batalla ya está arriba y se ha perdido. Tiene que ser una propiedad de la red del proveedor, por lo que pertenece a la hoja de especificaciones junto a la CPU y el disco.

Las tres capas de ataque

  • Volumétrico (inundaciones L3/L4). Saturación de ancho de banda puro: inundaciones UDP, amplificación DNS/NTP, los clásicos de botnets estilo Mirai. Se mide en gigabits — los ataques modernos superan rutinariamente los 100 Gbps, muy por encima del enlace de subida de cualquier servidor individual. Solo la capacidad de depuración en sentido ascendente puede responder a esto.
  • Ataques de protocolo. Agotamiento del estado de conexión en lugar de ancho de banda: inundaciones SYN, trucos con paquetes fragmentados, agotamiento de la tabla de conexiones. Menores en volumen, más letales por paquete; filtrados por inspección con estado en el borde.
  • Capa de aplicación (L7). Inundaciones de peticiones HTTP de aspecto legítimo dirigidas a endpoints costosos — páginas de búsqueda, formularios de inicio de sesión, llamadas a la API. Las más difíciles de filtrar genéricamente porque cada petición parece un usuario real; mitigadas por limitación de velocidad, desafíos y caché en el borde de la aplicación.

Una pila de protección real aborda las tres; “DDoS protegido” que solo significa una ACL de router no aborda ninguna.

Cómo funciona la mitigación realmente

El pipeline es detección → desvío → depuración → reinyección. La telemetría de flujo (NetFlow/sFlow) observa la IP de cada cliente en busca de anomalías — una línea de base de tráfico de repente multiplicada, una mezcla de protocolos que coincide con una firma de ataque conocida. En segundos, el prefijo objetivo se desvía a la capacidad de depuración: hardware de filtrado que descarta fuentes falsificadas, limita las tasas de flujo, valida el comportamiento del protocolo y deja pasar lo que queda. El tráfico limpio vuelve a entrar en la red hacia tu servidor, que en su mayor parte no nota nada. Los dos números que importan son el tiempo hasta la mitigación (segundos frente a minutos decide si los jugadores/usuarios lo notan) y el margen de depuración (un depurador de 10 Gbps ante una inundación de 400 Gbps es decorativo). “Siempre activo” significa que el tráfico se analiza permanentemente de forma inline en lugar de desviarse solo tras el daño; para las cargas de trabajo propensas a ataques, esa diferencia es el producto.

Qué cubre la «protección DDoS gratuita» — y qué no puede

La protección incluida (la nuestra también) cubre las capas de red: absorción volumétrica y filtrado de protocolo a escala de varios cientos de gigabits, siempre activa, sin cargo adicional, en todas las ubicaciones. Lo que ningún filtro de nivel de red puede cubrir completamente es la eficiencia de tu propia aplicación: si una única petición HTTP barata hace que tu aplicación ejecute una consulta de base de datos de cinco segundos, un atacante solo necesita unos pocos cientos de peticiones por segundo — indistinguibles de los usuarios — para hacerte daño. La resiliencia L7 es un trabajo compartido: el proveedor filtra las inundaciones; tú cacheas agresivamente, limitas la velocidad en los endpoints costosos y (si quieres páginas de desafío) te pones delante con una CDN. Los proveedores honestos dicen esto; desconfía de los que prometen “inhackeable”.

Por qué los proyectos propensos a ataques buscan el offshore para esto

Hay un patrón feo en el alojamiento convencional: recibe un ataque, te suspenden. La política DDoS real de muchos proveedores económicos es hacer null-route a la víctima — tu IP queda oscura hasta que el ataque para, lo que significa que el atacante gana de forma instantánea y repetible. Las redes con mitigación seria y una cultura de no castigar a las víctimas se encuentran de forma desproporcionada en el rincón offshore/tolerante a DDoS del mercado — Rumanía es famosa exactamente por esto. Nuestra política es la sensata: ser atacado no es una infracción, la mitigación se activa automáticamente y nadie recibe null-route por ser víctima. (Lanzar ataques, por supuesto, está en el otro lado de la AUP.)

FAQ

Preguntas frecuentes

¿Es la protección DDoS realmente gratuita en todos los planes de VPSCrypto?

Sí — la mitigación volumétrica y de protocolo siempre activa está incluida en todos los niveles en todas las ubicaciones, de Pup a Fenrir. No hay ningún nivel de “complemento DDoS”; consideramos la accesibilidad parte del producto base.

¿Me suspenderán si mi servidor es atacado?

No. Ser víctima de un ataque no es una infracción de la AUP aquí. La mitigación se activa automáticamente y tu servicio permanece activo dentro de la capacidad de protección. El reflejo de suspender a la víctima de los proveedores económicos es exactamente de lo que deberían huir los proyectos propensos a ataques.

¿Ralentiza la protección mi tráfico normal?

No de forma apreciable. Fuera de condiciones de ataque, el tráfico fluye normalmente con análisis inline; durante la mitigación, los flujos limpios se reenvían tras el filtrado con una sobrecarga de latencia en milisegundos bajos — invisible frente a la alternativa, que es estar fuera de línea.

¿Puedo proteger un servidor de juegos contra inundaciones tipo L7?

Los protocolos de juegos se benefician de las capas volumétrica y de protocolo, que es donde viven la mayoría de los ataques a juegos (inundaciones UDP). Para el abuso a nivel de aplicación dentro del propio protocolo del juego, combina la protección a nivel del proveedor con los propios límites de tasa y sesión del servidor de juegos — consulta nuestra página de VPS servidor de juegos.

¿Sigo necesitando Cloudflare o una CDN delante de un sitio web?

Para inundaciones de red puras, no. Para el abuso en capa HTTP contra endpoints costosos, el caché y las páginas de desafío de una CDN añaden un útil escudo L7, y ocultar tu IP de origen detrás elimina por completo la superficie de ataque directo. Componen bien: depuración abajo, CDN arriba.

Relacionado

Seguir explorando.

VPS servidor de juegosLa carga de trabajo más propensa a ataques en el alojamiento de consumo.VPS en RumaníaLa cultura de red tolerante a DDoS, a nuestro precio base.¿Qué es KVM?Aislamiento frente a vecinos, la amenaza más silenciosa.Uso aceptableSer atacado está bien; atacar no.Hoja de datosEscala y política de protección, formuladas de forma verificable.

Despliega un VPS offshore en un minuto

Sin KYC, pago en cripto, todo NVMe. Elige un plan, paga con Monero o cualquier moneda principal y obtén root en unos 60 segundos.

Desplegar un VPS API de despliegue
Fenrir en guardia