122 mil IP. 161 países. 45 segundos para sobrevivir. Cloudflare atravesó un huracán digital… y resistió

En mayo de 2025, los especialistas de Cloudflare repelieron el mayor ataque DDoS de la historia, cuyo pico alcanzó un récord de 7,3 terabits por segundo. El objetivo fue un importante proveedor de hosting, protegido mediante Magic Transit, un servicio en la nube para filtrar tráfico ofrecido por la propia Cloudflare.

Los ataques DDoS (denegación de servicio distribuida) tienen un funcionamiento sencillo: el sistema es bombardeado con una avalancha de solicitudes de red con el fin de sobrecargar los recursos y desestabilizar el servicio. En este caso, el volumen fue sin precedentes: en solo 45 segundos, los atacantes generaron 37,4 terabytes de datos. Esto equivale aproximadamente a 7.500 horas de vídeo en streaming en HD o 12,5 millones de imágenes en formato JPEG.

Según la empresa, las fuentes del tráfico fueron 122.145 direcciones IP únicas provenientes de 161 países. Se observó una actividad especialmente alta desde Brasil, Vietnam, Taiwán, China, Indonesia y Ucrania. Estos nodos conformaban una botnet distribuida que operaba de forma sincronizada.

Lo más importante es que el tráfico estaba completamente disperso: los paquetes maliciosos se dirigían simultáneamente a decenas de miles de puertos. En promedio, el sistema recibió 21.925 solicitudes por segundo, y en los picos, hasta 34.517. Este tipo de esquema no solo sobrecarga el servidor, sino también los sistemas de filtrado, lo que complica la detección y el bloqueo.

A pesar de ello, Cloudflare logró neutralizar el ataque de manera completamente automática. Fue clave la arquitectura Anycast, una tecnología de distribución de carga que permitió redirigir las solicitudes a 477 centros de datos ubicados en 293 puntos alrededor del mundo. La protección se basó en algoritmos de análisis instantáneo del tráfico y en el intercambio de información entre los centros de procesamiento. Estos mecanismos generaban firmas de amenazas en tiempo real y aplicaban reglas de filtrado sin intervención humana.

La carga principal estuvo compuesta por paquetes bajo el protocolo UDP, que representaron el 99,996% del tráfico total. Además, se emplearon esquemas adicionales:

• redirección mediante QOTD (Quote of the Day)
• respuestas tipo eco
• amplificación NTP
• inundación con botnet Mirai
• ataque a través de Portmap
• explotación del protocolo RIPv1

Aunque cada uno de estos métodos contribuyó mínimamente al flujo total, su objetivo era dificultar el diagnóstico, evadir los filtros y detectar posibles puntos débiles en la defensa.

Cloudflare subrayó que durante el análisis se recopilaron indicadores actualizados de compromiso (IoC), los cuales fueron incorporados de inmediato al servicio público DDoS Botnet Threat Feed. Esta herramienta permite bloquear IP sospechosas de forma anticipada y está disponible de forma gratuita para organizaciones en múltiples países y regiones.

Al momento de esta publicación, más de 600 empresas ya se han suscrito a esta plataforma. Representantes de Cloudflare instan a otras entidades, especialmente aquellas relacionadas con la infraestructura o la provisión de servicios digitales, a sumarse y aplicar filtrado preventivo.

Aunque el incidente duró menos de un minuto, su escala y arquitectura evidencian un nuevo nivel cualitativo de amenazas. Hoy en día, los ataques DDoS ya no son simples sobrecargas, sino operaciones complejas y multinivel. Y para defenderse de ellas, no basta con medidas manuales: se requiere una respuesta a escala de toda la red global.