Cómo funciona la protección de WEDOS ante ataques reales
WEDOS Protection ha sido diseñada por operadores de infraestructuras, y no se basa en modelos teóricos de seguridad.
Origen: Creado por un centro de datos, para centros de datos
Todas las capas de protección funcionan conjuntamente de forma automática, de modo que el tráfico malicioso se filtra en el perímetro,
, mucho antes de que llegue a su infraestructura.
WEDOS adoptó el enfoque contrario. Como operadores de una de las plataformas de alojamiento y DNS más grandes de Europa, hemos desarrollado nuestro sistema de protección para defender nuestra propia infraestructura en condiciones de ataque reales.
Cada decisión arquitectónica refleja esa experiencia. WEDOS Protection no se ha diseñado a partir de la teoría, sino de la realidad operativa a gran escala.
Creado para hacer frente a ataques reales. No es un diseño teórico.
Arquitectura global de anycast
La base de WEDOS Protection es una red global de anycast diseñada específicamente para este fin. No se alquila a un hiperescalador ni se ha creado a partir de múltiples proveedores.
Cada punto de presencia es propiedad exclusiva de WEDOS, que se encarga de su gestión y mantenimiento.
Cómo funciona:
Gracias al BGP Anycast, el tráfico entrante se redirige automáticamente al punto de presencia (PoP) de WEDOS más cercano. El tráfico de ataques se distribuye simultáneamente entre más de 100 ubicaciones, independientemente de su origen o volumen.
Ningún nodo concreto soporta todo el impacto.
No existe un único punto de fallo.
Por qué es importante a gran escala:
Los ataques volumétricos del orden de los terabits no pueden detenerse enviando el tráfico a un único centro de filtrado y confiando en que la capacidad sea suficiente.
Se detienen disponiendo de una capacidad más distribuida que la que el atacante puede concentrar.
WEDOS Anycast proporciona esa capacidad, con una de las redes de puntos de presencia (PoP) más densas de Europa y una cobertura global de primer nivel.
El filtrado del tráfico se realiza en el perímetro. El tráfico limpio llega a su origen. El ataque, nunca.
Motor de protección multicapa
WEDOS Protection opera en toda la pila OSI,
de forma simultánea y automática, sin necesidad de cambiar manualmente
cambiar de modo manualmente entre los distintos tipos de ataque.
L3/L4: Redes y transporte
Detiene los ataques de gran volumen y basados en protocolos en cuestión de segundos.
Características principales:
Tipos de ataques bloqueados:
Capa de aplicación L7
Detecta y bloquea ataques sofisticados que imitan a usuarios reales.
Características principales:
Tipos de ataques bloqueados:
Observabilidad e inteligencia sobre amenazas
La seguridad sin visibilidad no es seguridad. WEDOS Protection ofrece:
Arquitectura de cifrado
La inspección L7 requiere el descifrado temporal del tráfico TLS. En la mayoría de las plataformas, esto se lleva a cabo en una infraestructura compartida con políticas de tratamiento de datos poco transparentes.
En WEDOS Protection, el descifrado se lleva a cabo exclusivamente en hardware dedicado dentro de centros de datos certificados de la UE, aislado de las cargas de trabajo compartidas. El tráfico se vuelve a cifrar antes de reenviarlo al servidor de origen. No se almacena ningún contenido descifrado. Ningún tercero tiene acceso al proceso de descifrado ni a sus resultados.
Para los operadores que manejan datos personales sensibles, registros financieros o información sujeta a regulación, esto no es un simple detalle operativo. Es un requisito imprescindible.
Observabilidad e inteligencia sobre amenazas
Para los operadores que manejan datos personales sensibles, registros financieros o información sujeta a regulación, esto no es un simple detalle operativo. Es un requisito imprescindible.
Si hay algo que arreglar, lo arreglamos.
Cuando surge un nuevo vector de ataque, actuamos en toda la plataforma, sin esperar a que se resuelva el ticket del proveedor.
Protección integral
en una única solución
JA4 Fingerprinting
: identificación de clientes de última generación
JA4 es un método moderno para identificar a los clientes basándose en su comportamiento en las comunicaciones TLS. A diferencia del antiguo enfoque JA3, no genera solo un hash, sino una huella digital estructurada y legible para los humanos (por ejemplo, la versión de TLS, los conjuntos de cifrado, las extensiones o los protocolos).
Esto permite detectar a los atacantes con mayor fiabilidad. Aunque cambien de direcciones IP o de User-Agents, sus herramientas siguen generando la misma huella digital. WEDOS Protection evalúa estas huellas digitales durante la fase inicial de conexión (protocolo de enlace TLS), lo que permite detener las amenazas antes de que se procese ninguna solicitud HTTP.
Además, permite compartir información sobre amenazas en toda la plataforma. Lo que se detecta en el caso de un cliente ayuda a proteger al resto.
Motor de reglas inteligente
Todos los sitios web y servicios se enfrentan a diferentes tipos de ataques. Por eso, WEDOS Protection permite configurar las reglas con la precisión necesaria, tanto a nivel de dominio como de página y de API.
Las reglas pueden combinar múltiples factores, como la dirección IP, la geolocalización, el comportamiento del visitante, la huella digital JA4 o la frecuencia de las solicitudes. Esto permite distinguir con mayor precisión entre el tráfico legítimo y los ataques.
El nivel de protección se puede ajustar fácilmente mediante diferentes niveles de aplicación, desde el funcionamiento normal hasta una protección intensiva durante un ataque. Los cambios se aplican al instante en toda la red. En el caso de implementaciones de mayor envergadura, las reglas también se pueden gestionar y aplicar de forma masiva.
Protección del DNS y DNSSEC
El DNS es un componente fundamental de Internet, pero también un objetivo frecuente de ataques. WEDOS Protection protege el DNS contra la sobrecarga (ataques de inundación de DNS), limita el tráfico excesivo y evita los abusos en los ataques de amplificación.
Además, incluye compatibilidad total con DNSSEC, lo que garantiza que las respuestas del DNS sean auténticas y no hayan sido alteradas durante la transmisión.
La protección de DNS de WEDOS no es un complemento. Se basa en nuestra propia infraestructura de DNS a gran escala, que se somete a pruebas continuas en condiciones reales, incluidos ataques activos.
Cumplimiento normativo y certificación
ISO 27001
Certificado
RGPD
Diseñado para cumplir con la normativa
Compatible con NIS2
Arquitectura
Legislación de la UE
Competencia
24/7
Supervisión y respuesta ante incidentes