El último informe de Cloudflare sobre amenazas DDoS para el segundo trimestre de 2025 revela un aumento sin precedentes en la magnitud de los ataques de denegación de servicio distribuido (DDoS). La compañía logró mitigar de forma autónoma los ataques más grandes jamás registrados, alcanzando picos de 7,3 terabits por segundo (Tbps) y 4.800 millones de paquetes por segundo (Bpps). Este incremento drástico en ataques hipervolumétricos subraya la evolución constante de las amenazas dirigidas a infraestructuras críticas.
Los incidentes DDoS hipervolumétricos (ataques de Capa 3/4 que superan los mil millones de paquetes por segundo o 1 Tbps, y las inundaciones HTTP DDoS que exceden el millón de solicitudes por segundo) promediaron 71 por día, con más de 6.500 eventos bloqueados. Notablemente, los ataques que superaron los 100 millones de pps se dispararon un 592% trimestre a trimestre, y los que excedieron 1 Bpps y 1 Tbps se duplicaron. Esto indica una clara tendencia de los atacantes hacia el uso de anchos de banda y capacidades de procesamiento abrumadores.
Variaciones en la actividad de ataques y nuevos vectores
A pesar de una disminución trimestral en el total de ataques DDoS (de 20,5 millones en el primer trimestre a 7,3 millones en el segundo trimestre), en gran parte debido al cese de una campaña de 18 días contra la red de Cloudflare, estas cifras siguen siendo un 44% más altas que en el segundo trimestre de 2024. Los ataques HTTP DDoS aumentaron un 129% año tras año, impulsados por la orquestación de botnets, mientras que los ataques L3/4 disminuyeron un 81%.
Junio fue el mes de mayor actividad, representando el 38% de la actividad del trimestre. Se observaron ataques dirigidos a un medio de comunicación de Europa del Este durante la cobertura del Mes del Orgullo LGBTQ, lo que destaca la intersección de motivos geopolíticos y agresión cibernética.
Vectores de ataque dominantes y emergentes
En el panorama de las amenazas, las inundaciones de DNS dominaron los vectores L3/4 con un 33%, seguidas por las inundaciones de SYN con un 27% y las inundaciones de UDP con un 13%. También se identificaron amenazas emergentes, como las inundaciones de Teeworlds (aumento del 385%) y las inundaciones de RIPv1 (aumento del 296%). Estos ataques aprovechan protocolos heredados para la reflexión y amplificación, explotando vulnerabilidades en protocolos como RDP, DemonBot y VxWorks para generar tráfico amplificado desde fuentes falsificadas.
Los incidentes de rescate DDoS, en los que los atacantes exigen un pago para detener los ataques, aumentaron un 68% trimestre tras trimestre, alcanzando su punto máximo en junio, cuando un tercio de los clientes encuestados informaron amenazas o ataques con un aumento interanual del 6%.
La atribución sigue siendo difícil de alcanzar: el 71% de los encuestados no pueden identificar a los perpetradores; entre los que pudieron, el 63% citó a competidores, particularmente en los sectores de juegos de azar, apuestas y criptomonedas, mientras que el 21% señaló a actores patrocinados por el estado.
Geográficamente, China encabezó las ubicaciones objetivo (según los países de facturación de los clientes), seguida de Brasil y Alemania, con cambios dramáticos como el ascenso de 15 puestos de Vietnam y el aumento de 40 puestos de Rusia.
Las industrias fueron las más afectadas, con los proveedores de servicios y telecomunicaciones recuperando el liderazgo, seguidos por los servicios de Internet, TI, juegos y apuestas, mientras la agricultura saltó 38 lugares entre los diez primeros.
Las fuentes de ataque también cambiaron, con Indonesia a la cabeza, Singapur en segundo lugar, y ASN con muchas botnets como Drei-K-Tech-GmbH (AS200373) y DigitalOcean (AS14061) dominando los orígenes HTTP, impulsados por botnets basadas en VM que se estiman 5.000 veces más fuertes que sus contrapartes de IoT.
El DDoS Botnet Threat Feed gratuito de Cloudflare ayuda a los proveedores a eliminar IP abusivas a través de API, fomentando las eliminaciones de la comunidad.
Recomendaciones
La dinámica de los ataques revela que el 94% de los eventos DDoS L3/4 se mantuvieron por debajo de 500 Mbps y el 85% por debajo de 50.000 pps; sin embargo, incluso estas «pequeñas» inundaciones pueden paralizar servidores desprotegidos que manejan entre 100.000 y 500.000 pps o entre 10.000 y 100.000 rps.
Sin embargo, los valores atípicos hipervolumétricos se intensificaron, con un 6 % de los ataques HTTP superiores a 1 Mrps y un aumento intertrimestral del 1150 % en eventos L3/4 superiores a 1 Tbps.
Las duraciones suelen ser breves: el gigante de 7,3 Tbps duró apenas unos segundos y exigió defensas autónomas e instantáneas, como la toma de huellas dactilares en tiempo real de Cloudflare, que incrimina a las botnets (que comprenden el 71% de los ataques HTTP) en su red global en más de 330 ciudades.
Las estrategias de mitigación enfatizan servicios como Magic Transit para absorción volumétrica, Spectrum para protección de protocolos específicos y WAF para amenazas a la capa de aplicación, evitando al mismo tiempo bloqueos generales en puertos como UDP/53 o TCP/3389 para preservar el tráfico legítimo.
A medida que 2025 supera a mitad de camino el volumen de DDoS de todo el año 2024, con 27,8 millones de ataques mitigados, las organizaciones deben priorizar las protecciones adaptativas basadas en la nube para contrarrestar estos ataques cibernéticos en evolución y de alto riesgo.
