300.000 "zombis" en tu salón: el megabotnet Aisuru rompe el récord mundial con un ataque DDoS de 29,6 Tb/s

El mundialmente conocido botnet Aisuru continúa incrementando su fuerza destructiva: ahora utiliza más de 300.000 dispositivos IoT infectados, la mayor parte de los cuales están alojados en los principales proveedores estadounidenses como AT&T, Comcast, T-Mobile y Verizon.

Según estimaciones de especialistas, la alta concentración de nodos del botnet en las redes de esas compañías no solo dificulta repeler los ataques, sino que también afecta la calidad de la conexión de los clientes habituales. La última demostración de la potencia de Aisuru tuvo lugar el 6 de octubre: un breve pico de tráfico basura alcanzó 29,6 Tbit/s, batiendo todos los récords anteriores.

Aisuru, aparecido hace más de un año, ya ha desplazado a casi todos los demás botnets de IoT, y sus operadores siguen apropiándose de dispositivos como routers domésticos, cámaras de vigilancia y grabadores de vídeo. Para ello basta con vulnerabilidades en el firmware o en los ajustes de seguridad de fábrica.

En mayo de 2025, Aisuru atacó el blog KrebsOnSecurity con una velocidad de 6,35 Tbit/s, lo que se convirtió en la mayor carga registrada por el sistema Google Project Shield. Unos días después el botnet superó los 11 Tbit/s, y luego en septiembre — 22 Tbit/s. La DDoS máxima del 6 de octubre duró apenas unos segundos y, probablemente, fue una prueba: su objetivo fue un servidor diseñado para medir ese tipo de picos.

A pesar de la brevedad de algunos incidentes, miles de jugadores perciben las consecuencias de la actividad de Aisuru. Según Steven Ferguson, ingeniero del proveedor australiano GSL, que protege más de 50.000 servidores de Minecraft, el 8 de octubre Aisuru les envió más de 15 Tbit/s. Esto provocó una sobrecarga tan grave en los puertos de salida de OVH en Miami que el socio rechazó continuar la colaboración. Desde entonces, la única protección para TCPShield quedó en manos de GSL.

El análisis de servicios de disponibilidad como BlockGameTracker.gg muestra que el 28 de septiembre numerosos hosts de Minecraft, incluido Cosmic, sufrieron fallos masivos provocados por ataques de Aisuru.

Ferguson también observó que el botnet usa cada vez más dispositivos conectados a través de proveedores estadounidenses. En los registros del ataque del 8 de octubre, 11 de los 20 mayores orígenes de tráfico pertenecían a redes de EE. UU., entre las cuales lideraron AT&T, seguidas por Charter, Comcast, T-Mobile y Verizon. Solo Comcast retransmitió más de 500 Gbit/s del tráfico del botnet, lo que ocasionó problemas notables en servicios adyacentes.

Netscout señaló que las soluciones modernas contra DDoS están orientadas principalmente al tráfico entrante, pero ahora los proveedores tendrán que aprender a combatir también los flujos salientes generados por dispositivos cliente infectados.

Charter Communications subrayó que realiza un monitoreo constante de los ataques tanto en la entrada como en la salida, y recomienda a los clientes usar dispositivos seguros, antivirus y actualizar el firmware a tiempo. Un portavoz de Comcast declaró que la compañía gestiona la carga y no observa fallos.

Aisuru, al igual que su predecesor Mirai, se basa en el código malicioso homónimo que se filtró en 2016. Mirai en su momento también atacó servidores de Minecraft para vender a los propietarios protección contra DDoS, y luego alquilaba la capacidad —por ejemplo, para enmascarar fraude de clics. Aisuru emplea los mismos métodos: según Netscout, los operadores del botnet lo venden no solo como herramienta de DDoS, sino también como una red proxy, permitiendo así enmascarar actividad maliciosa como tráfico normal de usuarios domésticos.

Resulta de especial interés el alias de uno de los administradores de Aisuru — "9gigsofram", previamente vinculado a la plataforma de defensa Proxypipe, que fue objetivo de Mirai en 2016. En aquel entonces el servicio lo desarrollaban Robert Coelho y Eric "9gigsofram" Buckingham, quienes ahora también trabajan en el ámbito de la defensa contra DDoS.

Coelho afirma no saber por qué los operadores actuales usaron el viejo apodo, pero señala que los ataques de los últimos días fueron "monstruosos" y se repitieron varias veces al día en todo el mundo. Según él, para repeler eficazmente tales ataques hoy en día se necesita gastar al menos un millón de dólares al mes solo en la capacidad de la infraestructura de red.

El rápido crecimiento de Aisuru también está relacionado con el uso de vulnerabilidades de día cero. En septiembre la empresa china XLab, que describió por primera vez el botnet en 2024, afirmó que los atacantes irrumpieron en el sitio de distribución de firmware de Totolink e introdujeron allí un script malicioso. Esto permitió infectar automáticamente dispositivos mediante actualizaciones falsas. El número de nodos infectados en ese momento alcanzó los 300.000.

Aisuru recibió un impulso adicional en agosto de 2025, cuando el Departamento de Justicia de EE. UU. arrestó al operador del botnet competidor Rapper Bot. Tras la eliminación de la infraestructura del competidor, Aisuru ocupó rápidamente el espacio liberado y obtuvo acceso a multitud de dispositivos IoT previamente capturados.

Al igual que Mirai, Aisuru tiene sus "héroes". Según el informe de XLab, el botnet está gestionado por tres figuras: "Snow", responsable del desarrollo; "Tom", que busca nuevas vulnerabilidades; y "Forky", encargado de la parte comercial. El servicio Botshield, vinculado a Forky, también ofrece protección contra DDoS, y él mismo se ha comunicado en varias ocasiones con KrebsOnSecurity, asegurando que solo participa en el desarrollo y la venta de la plataforma, pero no en los ataques. No obstante, se niega a nombrar a otros operadores y corta las conversaciones cuando se llega a la cuestión de la responsabilidad. En el contexto del rápido crecimiento del botnet, esto solo aumenta las sospechas sobre su implicación real en la nueva ola de ataques destructivos.