Cloudflare dijo el martes que mitigó 7.3 millones de ataques distribuidos de denegación de servicio (DDoS) en el segundo trimestre de 2025, una caída significativa de 20.5 millones de ataques DDoS que defendió el trimestre antecedente.
“En común, en el segundo trimestre de 2025, los ataques DDoS hiper-volumétricos se dispararon”, dijeron Omer Yoachimik y Jorge Pacheco. “Cloudflare bloqueó más de 6.500 ataques hiper-volumétricos DDoS, un promedio de 71 por día”.
En el primer trimestre de 2025, la compañía dijo que una campaña sostenida de 18 días contra su propia infraestructura crítica protegida por Cloudflare fue responsable de 13.5 millones de los ataques observados durante el período de tiempo. Acumulativamente, Cloudflare ha bloqueado casi 28 millones de ataques DDoS, superando el número de ataques que mitigó en todo 2024.
El trascendental de los ataques en el segundo trimestre de 2025 es un asombroso ataque DDoS que alcanzó su punto mayor en 7.3 terabits por segundo (TBP) y 4,8 mil millones de paquetes por segundo (BPP) en un desliz de 45 segundos.
Los grandes picos de tráfico como estos son los titulares, pero lo que a menudo se pierde es cómo los atacantes ahora los combinan con sondas más pequeñas y específicas. En punto de simplemente sistemas abrumadores con fuerza bruta, están mezclando inundaciones a gran escalera con escaneos tranquilos para encontrar puntos débiles y deslizar las defensas pasadas construidas para asediar solo lo obvio.
Los ataques de DDoS de capa 3/capa 4 (L3/4) disminuyeron un 81% de trimestre a 3,2 millones, mientras que los ataques DDoS HTTP aumentaron un 9% a 4.1 millones. Más del 70% de los ataques DDoS HTTP emanados de botnets conocidos. Los vectores de ataque L3/4 más comunes fueron ataques de inundación realizados sobre DNS, TCP SYN y protocolos UDP.
Los proveedores y operadores de servicios de telecomunicaciones estuvieron entre los más dirigidos, seguidos de Internet, servicios de TI, juegos y sectores de conjunto.
China, Brasil, Alemania, India, Corea del Sur, Turquía, Hong Kong, Vietnam, Rusia y Azerbaiyán surgieron como los lugares más atacados basados en el país de facturación de los clientes de Cloudflare. Indonesia, Singapur, Hong Kong, Argentina y Ucrania fueron las cinco principales fuentes de ataques DDoS.
La compañía de infraestructura y seguridad web incluso reveló que el número de ataques DDoS hiper-volumétricos superiores a los 100 millones de paquetes por segundo (PPS) aumentó en un 592% en comparación con el trimestre antecedente.
Otro aspecto significativo es el aumento del 68% en el ataque DDoS Ransom, que ocurre cuando los actores maliciosos intentan molestar el efectivo de una ordenamiento amenazándolos con un ataque DDoS. Incluso involucra escenarios en los que se llevan a punta los ataques y se exige un rescate para evitar que vuelva a suceder.
“Si acertadamente la mayoría de los ataques DDoS son pequeños, los ataques DDoS hiper-volumétricos están aumentando en tamaño y frecuencia”, dijo Cloudflare. “Seis de cada 100 ataques DDoS HTTP exceden 1M RPS, y 5 de cada 10,000 ataques L3/4 DDoS exceden 1 TBPS, un aumento de QOQ del 1,150%”.
La compañía ha llamado la atención sobre una variación de botnet doblada Demonio que infecta los sistemas basados en Linux, dispositivos IoT predominantemente no garantizados, a través de puertos abiertos o credenciales débiles para alistarlos en una botnet DDOS que puede sobrellevar a punta inundaciones UDP, TCP y capa de aplicación.
“Los ataques suelen ser impulsados por comando y control (C2) y pueden gestar un tráfico volumétrico significativo, a menudo dirigidos a los juegos, alojamiento o servicios empresariales”, agregó. “Para evitar la infección, aproveche el software antivirus y el filtrado de dominio”.
Los vectores de infección como los explotados por Demonbot destacan desafíos más amplios con exposición no garantizada de IoT, credenciales SSH débiles y firmware obsoleto, temas comunes a través de la proliferación de botnet DDOS. Las estrategias de ataque relacionadas, como la advertencia de TCP, la amplificación del DNS y la despreocupación de la capa de ráfaga, se discuten cada vez más en los informes de amenaza de la capa de aplicaciones de Cloudflare y los desgloses de seguridad de las API.
