15,72 Tb/s, 3,64 mil millones de paquetes y 500.000 dispositivos infectados: tu router doméstico podría haber participado en el mayor ataque DDoS de la historia
Infraestructura de los gigantes de la nube, en jaque por una amenaza de nueva magnitud
Microsoft informó sobre el mayor ataque DDoS en la historia de los servicios en la nube, detectado en uno de sus nodos en Australia. La infraestructura de la empresa detectó y bloqueó automáticamente un flujo de tráfico de 15,72 Tbit por segundo y casi 3,64 mil millones de paquetes por segundo. Un nivel de carga tan alto no se había observado antes en entornos en la nube y constituyó otra manifestación del aumento de la potencia de las botnets compuestas por dispositivos domésticos.
Según Microsoft, la fuente del ataque está relacionada con la botnet IoT AISURU, construida según los principios de la familia TurboMirai. Los flujos de paquetes UDP provinieron de más de 500.000 direcciones repartidas en distintas regiones. El uso de puertos aleatorios simplificó el rastreo de las rutas y dio a los proveedores la posibilidad de bloquear de forma rápida el tráfico malicioso. Aún no se revela a quién iba dirigido el ataque.
Según los equipos de investigación QiAnXin XLab, AISURU incluye alrededor de 300.000 dispositivos infectados. Este grupo incluye routers domésticos, cámaras de vigilancia y grabadores de vídeo. En los informes de NETSCOUT se indica que los operadores de la botnet limitan el círculo de clientes y evitan ataques contra entidades estatales o fuerzas de seguridad. La mayor parte de los episodios observados está relacionada con servicios de juego.
La expansión de estas redes va acompañada de la aparición de funciones secundarias. Además de ataques DDoS de gran potencia, AISURU se utiliza para la obtención de credenciales, la recopilación automática de contenidos mediante algoritmos de inteligencia artificial, el envío de spam y mensajes de phishing. Dentro de la botnet también existe un servicio de elusión de bloqueos mediante proxies domésticos.
Microsoft señala que la escala de estas operaciones aumenta en proporción al desarrollo de la infraestructura: el aumento de la capacidad de transmisión de las redes y el crecimiento del rendimiento de la electrónica de consumo amplían las capacidades de los atacantes.
En ese contexto, NETSCOUT describió otra botnet de la familia TurboMirai llamada Eleven11, también conocida como RapperBot. Según sus datos, desde finales de febrero hasta agosto de 2025 lanzó miles de ataques utilizando dispositivos IoT controlados por atacantes.
En el mismo período se anunció la detención de las personas implicadas y el desmantelamiento de la infraestructura. Parte de los servidores de control de esta red se registró en la zona de dominio libre, que utiliza un DNS raíz alternativo y que ya se había observado en las botnets CatDDoS y Fodcha. A pesar de la interrupción de Eleven11, el equipo comprometido sigue siendo vulnerable a una nueva toma.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla