Qué es un ataque DDoS y por qué es tan frecuente en los medios

Los medios de comunicación son un objetivo prioritario para ciberdelincuentes y hacktivistas con fines geopolíticos. En España, los ataques en el sector se han multiplicado por 4,5 hasta septiembre, siendo los DDoS los más frecuentes. En este artículo, explicamos qué es un ataque DDoS, sus consecuencias para las organizaciones informativas y por qué defenderse es clave para la continuidad del periodismo y la democracia.

El medio danés Copenhagen Post se quedó fuera de servicio el pasado 17 de noviembre, tras ser víctima de un ataque DDoS del grupo de hackers prorrusos NoName057(16). El incidente se produjo justo un día antes de las elecciones municipales y regionales de Dinamarca, y afectó también a las páginas web de varios partidos políticos daneses y del Parlamento. El periódico volvió a la normalidad varias horas después, tras restablecer sus servidores, y no reportó fuga de datos durante el ataque.

Desgraciadamente, este no es un hecho aislado. Los medios de comunicación se han convertido en uno de los objetivos preferidos de los ciberdelincuentes y los ataques al sector se han incrementado notablemente en los últimos años. Y es que, en la actualidad, la información es más que un servicio público, es un activo estratégico. Los medios no sólo generan noticias, sino que moldean la opinión pública, influyen en las decisiones políticas y sostienen la democracia. Por ello, los ciberataques orquestados con fines geopolíticos son cada vez más frecuentes. 

Lo cierto es que los medios están bajo una presión creciente que amenaza su credibilidad, su sostenibilidad y su rol social. Según datos del Observatorio de Ciberseguridad de Transparent Edge, durante los nueve primeros meses del año, se ha registrado un incremento del 450,87% de los incidentes a medios de comunicación españoles. A nivel mundial, el panorama es similar.

Fuente: elaboración propia.

Los ataques más frecuentes

Según vemos en el informe “Panorama de amenazas 2025” publicado por ENISA (Agencia de la Unión Europea para la Ciberseguridad) el pasado octubre, la mayoría de las actividades cibernéticas dirigidas contra el Viejo Continente han estado vinculadas principalmente a incidentes de motivación ideológica, ejecutados por hacktivistas mediante ataques DDoS, que representan el 74,9% del total de ataques. El 13,4% responden a fines económicos, protagonizados en su mayoría por ciberdelincuentes, mientras que las campañas de ciberespionaje representaron el 7,2% del total. 

Fuente: elaboración propia.

Los hacktivistas son la amenaza más activa contra los Estados miembros de la UE, especialmente los de grupos prorrusos, siendo NoName057(16) el que se ha atribuido el 63,1% de los ataques, seguido de Keymous+ y Dark Storm Team. En total, NoName057(16) ha lanzado desde su creación, en 2022, más de 500 oleadas de ciberataques, de las que los medios de comunicación no han estado exentos (El Mundo, Expansión, ABC o Telemadrid, entre otros). 

A pesar de que entre el 14 y el 17 de julio una operación internacional coordinada por Europol y Eurojust desarticuló una infraestructura del grupo compuesta por más de cien sistemas informáticos a nivel mundial, dejando fuera de servicio una parte importante de sus servidores, esto no ha logrado detener a los cibercriminales.

En agosto, el grupo prorruso volvió a la carga, atacando a varios organismos en España, como represalia por las detenciones y la presión internacional. Incidentes que se han ido repitiendo en los últimos meses, con más o menos éxito. 

¿Qué es un ataque DDoS?

Un ataque de Denegación de Servicio Distribuido (DDoS) busca colapsar un sistema, servicio o red con una avalancha de tráfico, impidiendo su uso normal. A diferencia del ataque DoS tradicional (de un sólo origen) el DDoS es distribuido, lo que significa que utiliza múltiples dispositivos comprometidos para lanzar un ataque masivo y coordinado.

Este enfoque, donde los atacantes controlan los dispositivos de forma remota y simultánea, multiplica la potencia del ataque y dificulta enormemente identificar la fuente real.

Los ataques DDoS se clasifican en cuatro grandes categorías, según INCIBE, el Instituto Nacional de Ciberseguridad:

• Ataques de capa de red: para consumir recursos limitados del servidor o de infraestructuras intermedias.
  
  
• Ataques de capa de aplicación: orientados a agotar los recursos de aplicaciones web haciendo peticiones HTTP legítimas pero masivas. 
  
  
• Ataques volumétricos: que buscan colapsar el ancho de banda de la víctima, congestionando enlaces físicos e impedir el tráfico legítimo. 
  
  
• Ataques multivector: combina simultáneamente varios tipos de ataque para evadir las medidas antiDDoS. 
  
  

“Los ataques de denegación de servicio distribuidos (DDoS) suponen más de la mitad de los incidentes a medios de comunicación”. 

 Whitepaper ciberseguridad en los medios de comunicación. Bitban Technologies & Transparent Edge.

Consecuencias para los medios

Al sufrir este tipo de ataques, el medio puede quedar inaccesible justo cuando más necesita comunicar. Los incidentes suelen coincidir con momentos de alta sensibilidad informativa como durante elecciones (como es el caso de Copenhagen Post), en crisis políticas, desastres naturales o eventos internacionales, ya que el efecto se amplifica cuando la audiencia es mayor. 

Los expertos señalan que este tipo de ataques rara vez buscan robar datos, y que su principal objetivo es generar visibilidad, simbolismo y ejercer presión política. 

Los ciberataques erosionan la reputación, el negocio y la confianza del medio, que es su activo más importante. La continuidad del negocio periodístico no sólo depende de la calidad de su información, sino también de la disponibilidad de sus sitios y aplicaciones web. Cada segundo de indisponibilidad puede representar una pérdida de lectores, de ingresos publicitarios y de autoridad informativa.

Prevención, detección y mitigación

Por tanto, evitar y mitigar estos ataques es fundamental para un medio. Dada la frecuencia y complejidad de los incidentes de seguridad, resulta crucial articular un sistema de defensa adecuado. Esto significa integrar monitoreo ininterrumpido, toma de decisiones rápidas frente a patrones de tráfico inusuales y respuestas proactivas al detectarlo.

La primera línea de defensa viene de la CDN (red de entrega de contenidos), que actúa como un escudo entre los servidores de origen y el tráfico de los usuarios, bloqueando ataques antes de que lleguen al servidor principal.

______

Bitban Technologies colabora con Transparent Edge desde hace más de una década para garantizar que bCube CMS, gestor de contenidos especializado en grandes medios de comunicación, funcione de manera más segura y estable. La plataforma de Transparent Edge actúa como primera línea de defensa contra amenazas como los ataques DDoS que, como hemos visto, son los más frecuentes en el sector de medios. Su arquitectura distribuida asegura entregas rápidas desde la caché y mantiene la continuidad del servicio.

*La información contenida en este artículo proviene en su mayor parte del Whitepaper que hemos elaborado junto a Transparent Edge: “Ciberseguridad en los medios de comunicación. De la vulnerabilidad a la resiliencia digital en la era IA”. En el documento, de descarga gratuita, recogemos, además de los ataques más frecuentes a medios, la nueva generación de amenazas que vienen con la inteligencia artificial, un análisis detallado del marco legal o una hoja de ruta que pueden seguir los medios para protegerse de los ciberdelincuentes. Una guía práctica para directivos, CIOs y CTOs encaminada a convertir la ciberseguridad en una ventaja estratégica”.