En auge el mercado de "DDoS por encargo": ahora hasta un escolar puede tumbar la web de una gran empresa.
Expertos reconocen: atacar sistemas complejos se ha vuelto alarmantemente fácil.
El reciente informe Radware Global Threat Analysis Report describe 2025 como un año decisivo para las ciberamenazas. Según la empresa, los atacantes aumentaron simultáneamente la potencia de los DDoS de red y intensificaron la presión sobre las aplicaciones web y las API, y la automatización basada en IA generativa redujo la barrera de entrada para los ataques.
Radware registra el regreso de DDoS a gran escala en la red, con un récord de 29,7 Tbit/s que relacionaron con el botnet Aisuru. En el informe también se menciona a Kimwolf y el crecimiento del mercado de "DDoS por encargo", que ha hecho que los ataques de varios terabits sean más accesibles para participantes con menos preparación. En promedio, en la segunda mitad de 2025 un cliente de Radware se enfrentó a más de 25.351 ataques DDoS, lo que equivale a unas 139 por día, y el crecimiento general de los DDoS interanual fue del 168,2%. Entre los vectores de red, las inundaciones UDP aportaron la mitad del volumen reflejado, y por geografía predominó Norteamérica con una cuota del 63,1%.
Paralelamente aumentó la proporción de incidentes "breves". El informe indica que la mayoría de los ataques récord duraron menos de un minuto, por lo que los procedimientos manuales de respuesta dejan de ser efectivos. Mientras tanto, los ataques "típicos" en el rango de 100–500 Gbit/s tuvieron, en promedio, una duración de unas 10 horas, y los de varios terabits aproximadamente 35 minutos.
Los golpes más sensibles, según Radware, cada vez afectan con más frecuencia al nivel de las aplicaciones. El servicio Cloud Application Protection registró un aumento de transacciones maliciosas del 128% en comparación con 2024, y la mayor proporción correspondió a intentos de explotación de vulnerabilidades: 41,8%.
Se destacó por separado un repunte de este tipo de ataques en el cuarto trimestre, que los autores vincularon con la activa "armamentización" de nuevos CVE, incluido React2Shell (CVE-2025-55182). La actividad de bots maliciosos aumentó un 91,8% en el año, y Norteamérica se convirtió en el principal destino de los ataques contra aplicaciones web y API, con el 73,7% de las transacciones.
Un apartado del informe está dedicado al problema de la identificación de agentes de IA. Radware señala que las plataformas deben permitir solicitudes POST automatizadas para agentes "útiles", y ello abre la puerta a la suplantación de su identidad. La empresa considera más robustos los enfoques que emplean firmas criptográficas o la verificación de DNS y rangos de IP, y menos fiables los esquemas basados en la cadena User-Agent, que es fácil de falsificar. En este contexto se describen escenarios de exfiltración encubierta de datos mediante "clic cero" y inyecciones indirectas de sugerencias, incluidos ShadowLeak y ZombieAgent, donde la compromisión puede consolidarse mediante la memoria a largo plazo del agente.
En el contexto de los acontecimientos geopolíticos también persiste una ola de hacktivismo. Radware estimó el número de anuncios únicos sobre DDoS en Telegram para 2025 en aproximadamente 16.000, y nombró al grupo prorruso NoName057(16) como el más activo, con 4.692 anuncios. Entre los participantes mencionados con frecuencia figuran Keymous+, Hezi Rash, Mr Hamza, Anonymous VNLBN y RipperSec, y entre los países más atacados se hallaron Israel, Estados Unidos y Ucrania.