Un ataque SYN flood (inundación SYN) es un tipo de ataque de denegación de servicio (DoS o DDoS) que busca saturar un servidor enviando una gran cantidad de solicitudes de conexión falsas o incompletas.

En condiciones normales, los servidores pueden manejar miles de conexiones simultáneamente. Sin embargo, este ataque explota una debilidad en la forma en que funciona el protocolo TCP para consumir recursos hasta dejar el sistema inoperativo.

Cuando empecé a estudiar este tema, lo que más confunde es que el ataque no “rompe” el servidor directamente, sino que lo sobrecarga con conexiones que nunca se terminan de completar.

Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura

Ir al Test

Por qué se usa en ataques DDoS

El SYN flood es muy utilizado en ataques distribuidos (DDoS) porque:

Es relativamente fácil de ejecutar
No requiere gran complejidad técnica
Puede escalar usando botnets
Aprovecha el funcionamiento estándar de TCP

Esto lo convierte en una de las técnicas más clásicas y efectivas dentro de la ciberseguridad ofensiva.

Cómo funciona un ataque SYN flood (explicado fácil)

Qué es el TCP handshake

Para entender el ataque, primero hay que entender el proceso normal de conexión TCP, conocido como “three-way handshake”.

Este proceso tiene tres pasos:

El cliente envía un paquete SYN (solicitud de conexión)
El servidor responde con SYN-ACK
El cliente confirma con ACK

Solo después de este proceso la conexión queda establecida.

Al principio, este proceso suele parecer trivial, pero es precisamente aquí donde el ataque encuentra su punto débil.

Qué ocurre en un ataque SYN flood

En un ataque SYN flood, el atacante:

Envía múltiples paquetes SYN al servidor
El servidor responde con SYN-ACK
El atacante nunca envía el ACK final

Esto deja al servidor esperando respuestas que nunca llegan.

El resultado es que se acumulan miles de conexiones incompletas (half-open), consumiendo memoria y recursos.

Ejemplo paso a paso

Imagina que un servidor puede manejar 10,000 conexiones simultáneas:

Un atacante envía 10,000 solicitudes SYN
El servidor reserva recursos para cada una
Ninguna conexión se completa

En poco tiempo, el servidor queda completamente saturado y no puede atender usuarios legítimos.

Cuando se entiende este ejemplo, se vuelve mucho más claro por qué este ataque es tan efectivo.

Por qué es peligroso un ataque SYN flood

Saturación de recursos

El principal problema es que cada conexión incompleta consume:

Memoria
CPU
Entradas en la tabla de conexiones

Esto provoca que el servidor no pueda aceptar nuevas conexiones válidas.

Conexiones half-open

Las conexiones “half-open” son aquellas que han iniciado el proceso TCP pero no lo han completado.

Este detalle es clave: el servidor no puede liberar esos recursos inmediatamente porque espera la confirmación final.

Aquí es donde muchos se confunden al principio, ya que el servidor actúa correctamente según el protocolo, pero eso es precisamente lo que el atacante aprovecha.

Tipos de ataques SYN flood

Directo

El atacante envía paquetes SYN desde una única fuente. Es el más simple, pero también el más fácil de mitigar.

Con IP spoofing

El atacante falsifica la dirección IP de origen.

Esto provoca que:

El servidor responda a direcciones inexistentes o incorrectas
Nunca se complete el handshake

Este método complica la mitigación porque no se puede bloquear fácilmente el origen real.

Distribuido (DDoS)

El ataque se lanza desde múltiples dispositivos (botnet).

Esto aumenta:

El volumen de tráfico
La dificultad de defensa
El impacto sobre la infraestructura

Cómo protegerse de un ataque SYN flood

SYN cookies

Las SYN cookies son una técnica que evita que el servidor almacene información de estado para conexiones incompletas.

En lugar de reservar recursos inmediatamente, el servidor codifica la información en el SYN-ACK.

Solo cuando el cliente responde correctamente, se establece la conexión.

Firewalls y rate limiting

Los firewalls pueden:

Limitar el número de conexiones por IP
Detectar patrones anómalos
Bloquear tráfico sospechoso

El rate limiting es especialmente útil para reducir el impacto inicial.

Balanceadores de carga

Distribuyen el tráfico entre múltiples servidores.

Esto permite:

Absorber grandes volúmenes de solicitudes
Reducir la probabilidad de saturación
Mantener disponibilidad del servicio

Diferencias entre SYN flood y otros ataques DDoS

Tipo de ataque	Característica principal
SYN flood	Explota el handshake TCP
HTTP flood	Ataca la capa de aplicación
UDP flood	Envía tráfico sin conexión
ICMP flood	Satura con paquetes ping

La diferencia clave es que el SYN flood actúa en la capa de transporte (TCP), no en la aplicación.

Conclusión

El ataque SYN flood es una técnica clásica pero aún muy relevante en ciberseguridad. Su eficacia radica en explotar un comportamiento legítimo del protocolo TCP, generando una gran cantidad de conexiones incompletas que terminan saturando el servidor.

Aunque al principio puede parecer un concepto complejo, entender el TCP handshake es suficiente para comprender completamente cómo funciona este tipo de ataque.

Las medidas de mitigación, como SYN cookies o firewalls, permiten reducir significativamente su impacto, pero requieren una configuración adecuada.