7,3 Tbps: Un ataque DDoS récord casi vulnera las defensas digitales de Cloudflare

Cloudflare registró una fuerte disminución en la cantidad de ataques DDoS en el segundo trimestre de 2025, deteniendo 7,3 millones de ataques, mientras que en el primer trimestre la compañía reportó 20,5 millones. A pesar de la reducción general en la cantidad de ataques, la proporción de incidentes extremadamente potentes, por el contrario, aumentó significativamente.

En el segundo trimestre, Cloudflare mitigó un promedio diario de 71 "ataques hiper-volumétricos" (hyper-volumetric attack), con un total que superó los 6.500. Estos ataques, caracterizados por una intensidad extrema, se hicieron especialmente notorios en el contexto de una caída general. Uno de estos incidentes alcanzó valores pico de 7,3 terabits por segundo y 4,8 mil millones de paquetes por segundo en menos de un minuto. Estos picos de tráfico van acompañados no solo de fuerza bruta, sino también de técnicas más sutiles, como el escaneo de vulnerabilidades en segundo plano, lo que permite a los atacantes evadir los sistemas de defensa estándar.

La cantidad de ataques de nivel L3/L4 se redujo en un 81% en comparación con el primer trimestre y se situó en 3,2 millones, mientras que los ataques HTTP, por el contrario, aumentaron un 9% y alcanzaron los 4,1 millones. Más del 70% de los ataques HTTP provinieron de botnets conocidas. Los métodos más utilizados se basaron en la sobrecarga mediante los protocolos DNS, TCP SYN y UDP.

Las compañías de telecomunicaciones y los proveedores de servicios de comunicación fueron los objetivos más frecuentes de los ciberdelincuentes, seguidos por los sectores de internet, servicios de TI, juegos e industrias de apuestas. Las regiones más atacadas fueron China, Brasil, Alemania, India, Corea del Sur, Turquía, Hong Kong, Vietnam, Rusia y Azerbaiyán. Los principales orígenes de los ataques fueron Indonesia, Singapur, Hong Kong, Argentina y Ucrania.

Merece especial atención el aumento en el número de ataques que superan el umbral de 100 millones de paquetes por segundo, con un incremento del 592% en comparación con el trimestre anterior. Además, los ataques con demandas de rescate aumentaron un 68%. En estos casos, los atacantes amenazan con realizar un ataque DDoS o lo ejecutan directamente, y luego exigen dinero para detenerlo.

Cloudflare destaca que los ataques de gran escala se están volviendo cada vez más comunes. De cada cien ataques HTTP, seis superan el millón de solicitudes por segundo, y de cada diez mil ataques L3/L4, cinco superan el umbral de 1 terabit por segundo, lo que representa un aumento del 1.150% en el trimestre.

La compañía también señaló la actividad del botnet DemonBot, dirigido a sistemas Linux, principalmente dispositivos IoT vulnerables. Este malware utiliza puertos abiertos y contraseñas débiles para reclutar dispositivos en ataques DDoS masivos a nivel de UDP, TCP y aplicaciones. DemonBot es controlado mediante servidores de comando y es capaz de generar grandes volúmenes de tráfico, atacando servicios de juegos, alojamiento y corporativos.

La propagación de estas amenazas está relacionada con problemas típicos: protección débil de dispositivos IoT, puertos SSH abiertos y software desactualizado. Estas vulnerabilidades, junto con técnicas como los ataques TCP reflejados, la amplificación DNS y los picos de tráfico engañosos, se están analizando cada vez más en los informes de Cloudflare sobre amenazas y seguridad de API.