IA para frenar ataques DDoS en segundos

Los ataques de denegación de servicio (DDoS) no solo afectan a quien los sufre directamente. También pueden comprometer servicios de otras personas usuarias e incluso poner en peligro la infraestructura del proveedor. Y en estos casos, cada segundo cuenta.

En Sarenet nos planteamos un reto ambicioso:
¿Cómo pasar de reaccionar en 30 minutos… a reaccionar en segundos?

La respuesta nos llevó a diseñar un sistema de defensa automática apoyado en inteligencia artificial. Un desarrollo que nos permite detectar —y frenar— ataques en tiempo real. Te contamos cómo lo hicimos.

Solicita una propuesta de ciberseguridad a medida

De la detección manual a una defensa automatizada

En condiciones normales, ante un ataque, el equipo técnico analiza, confirma, genera reglas y actúa. Pero ese análisis, aunque riguroso, lleva tiempo. Y eso puede multiplicar el impacto.

Nuestro objetivo fue construir una “máquina” que vigilara en todo momento el tráfico que entra a través de los routers de frontera. Queríamos que detectara patrones anómalos de forma automática y que iniciara la defensa sin intervención humana.

Un sistema híbrido: inteligencia artificial + lógica humana

Dividimos la solución en dos capas:

• Detección basada en IA: Entrenamos modelos de detección de anomalías que aprenden cómo se comporta normalmente la red. Así, pueden identificar tanto ataques conocidos como otros más sutiles o novedosos que pasan desapercibidos a simple vista.
• Respuesta basada en reglas y contexto: Aunque la IA “levante la mano” cuando detecta un ataque, no es ella quien actúa directamente. Esa tarea la realiza una capa de algoritmos tradicionales, que replican lo que haría una persona experta. Esto permite aplicar sentido común, priorizar servicios críticos y evitar cortar tráfico legítimo.

Configura tu solución de ciberseguridad

Precisión, sensibilidad… y resultados

Uno de los mayores logros de este proyecto ha sido comprobar cómo el sistema identifica ataques voluminosos y también patrones más discretos, difíciles de detectar a mano.
Y lo hace con precisión y sensibilidad, minimizando falsos positivos y generando alertas contextualizadas: por IP afectada y por servicio comprometido.

Así, podemos filtrar el tráfico malicioso en cuestión de segundos, sin interrumpir el servicio legítimo.

¿Por qué IA?

Porque el tráfico de red no es predecible. No hay dos ataques iguales. Las reglas tradicionales se quedan cortas ante tanta complejidad y variabilidad. Por eso recurrimos a la inteligencia artificial: para identificar patrones invisibles para las personas y actuar con rapidez.

Eso sí, lo hicimos sin perder de vista lo más importante: la fiabilidad. Diseñamos un sistema prudente, donde la decisión final pasa por una lógica humana que incorpora el contexto y reduce los riesgos.

Este post se ha redactado a partir de la entrevista a Jon Mikel Omagogeaskoa, Director de Redes de Sarenet e Iratxe Niño, Investigadora en Fundación Sarenet.