Mitigación de DDoS.
Las defensas perimetrales que impiden que los ataques volumétricos lleguen a tu VPS. Siempre activas. Incluidas. Nunca como complemento de pago.
El conjunto de medidas técnicas —limitación de velocidad perimetral, centros de limpieza, desvío anycast, clasificación conductual del tráfico— que impiden que un ataque de denegación de servicio distribuido sature el ancho de banda o el cómputo del servidor objetivo. En NordBastion, la mitigación está siempre activa en el perímetro de los cuatro bastiones, incluida en todos los niveles, sin posibilidad de activación o desactivación.
La mitigación es el nivel base, no un nivel premium.
El problema estructural de la protección DDoS facturable es que permite al atacante fijar el precio del cliente. Si absorber un Gbps de inundación te cuesta dinero, un atacante que pueda lanzar varios cientos de Gbps contra tu IP puede expulsarte de la plataforma solo por razones económicas —sin vulnerar nada—. NordBastion trata esto como un coste a nivel de plataforma y lo amortiza en todo el catálogo: cada VPS y cada nivel dedicado incluye la misma mitigación volumétrica y L7 siempre activa, y el tráfico de ataque absorbido nunca se factura.
Mecánicamente, los cuatro bastiones tienen cada uno entre 1,6 y 2,4 Tbps de tráfico entrante agregado con depuración permanente cerca del punto de entrega del operador. Las inundaciones volumétricas (amplificación UDP, SYN floods, IP fragmentada) se descartan en el router de borde; las tormentas de capa 7 (slow-POST, inundaciones HTTP GET con agentes de usuario rotativos) se clasifican conductualmente antes de alcanzar tu nivel. El plano de control es anycast entre los cuatro sitios, por lo que un ataque lo suficientemente grande como para amenazar un bastión se desvía automáticamente entre los demás.
Lo que la mitigación no hace: no inspecciona las cargas útiles de tu aplicación, no termina TLS, no ve quién está conectado a tu servicio. Es un umbral de capa de red que permite a tu aplicación centrarse en las solicitudes que realmente la alcanzaron. Si tu carga de trabajo necesita filtrado en capa de aplicación (guardas contra inyección SQL, puntuación de bots abusivos), despliega un WAF encima —pero no confundas ambas cosas—.
Sigue la mitigación en NordBastion.
- · /network/ — el mapa de peering por bastión, la topología de limpieza y el diagrama del plano anycast.
- · /vps/ — todos los niveles VPS (Sentinel a Bastille) incluyen mitigación siempre activa por defecto.
- · /dedicated/ — los niveles bare-metal heredan la misma protección perimetral a velocidades de enlace ascendente más altas.
- · /status/ — saturación de enlace ascendente en vivo por bastión e historial público de incidentes mitigados.
- · /peering/ — la presencia IX y la mezcla de tránsito que determina el techo volumétrico en cada sitio.
- · / — la página de inicio muestra la garantía de mitigación siempre activa en la franja de características.
Preguntas sobre mitigación, respondidas.
¿Qué tamaños de ataque gestiona el perímetro?
Cada bastión establece peering a 1,6–2,4 Tbps de capacidad de ingreso agregada con filtrado volumétrico siempre activo, que absorbe la gran mayoría de los ataques del mundo real — la telemetría pública del Q4 de 2025 mostró que el 99,4 % de los eventos DDoS en internet estaban por debajo de 100 Gbps. Las inundaciones de capa 7 (tormentas HTTP GET/POST) se clasifican de forma conductual y se descartan antes de llegar a tu VPS. El límite máximo por bastión es el total de peering; los ataques verdaderamente a escala nacional (multi-Tbps) se desvían a través del plano anycast de cuatro bastiones.
¿Hay un coste adicional por la protección DDoS?
No, y esto es deliberado. Otros proveedores cobran la protección DDoS como un complemento por Gbps o un nivel empresarial separado, lo que en la práctica significa que un objetivo pequeño paga por ser atacado. NordBastion incluye mitigación permanente en todos los niveles VPS desde el Sentinel ($5.90/mo) hasta el Bastille ($23.90/mo) y en todos los niveles dedicados, sin facturación por uso del tráfico de ataque absorbido. La economía funciona porque el coste de mitigación se amortiza en toda la plataforma, no se factura por incidente.
¿En qué se diferencia de un WAF estilo Cloudflare?
Un WAF (Firewall de Aplicaciones Web) opera en la capa 7 del modelo OSI — inspecciona las solicitudes HTTP en busca de firmas de ataques de capa de aplicación (inyección SQL, XSS, patrones de bots abusivos) y es en sí mismo un proxy inverso que termina TLS. La mitigación de DDoS de NordBastion opera en las capas 3–4 — descarta paquetes malformados, reflexiones de amplificación e inundaciones volumétricas en el borde de la red antes de que consuman tu ancho de banda, y no termina TLS ni ve las cargas útiles de tu aplicación. Ambos son complementarios; ejecuta un WAF encima si tu aplicación lo necesita.
¿Qué pasa si mi carga de trabajo es la que está causando el pico?
Un evento de tráfico viral legítimo — un lanzamiento, un artículo de prensa, una portada de Hacker News — tiene la forma de un límite de velocidad, no de un ataque, y el clasificador de comportamiento lo dejará pasar. Si saturas el enlace de tu nivel con tráfico legítimo, la vía de actualización es un clic en el panel hacia un VPS mayor o un nivel dedicado con un enlace más amplio; no se necesita ticket de soporte. El abuso saliente (tu servidor como origen de tráfico de ataque, p. ej., un atacante SSH por fuerza bruta o un servidor de correo abierto) se gestiona por separado — consulta /doctrine/ sobre lo que alojaremos y lo que no.