El mercado de DDoS se desploma: ha perdido al 90% de sus usuarios y los que quedan temen al FBI
La principal conclusión de los servicios de inteligencia tras la mayor operación contra ciberdelincuentes
Al final de 2023 quedó claro que la operación coordinada más extensa hasta la fecha contra los servicios servicios de DDoS de alquiler tuvo un efecto ambivalente. Los autores del estudio, presentado en USENIX Security 2025, siguieron el destino del mercado tras dos oleadas de incautaciones en diciembre de 2022 y mayo de 2023. Unos sesenta dominios fueron afectados, y además de los bloqueos las autoridades desplegaron sitios señuelo y divulgaciones en comunidades para disuadir a clientes potenciales.
Esas plataformas vendían durante años un acceso conveniente a ataques por pequeñas sumas, presentándose como servicios de pruebas de carga legales. Ya se habían intentado limpiezas antes, también en 2018, pero entonces el efecto se desvaneció rápidamente. Esta vez, además de la confiscación de sitios, se apostó por minar la confianza dentro del ecosistema: desde páginas explicativas hasta la simulación de "nuevos" servicios que dirigían a advertencias sobre riesgos.
Para evaluar las consecuencias, el equipo de investigación combinó varias fuentes independientes. El tráfico hacia las páginas de notificación de bloqueo superó los 20 millones de visitas —lo que permitió saber quién y desde dónde accedía a los recursos incautados. Además se recogió analítica de Similarweb para los dominios confiscados y "resucitados". En el lado de la observación de ataques se utilizaron cuatro conjuntos — Hopscotch, AmpPot, telemetría de Netscout y un conjunto de registros internos de más de 200 servicios durante 2 años; en total más de 47 millones de registros sobre DDoS. Como complemento hubo miles de mensajes en foros y canales de Telegram, donde operadores y clientes discutían las limpiezas.
La reacción del mercado fue rápida pero nerviosa. Tras la oleada de diciembre más de la mitad de las plataformas volvieron a abrir sus vitrinas, el tiempo mediano de "resurrección" fue aproximadamente 20 horas. Tras la de mayo se recuperaron todas, el plazo medio fue alrededor de 40 horas. Sin embargo, las interfaces reconocibles no recuperaron la audiencia: el tráfico cayó entre un 80 y un 90% en visitas y en número de usuarios únicos, y a finales de septiembre de 2023 los accesos totales a dichos dominios se redujeron a cifras aisladas.
La geografía de las visitas a las páginas de notificación mostró predominio de usuarios desde Estados Unidos, seguidos por China, Alemania, Reino Unido y Rusia; proporciones mucho menores correspondieron a Francia, Países Bajos, Turquía, Polonia y Singapur. Predominantemente accedieron desde ordenadores, lo que concuerda con el contexto de uso relacionado con juegos. Fue llamativamente baja la proporción de tráfico desde proxies y VPN; casi no hubo tráfico desde Tor —esto confirma que la audiencia principal está compuesta por usuarios jóvenes e inexpertos. Al mismo tiempo se observó la reventa de capacidad por grandes plataformas mediante API a un segundo escalón; parte de esos integradores no notaron las incautaciones y siguieron haciendo llamadas durante meses.
Los servicios falsos de las fuerzas de seguridad, que se hacían pasar por reales, en períodos cortos atrajeron una audiencia comparable a la de los sitios "resucitados", pero el interés se apagó en unos días. No obstante, la mera presencia de esas carnadas minó la confianza de los compradores: cuando no se puede estar seguro de que una nueva plataforma no esté controlada por las autoridades, la barrera de entrada aumenta.
Si se observan los conjuntos de ataques, la oleada de diciembre se notó sensiblemente en la telemetría: los volúmenes globales cayeron entre un 20 y un 40%, especialmente en los escenarios UDP, que con mayor frecuencia están ligados a servicios de alquiler de capacidad. Pero ya a las seis semanas los indicadores no solo se recuperaron, sino que en algunos lugares superaron los niveles previos —prácticamente como después de la campaña de 2018. La limpieza de mayo no dejó huella notable en las métricas. En los registros internos de las dos mayores plataformas se ve que sobrevivieron a ambas oleadas sin picos abruptos de cuota. La recuperación del mercado no pasó por uno o dos líderes, sino por un conjunto disperso de pequeños actores.
Las discusiones en las comunidades completaron el panorama: al principio se hablaba del FBI y de la NCA británica, algunos intentaban con persistencia restaurar la infraestructura, otros cerraban el proyecto, ofrecían el código fuente a la venta y buscaban trabajos complementarios. También apareció el miedo a ser capturado —para el segmento que vive con la sensación de bajo riesgo, esas dudas son dolorosas.
Según un estudio presentado en USENIX Security 2025, la principal conclusión es que las operaciones puntuales producen un resultado tangible pero breve. Reducen los flujos de ataques, rompen las rutas habituales de la audiencia y obligan a los operadores a gastar recursos en mantenerse en movimiento. Esto es especialmente valioso en periodos pico como las vacaciones de Navidad y los recesos escolares. Al mismo tiempo el mercado es elástico: los dominios cambian en horas, los volúmenes se recuperan en semanas. Por tanto, la tarea no es "vencer" una vez, sino mantener la inestabilidad. Si los servicios de la categoría de diversión ligera para jugadores se desplazan hacia un nicho de atacantes más motivados, eso ya sería un cambio positivo.