Se disparan los ataques DDoS hipervolumétricos | Informe sobre amenazas DDoS de Cloudflare del 2.º trimestre de 2025

Te damos la bienvenida a la 21.ª edición del informe sobre amenazas DDoS de Cloudflare. Este informe, que se publica cada trimestre, ofrece un análisis exhaustivo de la evolución del panorama de amenazas de los ataques de denegación de servicio distribuido (DDoS) basado en los datos de la red de Cloudflare. En esta edición, nos centramos en el 2.º trimestre de 2025. Para consultar informes anteriores, visita www.ddosreport.com.

El mes de junio fue el más activo en cuanto a ataques DDoS en el 2.º trimestre de 2025, ya que concentró casi el 38 % de toda la actividad observada. Uno de los objetivos más destacados fue un medio de comunicación independiente de Europa del Este protegido por Cloudflare, que denunció haber sido objeto de un ataque tras cubrir un desfile local del Orgullo durante el Mes del Orgullo LGBTQ.

• Los ataques DDoS siguen batiendo récords. Durante el 2.º trimestre de 2025, Cloudflare bloqueó automáticamente los mayores ataques DDoS jamás registrados, alcanzando un pico de 7,3 terabits por segundo (TB/s) y 4800 millones de paquetes por segundo.

• En general, en 2.º trimestre de 2025, los ataques DDoS hipervolumétricos se dispararon. Cloudflare bloqueó más de 6500 ataques DDoS hipervolumétricos, es decir, una media de 71 al día. 

• Aunque el número total de ataques DDoS disminuyó en comparación con el trimestre anterior — cuando se registró un aumento sin precedentes a raíz de una campaña a gran escala contra la red de Cloudflare y la infraestructura crítica de Internet protegida por Cloudflare — el número de ataques en el 2.º trimestre de 2025 siguió siendo un 44 % superior al del 2.º trimestre de 2024. Las infraestructuras críticas siguen sometidas a una presión constante, y los sectores de las telecomunicaciones, los proveedores de servicios y los operadores de transporte vuelven a situarse a la cabeza como los más afectados.

Todos los ataques de este informe fueron detectados y bloqueados automáticamente por nuestras defensas autónomas.

Para obtener más información sobre los ataques DDoS y otros tipos de ciberamenazas, consulta nuestro Centro de aprendizaje. Visita Cloudflare Radar para ver una versión interactiva de este informe donde puedes consultar más detalles. Radar también ofrece una API gratuita para aquellos interesados en investigar las tendencias de Internet. Asimismo, puedes obtener más información sobre las metodologías utilizadas en la preparación de estos informes.

En el 2.º trimestre de 2025, Cloudflare mitigó 7,3 millones de ataques DDoS, una brusca disminución con respecto a los 20,5 millones del 1.er trimestre, cuando una campaña de 18 días contra la propia infraestructura de Cloudflare y otras infraestructuras críticas protegidas por Cloudflare provocó 13,5 millones de esos ataques. 

^{Ataques DDoS por trimestre}

Acabamos de superar la mitad de 2025 y, hasta ahora, Cloudflare ya ha bloqueado 27,8 millones de ataques DDoS, lo que equivale al 130 % de todos los ataques DDoS que bloqueamos en todo el año 2024.

^{Ataques DDoS por año}

Si lo desglosamos aún más, los ataques DDoS a las capas 3 y 4 se redujeron un 81 % en términos intertrimestrales, hasta los 3,2 millones, mientras que los ataques DDoS HTTP aumentaron un 9 %, hasta los 4,1 millones. Los cambios interanuales siguen siendo elevados. Los ataques totales aumentaron un 44 % con respecto al 2.º trimestre de 2024, y los ataques DDoS HTTP registraron el mayor incremento, en concreto, un 129 % en comparación con el mismo periodo del año pasado.

^{Ataques DDoS por mes}

En el 2.º trimestre de 2025, Cloudflare bloqueó más de 6500 ataques DDoS volumétricos, es decir, una media de 71 ataques volumétricos al día. Los ataques hipervolumétricos incluyen ataques DDoS a las capas 3/4 que superan 1000 millones de paquetes por segundo o 1 TB/s, y ataques DDoS HTTP que superan 1 millón de solicitudes por segundo.

El número de ataques DDoS hipervolumétricos que superaron los 100 millones de paquetes por segundo se disparó un 592 % en comparación con el trimestre anterior, y el número que superó los 1000 millones de paquetes por segundo y 1 TB/s se duplicó en la misma comparación. El número de ataques DDoS HTTP que superaron 1 millón de solicitudes por segundo se mantuvo igual, en torno a 20 millones en total, una media de casi 220 000 ataques cada día.

^{Ataques DDoS hipervolumétricos en el 2.º trimestre de 2025}

Cuando se les preguntó quién estaba detrás de los ataques DDoS que sufrieron en el 2.º trimestre de 2025, la mayoría (71 %) de los encuestados respondieron que no sabían quién los había perpetrado. Del 29 % restante de los encuestados que afirmaron haber identificado al autor de la amenaza, el 63 % señaló a la competencia, un patrón especialmente común en los sectores de los videojuegos, las apuestas y las criptomonedas. Otro 21 % atribuyó el ataque a actores estatales o financiados por el estado, mientras que un 5 % manifestó ser responsable de su propio ataque (auto-DDoS), haber sido objeto de extorsiones o haber sufrido un ataque por parte de clientes o usuarios descontentos.

^{Principales responsables de los ataques registrados en el 2.º trimestre de 2025}

El porcentaje de clientes de Cloudflare atacados que informaron haber sido objeto de un ataque DDoS de rescate o haber recibido amenazas aumentó un 68 % en comparación con el trimestre anterior y un 6 % en comparación con el mismo trimestre de 2024. 

^{Ataques DDoS de rescate por trimestre | 2.º trimestre de 2025}

Si seguimos indagando, los ataques DDoS de rescate aumentaron significativamente en junio de 2025. Alrededor de un tercio de los encuestados declaró haber sufrido amenazas o ser víctima de ataques DDoS de rescate.

^{Ataques DDoS de rescate por mes | 2.º trimestre de 2025}

La clasificación de los 10 lugares más afectados por ataques en el 2.º trimestre de 2025 ha cambiado significativamente. China subió dos puestos y volvió a ocupar el primer lugar, Brasil saltó cuatro puestos hasta el segundo lugar, Alemania bajó dos puestos hasta el tercer lugar, India subió uno hasta el cuarto lugar y Corea del Sur escaló cuatro posiciones hasta el quinto lugar. Turquía cayó cuatro puestos hasta el sexto lugar, Hong Kong bajó tres hasta ocupar la séptima posición de la tabla y Vietnam avanzó quince puestos hasta colarse en la octava posición. Mientras tanto, Rusia ascendió cuarenta puestos hasta el noveno lugar, y Azerbaiyán subió treinta y uno para completar los diez primeros puestos.

^{Lugares más afectados por los ataques DDoS en el 2.º trimestre de 2025}

Es importante señalar que estas ubicaciones atacadas se determinan en función del país de facturación del cliente de Cloudflare cuyos servicios han sido objeto del ataque, y no porque esos países estén siendo objeto de ataque. En otras palabras, una clasificación alta simplemente indica que más de nuestros clientes registrados en esa jurisdicción de facturación fueron objetivo de tráfico DDoS, sin que ello implique un ataque geopolítico directo.

La clasificación de los 10 sectores más afectados en el 2.º trimestre de 2025 también experimentó cambios notables. Los sectores de las telecomunicaciones, los proveedores de servicios y los operadores de transporte subieron una posición para situarse en primer lugar, mientras que el sector de Internet escaló dos posiciones hasta ocupar el segundo lugar. La tecnología y los servicios de la información mantuvieron su tercer puesto como sector más afectado, y los videojuegos subieron un puesto hasta el cuarto lugar. El sector de apuestas y casinos cayó cuatro posiciones hasta el quinto lugar, mientras que el sector de servicios bancarios y financieros permaneció en sexto lugar. El comercio minorista subió un puesto hasta el séptimo lugar, y la agricultura dio un salto espectacular de 38 puestos hasta ocupar la octava posición de la tabla. El sector del software informático subió dos puestos hasta el noveno lugar, y el sector público avanzó dos puestos para completar la lista de los diez sectores más afectados.

^{Principales sectores afectados por ataques DDoS en el 2.º trimestre de 2025}

La clasificación de los 10 principales orígenes de los ataques DDoS en el 2.º trimestre de 2025 también experimentó varios cambios en comparación con el trimestre anterior. Indonesia subió un puesto y se situó en primer lugar, Singapur escaló dos puestos y se colocó en segundo lugar, Hong Kong bajó dos puestos y quedó en tercer lugar, Argentina bajó un puesto y quedó en cuarto lugar, y Ucrania se mantuvo como el quinto país de origen de ataques DDoS. Rusia subió seis puestos hasta convertirse en el sexto país origen de ataques, seguida de Ecuador, que escaló siete posiciones. Vietnam subió un puesto hasta ocupar la octava posición. Los Países Bajos subieron cuatro puestos para convertirse en el noveno país de origen de ataques DDoS, y Tailandia cayó tres puestos para cerrar la lista de los diez principales orígenes de ataques DDoS.

^{Principales orígenes de los ataques DDoS en el 2.º trimestre de 2025}

Es importante tener en cuenta que estas clasificaciones de "origen" reflejan la ubicación de los nodos de botnets, proxies o terminales VPN, y no la ubicación real de los autores de las amenazas. En cuanto a los ataques DDoS a las capas 3/4, donde la suplantación de IP es común, geolocalizamos cada paquete al centro de datos de Cloudflare que lo recibió y bloqueó primero, aprovechando nuestra presencia en más de 330 ciudades para una precisión verdaderamente precisa.

Un ASN (número de sistema autónomo) es un identificador único asignado a una red o grupo de redes IP que operan bajo una única política de enrutamiento en Internet. Se utiliza para intercambiar información de enrutamiento entre sistemas que utilizan protocolos como BGP (protocolo de puerta de enlace de frontera).

Por primera vez en aproximadamente un año, la red alemana Hetzner (AS24940) cayó del primer puesto como principal origen de ataques DDoS HTTP al tercer puesto. En su lugar, la empresa austriaca Drei (AS200373) subió seis puestos hasta convertirse en el principal origen de ataques DDoS HTTP. La empresa estadounidense DigitalOcean (AS14061) escaló un puesto hasta alcanzar el segundo lugar.

^{Los 10 principales orígenes ASN de los ataques DDoS HTTP}

Como se puede ver en el gráfico anterior, 8 de cada 10 ASN (número de sistema autónomo) enumerados ofrecen máquinas virtuales, alojamiento o servicios en la nube, lo que indica el uso común de botnets basadas en máquinas virtuales. Se estima que estas botnets son 5000 veces más potentes que las botnets basadas en IoT. Solo Drei (AS200373) y ChinaNet Backbone (AS4134) son principalmente proveedores de acceso a Internet u operadores de telecomunicaciones sin importantes soluciones significativas de máquinas virtuales / nubes públicas.

^{Botnets basadas en IoT vs. botnets basadas en máquinas virtuales}

Para ayudar a los proveedores de alojamiento, a los proveedores de informática en la nube y a cualquier proveedor de acceso a Internet a identificar y eliminar las cuentas abusivas que lanzan estos ataques, aprovechamos la ventaja única de Cloudflare para proporcionar un canal gratuito sobre amenazas de botnet DDoS para proveedores de servicios. Más de 600 organizaciones de todo el mundo ya se han registrado en este canal, y hemos observado una gran colaboración en toda la comunidad para desmantelar los nodos de botnets. Esto es posible gracias al flujo de amenazas que proporciona a estos proveedores de servicios una lista de direcciones IP infractoras dentro de su ASN que detectamos como origen de ataques DDoS HTTP. Es completamente gratuito y todo lo que necesitas es abrir una cuenta gratuita de Cloudflare, autenticar el ASN a través de PeeringDB y luego obtener la información sobre amenazas a través de la API.

Con una simple llamada API, los proveedores de servicios pueden obtener una lista de direcciones IP infractoras de su red. A continuación, se proporciona un ejemplo de respuesta.

{
  "result": [
    {
      "cidr": "127.0.0.1/32",
      "date": "2024-05-05T00:00:00Z",
      "offense_count": 10000
    },
    // ... other entries ...
  ],
  "success": true,
  "errors": [],
  "messages": []
}

^{Ejemplo de respuesta de la API gratuita del canal de amenazas de botnet DDoS para proveedores de acceso a Internet}

En el 2.º trimestre de 2025, la mayoría (71 %) de los ataques DDoS HTTP fueron lanzados por botnets conocidas. La rapidez de la detección y el bloqueo de estos ataques fue posible gracias a que operamos una red masiva y observamos muchos tipos diferentes de ataques y botnets. Mediante el uso de la información sobre amenazas en tiempo real, nuestros sistemas son capaces de incriminar botnets DDoS muy rápidamente, lo que contribuye a una mitigación más eficaz. Aunque una botnet DDoS haya sido incriminada mientras atacaba solo un sitio web o una dirección IP, toda nuestra red y nuestra base de clientes quedan protegidas inmediatamente contra ella. Este sistema de información sobre amenazas en tiempo real se adapta a las botnets a medida que se transforman y cambian de nodos.

^{Principales vectores de ataque DDoS HTTP en el 2.º trimestre de 2025}

En el 2.º trimestre de 2025, los ataques de inundación de DNS fueron el principal vector de ataque a las capas 3/4, ya que representaron casi un tercio de todos los ataques DDoS a las capas 3/4. Las inundaciones SYN fueron el segundo vector de ataque más común, pasando del 31 % en el 1.er trimestre al 27 % en el 2.º trimestre. 

En 3.er lugar, las inundaciones UDP también aumentaron significativamente, del 9 % en el 1.er trimestre al 13 % en el 2.º trimestre. Las inundaciones RST, otra forma de ataque DDoS basado en TCP, que representaron el 5 % de todos los ataques a las capas 3/4, fueron el cuarto vector más común. Completando los cinco primeros puestos, las inundaciones SSDP se colocaron en quinto lugar con un 3 % a pesar de haber descendido desde el 4,3 % del trimestre anterior, pero lo suficiente como para desplazar de los cinco primeros puestos a los ataques Mirai, que habían predominado anteriormente (y que cayeron del 18 % en el primer trimestre al 2 % en el segundo).

^{Principales vectores de ataques DDoS a las capas 3/4 en el 2.º trimestre de 2025}

Desglose de los tres principales vectores de ataque DDoS a las capas 3 y 4

A continuación, se presentan detalles sobre los tres ataques DDoS más comunes a las capas 3 y 4. Ofrecemos recomendaciones sobre cómo las organizaciones pueden evitar convertirse en un objeto de reflexión y amplificación, así como recomendaciones sobre cómo defenderse de estos ataques sin afectar al tráfico legítimo. Los clientes de Cloudflare están protegidos contra estos ataques.

Ataque de inundación de DNS

• Tipo: inundación

• Cómo funciona: un ataque de inundación DNS busca abrumar un servidor DNS con un alto volumen de consultas DNS, ya sean válidas, aleatorias o con formato incorrecto, para saturar la CPU, la memoria o el ancho de banda. A diferencia de los ataques de amplificación, este es un ataque de inundación directa destinado a degradar el rendimiento o causar interrupciones, a menudo a través del puerto UDP 53, pero a veces también a través de TCP (especialmente para zonas habilitadas para DNS sobre TCP o DNSSEC).

• Cómo defenderte del ataque: utiliza el DNS de Cloudflare como principal o secundario, Cloudflare DNS Firewall y/o Cloudflare Magic Transit para absorber y mitigar las inundaciones de consultas antes de que lleguen a tu servidor. La red global de Cloudflare gestiona decenas de millones de consultas DNS por segundo con filtrado DDoS y almacenamiento en caché de consultas integrados, y bloquea el tráfico anómalo o excesivo mientras responde a las solicitudes legítimas.

• Cómo evitar impactos no deseados: evita bloquear todo el tráfico DNS o desactivar el puerto UDP 53, lo que interrumpiría la resolución normal. Confía en la protección específica del DNS de Cloudflare, como el sistema Advanced DNS Protection, e implementa una protección compatible con DNSSEC para gestionar de forma segura las inundaciones de consultas basadas en TCP.

Ataque de inundación SYN

• Tipo: inundación

• Cómo funciona: en una inundación SYN, los actores malintencionados envían un gran volumen de paquetes TCP SYN, a menudo con direcciones IP falsificadas, para iniciar conexiones que nunca se completan. Esto deja el sistema de destino con conexiones semiabiertas, que consumen memoria y recursos de seguimiento de conexiones, lo que puede agotar los límites del servidor e impedir que los clientes reales se conecten.

• Cómo defenderte del ataque: utiliza Cloudflare Magic Transit para interceptar y mitigar las inundaciones TCP SYN en el perímetro. Cloudflare utiliza cookies SYN, seguimiento de conexiones y análisis de comportamiento para diferenciar a los clientes reales de las fuentes falsificadas o maliciosas, asegurando así que las conexiones TCP legítimas se completen con éxito. Usa los servicios CDN/WAF de Cloudflare o Cloudflare Spectrum, que son servicios de proxy inverso para HTTP o TCP, respectivamente. El uso de un proxy inverso básicamente elimina el posible impacto de los ataques DDoS basados en TCP.

• Cómo evitar impactos no deseados: bloquear todo el tráfico SYN o aplicar tiempos de espera extremos puede bloquear a usuarios reales. En su lugar, confía en el sistema de protección TCP avanzada de Cloudflare, que utiliza el modelado de velocidad SYN, la detección de anomalías y el filtrado de paquetes falsificados para mitigar los ataques sin afectar las conexiones legítimas de los clientes.

Ataques DDoS UDP

• Tipo: inundación

• Cómo funciona: se envía un gran volumen de paquetes UDP a puertos aleatorios o específicos en la(s) dirección(es) IP de destino. Puede intentar saturar el enlace de Internet o sobrecargar sus dispositivos en línea con más paquetes de los que pueden gestionar con el fin de provocar interrupciones o cortes en el servicio.

• Cómo defenderte del ataque: implementa la protección contra DDoS basada en la nube que pueda identificar el tráfico de ataque en tiempo real, como Cloudflare Magic Transit o Cloudflare Spectrum, aplica una limitación de velocidad inteligente en el tráfico UDP y elimina el tráfico UDP no deseado con el Magic Firewall.

• Cómo evitar impactos no deseados: un filtrado excesivo puede interrumpir servicios UDP legítimos como VoIP, videoconferencias o videojuegos en línea. Aplica los umbrales con cuidado.

Entre las amenazas emergentes de DDoS a las capas 3/4 en el 2.º trimestre de 2025, la inundación Teeworlds registró el mayor aumento. Estos ataques se dispararon un 385 % en términos intertrimestrales, seguidos de la inundación RIPv1, que se incrementó un 296 %. Las inundaciones RDP aumentaron un 173 %, y las inundaciones Demon Bot lo hicieron un 149 %. Incluso la venerable inundación VxWorks volvió a aparecer, con un incremento del 71 % en comparación con el trimestre anterior. Estos aumentos abruptos ponen de relieve las pruebas continuas de los ciberdelincuentes con protocolos menos conocidos y heredados para eludir las defensas estándar.

^{Principales amenazas emergentes en el 2.º trimestre de 2025}

Análisis de las principales amenazas emergentes

A continuación se presentan detalles sobre las amenazas emergentes en el 2.º trimestre de 2025, en su mayoría reutilizadas de vectores de ataque muy antiguos. Ofrecemos recomendaciones sobre cómo las organizaciones pueden evitar convertirse en un elemento de reflexión y amplificación, así como recomendaciones sobre cómo defenderse de estos ataques sin afectar al tráfico legítimo. Los clientes de Cloudflare están protegidos contra estos ataques.

• Tipo: inundación

• Cómo funciona: Teeworlds es un trepidante juego de disparos multijugador 2D de código abierto que utiliza un protocolo personalizado basado en UDP para el juego en tiempo real. Los ciberdelincuentes inundan el servidor de juegos del objetivo con paquetes UDP falsificados o excesivos que imitan acciones dentro del juego o intentos de conexión. Esto puede sobrecargar los recursos del servidor y provocar retrasos o interrupciones.

• Cómo defenderte del ataque: utiliza Cloudflare Spectrum o Cloudflare Magic Transit para proteger los servidores. Cloudflare detecta y mitiga automáticamente estos tipos de ataques mediante la identificación en tiempo real, bloqueando el tráfico malicioso y permitiendo el paso a los usuarios legítimos. Magic Transit también ofrece una capacidad de firewall a nivel de paquete, Magic Firewall, que se puede utilizar para diseñar una protección personalizada.

• Cómo evitar impactos no deseados: a la hora de crear reglas personalizadas, evita bloquear o limitar de forma brusca la velocidad del puerto UDP 8303 directamente, ya que puede interrumpir el juego en general. En su lugar, confía en servicios inteligentes de detección y mitigación para evitar afectar a los usuarios legítimos.

^{Captura de pantalla de Teeworlds Jungle. Fuente: Wikipedia}

Ataques DDoS RIPv1

• Tipo: reflexión + amplificación (baja)

• Cómo funciona: explota el protocolo de información de enrutamiento versión 1 (RIPv1), un antiguo protocolo de enrutamiento de vector de distancia no autenticado que utiliza UDP/520. Los agentes de amenazas envían actualizaciones de enrutamiento falsificadas para inundar o confundir las redes.

• Cómo evitar convertirse en objetivo de ataques de reflexión / amplificación: desactiva RIPv1 en los enrutadores. Utiliza RIPv2 con autenticación donde se requiera el enrutamiento.

• Cómo defenderte del ataque: bloquea el tráfico UDP/520 entrante procedente de redes no fiables. Supervisa las actualizaciones inesperadas de enrutamiento.

• Cómo evitar impactos no deseados: RIPv1 está prácticamente obsoleto, desactivarlo es generalmente seguro. Si los sistemas heredados dependen de él, verifica el comportamiento del enrutamiento antes de realizar cambios.

Ataque DDoS a RDP

• Tipo: reflexión + amplificación

• Cómo funciona: el protocolo de escritorio remoto (RDP) se utiliza para el acceso remoto a los sistemas Windows y normalmente se ejecuta a través del puerto TCP 3389. En algunas configuraciones erróneas o heredadas, RDP puede responder a intentos de conexión no autenticados, lo que permite su uso indebido para ataques de reflexión o amplificación. Los ciberdelincuentes envían paquetes de inicio RDP falsificados a servidores expuestos, lo que provoca que estos respondan a una víctima, generando grandes volúmenes de tráfico no deseado.

• Cómo defenderte del ataque: utiliza Cloudflare Magic Transit para proteger tu infraestructura de red. Magic Transit proporciona protección contra DDoS en las capas 3 y 4, filtrando el tráfico RDP falsificado o erróneo antes de que llegue a tu servidor. Para el abuso selectivo de la capa de aplicación, Cloudflare Gateway o el acceso a la red Zero Trust (ZTNA) pueden ayudar a proteger el acceso a escritorios remotos a través de túneles autenticados.

• Cómo evitar impactos no deseados: no bloquees globalmente TCP/3389 si se utiliza RDP de forma activa. En su lugar, restringe el acceso RDP a direcciones IP conocidas o redes internas, o utiliza Cloudflare Tunnel con acceso a la red Zero Trust (ZTNA) para eliminar por completo la exposición pública y mantener el acceso seguro para los usuarios legítimos.

Ataque DDoS de DemonBot

• Tipo: inundación basada en botnet

• Cómo funciona: DemonBot es una variante de malware que infecta sistemas basados en Linux, especialmente dispositivos IoT no protegidos, a través de puertos abiertos o credenciales poco seguras. Una vez infectados, los dispositivos se convierten en parte de una botnet que puede lanzar inundaciones de gran volumen en UDP, TCP y capa de aplicación. Los ataques suelen estar dirigidos por comandos y control (C2) y pueden generar un tráfico volumétrico significativo, a menudo dirigido a servicios de juegos, alojamiento o empresariales. Para evitar infecciones, utiliza software antivirus y filtrado de dominios. 

• Cómo defenderte del ataque: usa Cloudflare Magic Transit para absorber y filtrar inundaciones a gran escala en la capa de red antes de que lleguen a tu infraestructura. El análisis de tráfico en tiempo real y la detección basada en firmas de Cloudflare neutralizan el tráfico que se origina en dispositivos infectados por DemonBot. En el caso de los servicios de la capa de aplicación, la protección contra DDoS y el WAF de Cloudflare pueden mitigar las inundaciones HTTP específicas y el abuso de conexión.

• Cómo evitar impactos no deseados: en lugar de bloquear tipos de tráfico o puertos en general, confía en la mitigación adaptativa de Cloudflare para distinguir entre los usuarios legítimos y el tráfico de botnets. Combínalo con el filtrado de reputación de dirección IP, el bloqueo geográfico y la limitación de velocidad para reducir los falsos positivos y mantener la disponibilidad del servicio.

Ataque DDoS de inundación VxWorks

• Tipo: inundación (basada en IoT)

• Cómo funciona: VxWorks es un sistema operativo en tiempo real (RTOS) utilizado en millones de dispositivos integrados e IoT (p. ej., enrutadores, controladores industriales). Los dispositivos que ejecutan versiones obsoletas o mal configuradas de VxWorks pueden ser vulneradas y utilizadas para lanzar ataques DDoS. Una vez infectados, a menudo a través de vulnerabilidades públicas o credenciales débiles, envían grandes volúmenes de tráfico UDP, TCP o ICMP para saturar los objetivos, de forma similar a las botnets de IoT tradicionales.

• Cómo defenderte del ataque: implementa Cloudflare Magic Transit para bloquear el tráfico volumétrico en el perímetro de la red. Cloudflare utiliza huellas digitales en tiempo real y heurística patentada para identificar el tráfico procedente de dispositivos VxWorks vulnerados y mitigarlo en tiempo real. En el caso de los servicios para aplicaciones, los servicios de mitigación de DDoS y Gateway de Cloudflare proporcionan protección adicional contra el abuso a nivel de protocolo.

• Cómo evitar impactos no deseados: evita el bloqueo excesivo del tráfico UDP o ICMP, ya que puede interrumpir diagnósticos legítimos o servicios en tiempo real. En su lugar, utiliza las herramientas de filtrado inteligente, limitación de velocidad y reputación geográfica / dirección IP de Cloudflare para mitigar de forma segura los ataques mientras evitas el impacto en el tráfico legítimo.

^{Flujo de generación de huellas digitales en tiempo real de Cloudflare}

La mayoría de los ataques DDoS son pequeños y de corta duración. En el 2.º trimestre de 2025, el 94 % de los ataques DDoS a las capas 3/4 no superaron los 500 MB/s. Del mismo modo, alrededor del 85 % de los ataques DDoS a las capas 3/4 no superaron los 50 000 paquetes por segundo. La mayoría de los ataques DDoS HTTP también son pequeños. El 65 % se mantiene por debajo de las 50 000 solicitudes por segundo. Sin embargo, "pequeño" es un término relativo.

Un servidor moderno medio suele referirse a una máquina física o virtual de uso general con entre 4-8 núcleos de CPU (p. ej., Intel Xeon Silver), 16–64 GB de RAM y una NIC de 1 GB/s, que ejecuta un sistema operativo Linux como Ubuntu o CentOS con NGINX o software similar. Esta configuración puede manejar ~100 000–500 000 paquetes por segundo, hasta ~940 MB/s de rendimiento, y alrededor de 10 000–100 000 solicitudes por segundo para contenido estático o 500–1000 solicitudes por segundo para aplicaciones dinámicas respaldadas por bases de datos, dependiendo del ajuste y la carga de trabajo.

Suponiendo que el servidor no esté protegido por un servicio de protección contra DDoS en la nube, si es objetivo de "pequeños" ataques DDoS durante las horas punta de tráfico, es muy probable que el servidor no pueda gestionarlo. Incluso los ataques DDoS "pequeños" pueden causar un impacto significativo en los servidores desprotegidos.

^{Tamaño y duración de los ataques DDoS en el 2.º trimestre de 2025}

Aunque la mayoría de los ataques DDoS son pequeños, los ataques DDoS hipervolumétricos están aumentando en tamaño y frecuencia. 6 de cada 100 ataques DDoS HTTP superan 1 millón de solicitudes por segundo, y 5 de cada 10 000 ataques DDoS a las capas 3/4 superan 1 TB/S, lo que representa un aumento intertrimestral del 1150 %.

^{7,3 TB/s, el mayor ataque del mundo}

La mayoría de los ataques DDoS son breves, incluso los más grandes e intensos. Los ciberdelincuentes suelen recurrir a breves ráfagas de tráfico concentrado, que en ocasiones duran tan solo 45 segundos, como se observó en el monumental ataque DDoS de 7,3 TB/s, con el fin de evitar ser detectados, saturar los objetivos y causar la máxima interrupción antes de que las defensas puedan activarse por completo. Esta táctica de ráfagas cortas y de alta intensidad hace que la detección y la mitigación sean más desafiantes y subraya la necesidad de una protección siempre activa y en tiempo real. Afortunadamente, las defensas autónomas contra DDoS de Cloudflare se activan inmediatamente.

En Cloudflare, nos comprometemos a ayudar a mejorar Internet. Una parte de esa misión es ofrecer protección contra DDoS gratuita e ilimitada, independientemente del tamaño, la duración y la cantidad de los ataques. No solo te defendemos contra ataques DDoS. La mejor defensa es un buen ataque, y utilizando nuestro canal gratuito sobre amenazas de botnet DDoS para proveedores de acceso a Internet, contribuimos a la eliminación de botnets. 

Aunque muchos siguen adoptando medidas de protección de forma reactiva o confiando en soluciones obsoletas, nuestros datos demuestran que la seguridad proactiva y permanente es mucho más eficaz. Gracias a una red global con una capacidad de 388 TB/s en más de 330 ciudades, ofrecemos una defensa automatizada, en línea y probada contra todo tipo de ataques DDoS.