¿Qué es un ataque bajo y lento?

Un ataque bajo y lento es un ataque DDoS que tiene como objetivo detener un servicio web mediante el uso de un tráfico HTTP o TCP extremadamente lento.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir un ataque bajo y lento
  • Describir el funcionamiento de los ataques bajos y lentos
  • Entender cómo mitigar los ataques bajos y lentos

Contenido relacionado

R U Dead Yet? (R.U.D.Y.)

Ataque slowloris

Firewall de aplicaciones web (WAF)

Ataque de inundación de ping (ICMP)

Cómo lanzar un ataque DDoS | Herramientas de ataque DoS y DDoS

¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es un ataque bajo y lento?

Un ataque bajo y lento es un tipo de ataque DoS o DDoS que se basa en un pequeño flujo de tráfico muy lento dirigido a los recursos de aplicaciones o servidores. A diferencia de los ataques de fuerza bruta más tradicionales, los ataques bajos y lentos requieren muy poco ancho de banda, y pueden ser difíciles de mitigar, ya que generan un tráfico muy difícil de distinguir del tráfico normal. Mientras que los ataques DDoS a gran escala suelen notarse muy rápido, los ataques bajos y lentos pueden pasar desapercibidos durante largos periodos de tiempo, todo ello a la vez que deniegan o ralentizan el servicio a los usuarios reales.

Como no necesitan muchos recursos para llevarse a cabo, los ataques bajos y lentos pueden lanzarse con éxito con un solo ordenador, a diferencia de los ataques más distribuidos que pueden requerir una botnet. Dos de las herramientas más populares para lanzar un ataque bajo y lento se llaman Slowloris y R.U.D.Y.

¿Cómo funciona un ataque bajo y lento?

Los ataques bajos y lentos se dirigen a servidores web basados en hilos con el objetivo de atar todos los hilos con solicitudes lentas, impidiendo así que los usuarios auténticos accedan al servicio. Esto se consigue al transmitir datos muy lentamente, pero lo suficientemente rápido como para evitar que el servidor se quede sin tiempo.

Pensemos en un puente con 4 carriles que tiene una cabina de peaje para cada carril. Los conductores se acercan al peaje, entregan un billete o un puñado de monedas y cruzan el puente, lo que deja el carril libre para el siguiente conductor. Ahora, imaginemos que cuatro conductores se presentan a la vez y ocupan todos los carriles abiertos, mientras cada uno de ellos entrega lentamente monedas al operador del peaje, de moneda en moneda, obstruyendo todos los carriles disponibles durante horas e impidiendo el paso de otros conductores. Este escenario increíblemente frustrante es muy similar a cómo funciona un ataque bajo y lento.

Los atacantes pueden utilizar encabezados HTTP, solicitudes HTTP POST o tráfico TCP para llevar a cabo ataques bajos y lentos. A continuación, 3 ejemplos de ataques comunes:

  • La herramienta Slowloris se conecta a un servidor y luego envía lentamente encabezados HTTP parciales. Esto hace que el servidor mantenga la conexión abierta para poder recibir el resto de las encabezados, atando el hilo.
  • Otra herramienta llamada R.U.D.Y. (R-U-DEAD-YET?) genera solicitudes HTTP POST para rellenar los campos del formulario. Indica a los servidores cuántos datos deben esperar, pero luego los envía muy lentamente. El servidor mantiene la conexión abierta porque espera más datos.
  • Otro tipo de ataque bajo y lento es el ataque Sockstress, que aprovecha una vulnerabilidad en el protocolo de enlace de 3 vías de TCP/IP, creando una conexión indefinida.

¿Cómo pueden detectar los servicios web un ataque bajo y lento?

Las técnicas de detección de velocidad que se utilizan para identificar y detener los ataques DDoS tradicionales no captarán un ataque bajo y lento, ya que se parecen al tráfico normal. La mejor manera de detectarlos es una supervisión cuidadosa y el registro del uso de los recursos del servidor, en combinación con un análisis del comportamiento. Compara el tráfico y el comportamiento de los usuarios durante las horas normales con el tráfico y el comportamiento de los usuarios durante el periodo del posible ataque.

Si los servidores funcionan con lentitud o dejan de funcionar, y se sospecha de un ataque bajo y lento, un signo de este tipo de ataque es que los procesos normales del usuario tardan mucho más. Si una acción del usuario (como rellenar un formulario) suele tardar unos segundos, pero ahora tarda minutos u horas, y ocupa muchos más recursos del servidor de lo normal, el motivo puede ser un ataque bajo y lento.

Una vez que se detecta un ataque bajo y lento, la mitigación es otra cuestión.

Cómo detener un ataque bajo y lento

Una forma de mitigar un ataque bajo y lento es aumentar la disponibilidad de tu servidor; cuantas más conexiones pueda mantener tu servidor de forma simultánea, más difícil será que lo bloquee un ataque. El problema de este enfoque es que un atacante puede intentar escalar su ataque para satisfacer la disponibilidad de tu servidor.

Otra solución es la protección basada en el proxy inverso, que mitigará los ataques bajos y lentos antes de que lleguen a tu servidor de origen. Más información sobre cómo la protección contra DDoS basada en la nube de Cloudflare puede mitigar los ataques bajos y lentos.

Primeros pasos

Acerca de los ataques DDoS

Ataques DDoS

Herramientas de ataque DDoS

Glosario de DDoS

Navegación del centro de aprendizaje

© 2025 Cloudflare, Inc.Política de privacidadTérminos de usoInformar sobre problemas de seguridadConfianza y seguridadMarca comercial