En el mundo digital contemporáneo, las amenazas cibernéticas siguen evolucionando y presentando desafíos cada vez mayores para las organizaciones, gobiernos y usuarios. Entre las formas más agresivas de estos ataques destacan las Denegaciones de Servicio Distribuidas o ataques DDoS. Durante el primer trimestre de 2025, Cloudflare ha registrado y bloqueado una cantidad sin precedentes de estos ataques, revelando en su último informe una subida vertiginosa del 358% en comparación con el mismo período del año anterior. Este fenómeno plantea nuevas alarmas sobre la seguridad digital y la necesidad urgente de adoptar medidas proactivas y automatizadas para la defensa en la red. El aumento de ataques DDoS no es solo cuestión de número, sino también de intensidad y sofisticación.
En los primeros tres meses de este año, Cloudflare bloqueó un total de 20.5 millones de ataques, una cifra que representa casi el total de los ataques registrados durante todo el 2024. Esta escalada se debe en parte a campañas masivas que emplearon múltiples vectores de ataque, dirigidos incluso a la propia infraestructura de Cloudflare, poniendo a prueba su capacidad tecnológica y de respuesta automatizada. La eficacia de sus defensas automatizadas ha sido crucial para neutralizar estos intentos sin impacto significativo en los servicios protegidos. Analizando los tipos de ataques, el informe destaca un aumento significativo en los ataques a nivel de red, que crecieron un 509% interanual.
Este tipo de ataques representa la mayoría de las amenazas bloqueadas, con 16.8 millones de ataques detectados en este trimestre. Los ataques a nivel de aplicación HTTP también mostraron un incremento importante, aunque más moderado, con un aumento del 118% en comparación con el primer trimestre del 2024. Estos datos confirman que los atacantes continúan adaptando sus métodos para evadir defensas y maximizar el impacto, diversificando sus tácticas y objetivos. Una característica alarmante son los ataques hiper-volumétricos, que superan 1 terabit por segundo (Tbps) o 1 billón de paquetes por segundo (Bpps).
Durante este trimestre, Cloudflare bloqueó más de 700 ataques de este tipo, lo que equivale a un promedio de ocho ataques diarios. Este nivel de volumen es capaz de saturar enlaces y servidores sin protección, evidenciando la necesidad de contar con capacidades de mitigación avanzadas y dimensionadas para hacer frente a estos eventos. Más aún, en abril de 2025 se registró un histórico ataque de 6.5 Tbps, igualando el récord mundial de mayor ancho de banda en un ataque DDoS, junto con otro ataque que alcanzó 4.8 Bpps, superando en un 52% la tasa anterior más alta documentada.
Estas cifras demuestran que el ataque evoluciona en escala y velocidad, haciendo obsoletas muchas soluciones tradicionales que dependen de intervenciones manuales. El informe de Cloudflare también pone énfasis en las principales fuentes geográficas y sectores afectados. Alemania fue el país con mayor cantidad de ataques, seguido de Turquía y China, con movimientos significativos en el ranking global que reflejan cambios estratégicos en las campañas de los actores maliciosos. En cuanto a industrias, aquellos vinculados a juegos de azar, telecomunicaciones, servicios de Internet, tecnologías de la información y seguridad cibernética fueron los más atacados, reforzando la idea de que los ciberatacantes buscan objetivos donde el impacto financiero, operativo y reputacional sea mayor. La industria del juego, que frecuentemente utiliza puertos específicos que permiten la comunicación con servidores multijugador, ha experimentado ataques dirigidos que buscan interrumpir las partidas y servicios online, lo que genera pérdidas tanto para proveedores como para usuarios.
Los atacantes que están detrás de estas campañas varían, pero una proporción significativa son competidores comerciales que buscan sabotear a rivales, especialmente en sectores altamente competitivos como los juegos de azar y apuestas en línea. Un porcentaje relevante también corresponde a actores con apoyo estatal o patrocinio gubernamental, además de usuarios descontentos o empleados insatisfechos, que aprovechan vulnerabilidades internas para su beneficio o vindicación. Un fenómeno preocupante es el llamado autoataque o self-DDoS, donde errores o configuraciones incorrectas generan tráfico malicioso que impacta a la propia organización. Finalmente, los extorsionistas son otro perfil frecuente, quienes amenazan con ataques a cambio de rescates, utilizando la magnitud del daño potencial para presionar a sus víctimas. Desde la perspectiva técnica, los ataques basados en SYN flood siguen siendo el vector predominante en la capa de red, seguidos por ataques de amplificación mediante protocolos como DNS y las variantes derivadas del mirai botnet, que aprovechan dispositivos IoT vulnerables.
Por su parte, en el ámbito HTTP, más del 60% de los ataques fueron ejecutados por botnets conocidas, con un 21% que empleó características sospechosas en las solicitudes para evadir detección y otro 10% usando imitaciones de navegadores para parecer tráfico legítimo. Estas tácticas dificultan la defensa y exigen sistemas con inteligencia avanzada capaz de discernir patrones anómalos incluso cuando el tráfico malicioso simula ser genuino. Entre las nuevas amenazas destacan los ataques por reflexión y amplificación utilizando protocolos menos tradicionales como CLDAP y ESP. Estos ataques han experimentado aumentos exponenciales, con subidas del 3,488% en CLDAP y 2,301% en ESP en comparación con el trimestre anterior. La naturaleza sin conexión y la falta de mecanismos robustos de autenticación en estos protocolos los convierten en herramientas eficaces para saturar a las víctimas con tráfico ampliado, sin que el agresor muestre directamente su origen.
La mitigación pasa por monitorear y filtrar tráfico inusual, así como reforzar las configuraciones de los sistemas que utilizan estos protocolos para evitar que sean explotados en campañas de ataque. Un aspecto importante que resalta el informe es la duración típica de los ataques. La mayoría de ellos son breves pero intensos, con un 89% de ataques en la capa 3/4 y un 75% en HTTP durando menos de diez minutos. Esto dificulta la intervención manual, ya que el tiempo de reacción humano suele ser insuficiente para activarse y contener la amenaza a tiempo. Por ello, la detección y mitigación automática, siempre activa y combinada con alta capacidad global, se vuelve un requisito indispensable para la protección efectiva.
De hecho, incluso algunos ataques hiper-volumétricos, que podrían parecer más fáciles de detectar y frenar, suelen durar entre 35 y 45 segundos, enfatizando la necesidad de soluciones en línea y en tiempo real. La evolución y el crecimiento de los ataques DDoS también se vinculan con la expansión y explotación de la infraestructura en la nube y la disponibilidad de recursos informáticos globales. Autonomous System Numbers (ASNs) de grandes proveedores de alojamiento y computación en nube como Hetzner, OVH, DigitalOcean y Google Cloud figuran como fuentes prominentes de ataques HTTP, indicando que tanto servidores comprometidos como cuentas abusivas en estos entornos son aprovechados para lanzar ataques masivos. Para contrarrestar esto, Cloudflare ha desarrollado un feed de amenazas de botnets para proveedores de servicios que facilita la identificación y desarticulación de cuentas maliciosas, contribuyendo a la limpieza del ecosistema y la cooperación comunitaria en la lucha contra estas amenazas. Frente a este panorama, la recomendación central es adoptar una postura proactiva en la seguridad, con soluciones automáticas y siempre activas que ofrecen mitigación continua sin depender de intervenciones sobre demanda, las cuales ya no son suficientes ante la rapidez y escala de los ataques modernos.
Empresas e instituciones deben impulsar la integración de tecnologías avanzadas, reforzar la configuración de protocolos y sistemas, y promover una cultura de concientización sobre la importancia de la protección contra DDoS. Finalmente, la misión y el compromiso de organizaciones como Cloudflare con una red global con capacidad formidable, que alcanza los 348 Tbps y abarca 335 ciudades, demuestra que es posible contrarrestar incluso los ataques DDoS más potentes del mundo si se cuenta con la infraestructura adecuada y un modelo de protección integral sin límites ni tarifas por el volumen de tráfico. La seguridad en línea es un esfuerzo colectivo y continuo que demanda actualización constante y colaboración entre los sectores público, privado y la comunidad tecnológica en general. En resumen, el informe de Cloudflare del primer trimestre de 2025 marca un punto crítico en la evolución de las amenazas DDoS. El incremento del 358% en ataques, la aparición de campañas exorbitantes en volumetría y la sofisticación de los métodos utilizados obligan a repensar las estrategias de defensa digital.
La clave estará en la automatización, la capacidad de respuesta inmediata y el fortalecimiento continuo de la infraestructura para asegurar un Internet más robusto y confiable para todos.
