El verdadero espectáculo de Año Nuevo no fue en el cielo: mientras la gente preparaba las ensaladas, redes de bots atacaron el planeta a velocidad récord

Los ataques DDoS récord cada vez son más cortos pero extraordinariamente potentes, y el final de 2025 lo demostró claramente. Cloudflare informó sobre un repunte de ataques HTTP DDoS de escala extrema atribuidos al botnet AISURU/Kimwolf.

El episodio más notable ocurrió en noviembre de 2025 y alcanzó un pico de 31,4 Tbit/s. El ataque duró apenas 35 segundos, pero Cloudflare lo detectó y detuvo automáticamente, clasificándolo como parte de la serie de ataques de hipervolumen de este botnet en el cuarto trimestre.

AISURU/Kimwolf también se ha vinculado con la campaña "The Night Before Christmas", iniciada el 19 de diciembre de 2025. Según Cloudflare, los valores medios de los ataques en el marco de esta actividad eran de aproximadamente 3 000 millones de paquetes por segundo, 4 Tbit/s y 54 millones de solicitudes por segundo, mientras que los valores máximos alcanzaron hasta 9 000 millones de paquetes por segundo, 24 Tbit/s y 205 millones de solicitudes por segundo.

Paralelamente, Cloudflare registró un fuerte aumento del número total de ataques DDoS. Omer Yoakhimik y Jorge Pacheco, de la compañía, estimaron un incremento del 121% en 2025 y señalaron que, en promedio, se bloqueaban automáticamente 5.376 ataques por hora.

En total, durante el año el número de ataques DDoS superó los 47,1 millones. A nivel de red, Cloudflare registró 34,4 millones de ataques frente a 11,4 millones en 2024, y en el cuarto trimestre de 2025 el nivel de red representó el 78% de toda la actividad DDoS. El número de ataques aumentó un 31% trimestre a trimestre y un 58% respecto a 2024. El número de ataques de hipervolumen por trimestre subió un 40% hasta alcanzar 1.824 casos, y su tamaño creció más de un 700% en comparación con los ataques grandes a finales de 2024.

Cloudflare también describió la infraestructura que alimenta a AISURU/Kimwolf. Según la compañía, el botnet afectó a más de 2 millones de dispositivos Android, en la mayoría de los casos se trataba de Android TV sin nombre comprometidos, y para eludir restricciones se usaban activamente redes de proxy residenciales como IPIDEA.

En enero, Google interrumpió el funcionamiento de esa red de proxy y emprendió acciones legales para desconectar decenas de dominios que se usaban para controlar dispositivos y enmascarar el tráfico. Al mismo tiempo, Google y Cloudflare limitaron conjuntamente la resolución de los dominios de IPIDEA, lo que dificultó a los operadores la gestión de los dispositivos infectados y la promoción de los servicios.

Según Cloudflare, IPIDEA reclutó dispositivos a través de al menos 600 aplicaciones Android troyanizadas en las que se integró un SDK de proxy, y también mediante más de 3.000 binarios de Windows troyanizados que se hacían pasar por OneDriveSync o actualizaciones de Windows.

Se señalaron además aplicaciones VPN y de proxy que convertían silenciosamente dispositivos Android en nodos de salida sin el conocimiento de los usuarios. Asimismo, los operadores mantenían al menos una docena de negocios de proxy residenciales que, aunque parecían legítimos por fuera, estaban unidos por una infraestructura centralizada común.

Entre las tendencias del cuarto trimestre de 2025, Cloudflare destacó los sectores más atacados: telecomunicaciones, proveedores y operadores de red, seguidos de TI, juegos de azar, videojuegos y desarrollo de software. Entre los países más atacados estuvieron China, Hong Kong, Alemania, Brasil, Estados Unidos, Reino Unido, Vietnam, Azerbaiyán, India y Singapur, y la mayor fuente de tráfico DDoS pasó a ser Bangladés, superando a Indonesia.