Te damos la bienvenida a la 23.ª edición del informe trimestral sobre amenazas DDoS de Cloudflare. Este informe ofrece un análisis exhaustivo de la evolución del panorama de amenazas de los ataques de denegación de servicio distribuido (DDoS) basado en los datos de la red de Cloudflare. En esta edición, nos centramos en el 3.er trimestre de 2025.
En el 3.er trimestre de 2025, la botnet Aisuru acaparó toda la atención con un enorme ejército de entre 1-4 millones de servidores infectados en todo el mundo. Aisuru lanzó ataques DDoS hipervolumétricos que superaban habitualmente 1 TB/s y 1000 millones de paquetes por segundo. El número de estos ataques se disparó un 54 % en términos intertrimestrales, con una media de 14 ataques hipervolumétricos diarios. La magnitud de los ataques alcanzó niveles sin precedentes, hasta un pico de 29,7 TB/s y 14 100 millones de paquetes por segundo.
Además de Aisuru, otros aspectos clave de este informe son:
El tráfico de ataques DDoS contra empresas de IA aumentó hasta un 347 % intermensual en septiembre de 2025, a medida que crecía la preocupación pública y se intensificaba la revisión normativa de la IA.
La escalada de las tensiones comerciales entre la Unión Europea y China por los minerales de tierras raras y los aranceles a los vehículos eléctricos coincide con un aumento significativo de los ataques DDoS contra el sector de la minería, los minerales y los metales, así como contra el sector de la automoción en el trimestre en revisión.
En esos meses, las defensas autónomas de Cloudflare bloquearon un total de 8,3 millones de ataques DDoS. Esto supone una media de casi 3780 ataques DDoS por hora. El número de ataques DDoS repuntó un 15 % intertrimestral y un 40 % interanual.
En lo que va de 2025, y a falta de un trimestre para que termine el año, Cloudflare ya ha mitigado 36,2 millones de ataques DDoS. Eso equivale al 170 % de los ataques DDoS que Cloudflare mitigó a lo largo de 2024.
En el 3.er trimestre de 2025, Cloudflare detectó y mitigó automáticamente 8,3 millones de ataques DDoS, lo que representa un aumento del 15 % en términos intertrimestrales y del 40 % en términos interanuales.
Los ataques DDoS a la capa de red, que representaron el 71 % de los ataques DDoS en el periodo, o 5,9 millones de ataques DDoS, se incrementaron un 87 % intertrimestral y un 95 % interanual. Sin embargo, los ataques DDoS HTTP, que supusieron solo el 29 % de los ataques DDoS en el 3.er trimestre de 2025, o 2,4 millones de ataques DDoS, disminuyeron un 41 % en comparación con el trimestre anterior y un 17 % respecto al mismo periodo del año pasado.
En el 3.er trimestre de 2025, Cloudflare mitigó una media de 3780 ataques DDoS cada hora.
Aisuru bate récords con ataques DDoS hipervolumétricos y ultrasofisticados
Fuerza disruptiva
Aisuru apuntó a proveedores de telecomunicaciones, empresas de videojuegos, proveedores de alojamiento web y servicios financieros, por nombrar algunos. También causó "una interrupción colateral generalizada de Internet [en Estados Unidos]", según informó Krebs on Security, simplemente debido a la cantidad de tráfico de botnets que se enruta a través de los proveedores de acceso a Internet (ISP).
Piénsalo bien. Si el tráfico de ataque de Aisuru puede interrumpir partes de la infraestructura de Internet de Estados Unidos cuando dichos proveedores de acceso a Internet ni siquiera eran el objetivo del ataque, imagina lo que puede hacer cuando se dirige directamente a ISP sin protección o con una protección deficiente, infraestructuras críticas, servicios sanitarios, servicios de emergencia y sistemas militares.
Estadísticas sobre botnets de alquiler y ataques DDoS
Los distribuidores ofrecen "fragmentos" de Aisuru como botnets de alquiler, por lo que cualquiera puede potencialmente sembrar el caos en naciones enteras paralizando las redes troncales y saturando los enlaces de Internet. De esta forma, millones de usuarios se verían afectados y se dificultaría el acceso a servicios esenciales, todo ello por unos cientos o unos pocos miles de dólares estadounidenses.
Desde principios de 2025, Cloudflare ya ha mitigado 2867 ataques de Aisuru. Solo en el 3.er trimestre, Cloudflare mitigó 1304 ataques hipervolumétricos iniciados por Aisuru. Esta cifra representa un aumento del 54 % respecto al trimestre anterior. Entre ellos se incluyen el ataque DDoS de 29,7 TB/s y el ataque DDoS de 14 100 millones de paquetes por segundo, que batieron el récord mundial.
Los 29,7 TB/s correspondían a un ataque UDP de bombardeo masivo que atacaba una media de 15 000 puertos de destino por segundo. El ataque distribuyó aleatoriamente varios atributos de paquetes en un intento por evadir las defensas, pero los sistemas de mitigación de Cloudflare detectaron y mitigaron todos los ataques, incluido este, de forma totalmente autónoma. Más información sobre Cómo Cloudflare mitiga los ataques DDoS hipervolumétricos.
Características de los ataques
Aunque la mayoría de los ataques DDoS son relativamente pequeños, en el 3.er trimestre, la cantidad de ataques DDoS que superaron los 100 millones de paquetes por segundo aumentó un 189 % intertrimestral. Del mismo modo, los ataques que superaron 1 TB/s se dispararon un 227 % respecto al trimestre anterior. En la capa HTTP, cuatro de cada 100 ataques superaron 1 millón de solicitudes por segundo.
Además, la mayoría de los ataques, el 71 % de los ataques DDoS HTTP y el 89 % de los ataques a la capa de red, finalizaron en menos de 10 minutos, y eso es demasiado rápido para que cualquier humano o servicio bajo demanda pueda reaccionar. Un ataque breve puede durar solo unos segundos, pero la interrupción que causa puede ser grave, y la recuperación lleva mucho más tiempo. Los equipos de ingeniería y operaciones se ven entonces obligados a seguir un proceso complejo y de múltiples pasos para volver a poner en funcionamiento los sistemas críticos, comprobar la coherencia de los datos en los sistemas distribuidos y restablecer un servicio seguro y fiable para los clientes.
El impacto de los ataques DDoS de corta duración, ya sean hipervolumétricos o no, puede extenderse mucho más allá de la duración del ataque.
Principales orígenes de los ataques
Siete de los diez principales orígenes de los ataques se encuentran en Asia, con Indonesia a la cabeza. Indonesia es el principal origen de los ataques DDoS y lleva un año entero (desde el 3.er trimestre de 2024) ocupando el primer puesto en el ranking mundial. Incluso antes de eso, Indonesia siempre había figurado entre los primeros puestos de las listas de orígenes de ataques. En el 2.º trimestre de 2024, Indonesia fue el segundo principal origen, tras escalar desde posiciones inferiores en trimestres y años anteriores.
Para demostrar el auge de Indonesia como centro de ataques DDoS, en solo cinco años (desde el 3.er trimestre de 2021), el porcentaje de solicitudes de ataques DDoS HTTP originadas en Indonesia ha aumentado un asombroso 31 900 %.
Sectores más afectados por los ataques
Ataques DDoS contra minerales de tierras raras
Los ataques DDoS contra la industria de la minería, los minerales y los metales se alzaron significativamente en el 3.er trimestre de 2025, cuando la 25.ª cumbre comercial entre la Unión Europea y China fue testigo de crecientes tensiones en torno a los aranceles sobre los vehículos eléctricos, las exportaciones de tierras raras y cuestiones de ciberseguridad, según publicaron varios medios de comunicación. La BBC informó de que "China también elevó los controles de exportación de tierras raras y minerales críticos". En general, el sector de la minería, los minerales y los metales ascendió 24 puestos en la clasificación mundial, convirtiéndose en el 49.º sector más afectado por los ataques a nivel mundial.
El sector automotor experimentó el mayor repunte en el número de ataques DDoS, que le hizo subir 62 puestos en solo un trimestre, situándose como el 6.º sector más perjudicado del mundo. Las empresas de ciberseguridad también vieron un aumento significativo en los ataques DDoS. El sector de la ciberseguridad escaló 17 posiciones, y se convirtió en el 13.º sector peor parado.
Los ataques DDoS contra la IA se dispararon un 347%
En septiembre de 2025, una encuesta del Instituto Tony Blair reveló que los británicos consideraban la IA más un riesgo económico que una oportunidad, lo que provocó importantes titulares sobre la automatización y la confianza. La Comisión de Derecho del Reino Unido inició una revisión sobre el uso de la IA en el Gobierno, convirtiéndolo en un mes destacado para la ética de la IA, la regulación y la adopción de la IA generativa. En septiembre de 2025, Cloudflare también observó picos intermensuales de hasta el 347 % en el tráfico de ataques DDoS HTTP contra empresas de IA generativa (según una muestra de los principales servicios de IA generativa).
Los 10 países más afectados
En el 3.er trimestre de 2025, el sector de la tecnología y los servicios de la información encabezó la lista como el más afectado, seguido por las telecomunicaciones, las apuestas y los casinos. Cabe destacar que el sector automotor escaló de forma espectacular 62 puestos con respecto al trimestre anterior. El sector de medios de comunicación, producción y edición también experimentó un fuerte aumento, precedido por el sector de servicios bancarios y financieros, el sector minorista y el sector de la electrónica de consumo.
Ubicaciones más afectadas por los ataques
Existe una correlación directa entre los eventos geopolíticos y la actividad de los ataques DDoS.
¡No a los saqueos!
"Lootuvaifi" (¡No a los saqueos!) en maldivo, se convirtió en el grito de guerra de las protestas de 2025 en Maldivas, cuando los manifestantes salieron a las calles para oponerse a la "corrupción percibida del Gobierno y el retroceso democrático", que culminó con el proyecto de ley sobre los medios de comunicación que "pone fin a la libertad de expresión", y que, según el Alto Comisionado de las Naciones Unidas para los Derechos Humanos, "socavará gravemente la libertad de los medios de comunicación y el derecho a la libertad de expresión del pueblo de Maldivas si no se retira". Las protestas maldivas de 2025 estuvieron acompañadas por un aluvión de ataques DDoS. En consecuencia, Maldivas fue el país que experimentó el mayor aumento de ataques DDoS. En el 3.er trimestre de 2025, Maldivas escaló 125 puestos, convirtiéndose en el 38.º país más afectado por ataques del mundo.
Bloqueemos todo
El movimiento de protesta nacional, "Bloqueemos todo", o "Bloquons Tout" en francés, fue lanzado por los sindicatos franceses en septiembre de 2025 para oponerse al Gobierno del presidente Macron por las nuevas medidas de austeridad, los cambios en el sistema de pensiones y el aumento del coste de la vida. Mientras los sindicatos convocaban huelgas coordinadas y bloqueos de transporte para paralizar el país, los ciberdelincuentes atacaron sitios web y servicios de Internet franceses con oleadas de ataques DDoS. Francia ascendió 65 puestos con respecto al trimestre anterior, lo que la convierte en el 18.º país más afectado por ataques en todo el mundo.
"Línea roja por Gaza en Bruselas"
Se observó un aumento de los ataques DDoS coincidiendo con las protestas en más países. Por ejemplo, Bélgica escaló 63 posiciones, convirtiéndose en el 74.º país más afectado del mundo, cuando "decenas de miles de manifestantes trazaron la línea roja por Gaza en Bruselas".
Los 10 países más afectados
En el 3.er trimestre de 2025, China siguió siendo el país más afectado, seguido de Turquía y Alemania, que ocuparon el segundo y el tercer lugar, respectivamente. Los cambios más notables en este trimestre fueron el aumento de los ataques DDoS contra Estados Unidos, que escaló 11 puestos, convirtiéndose en el quinto país que recibió más ataques. Filipinas experimentó el mayor aumento dentro de los 10 primeros puestos, ya que escaló 20 posiciones.
Ataques DDoS a la capa de red
La cantidad de ataques DDoS UDP, impulsados en parte por los ataques Aisuru, aumentó un 231 % intertrimestral, lo que los convirtió en el principal vector de ataque a la capa de red. Las inundaciones DNS ocuparon el segundo lugar, las inundaciones SYN el tercero y las inundaciones ICMP el cuarto, lo que representa algo más de la mitad de todos los ataques DDoS a la capa de red.
Aunque han pasado casi 10 años desde su primera aparición importante, los ataques DDoS de la botnet Mirai siguen siendo bastante comunes. Casi dos de cada 100 ataques DDoS a la capa de red son lanzados por variantes de la botnet Mirai.
Ataques DDoS HTTP
Prácticamente el 70 % de los ataques DDoS HTTP procedió de botnets que Cloudflare ya conocía. Esto refleja una de las ventajas que obtienen nuestros clientes cuando utilizan Cloudflare. Una vez que una botnet ataca a uno de los millones de clientes de Cloudflare, todos quedan automáticamente protegidos de esa botnet.
Otro 20 % aproximadamente de los ataques DDoS HTTP procedió de navegadores falsos o sin interfaz, o incluyeron atributos HTTP sospechosos. El 10 % restante fue una combinación de inundaciones genéricas, solicitudes inusuales, ataques de destrucción de caché y ataques contra puntos finales de inicio de sesión.
Por qué las soluciones heredadas contra los ataques DDoS ya no son suficientes
Hemos entrado en una era en la que los ataques DDoS han crecido rápidamente en sofisticación y tamaño, más allá de lo que podríamos haber imaginado hace unos años. Muchas organizaciones han enfrentado desafíos para mantenerse al día con este panorama de amenazas en evolución.
Las organizaciones que dependen de dispositivos de mitigación locales o de soluciones de centros de filtrado bajo demanda pueden verse beneficiadas si revisan su estrategia de defensa, dado el panorama actual de las amenazas.
Cloudflare, con su vasta red global y sus sistemas autónomos de mitigación de DDoS, se compromete a proporcionar protección contra DDoS gratuita e ilimitada a todos los clientes, independientemente del tamaño, la duración o la cantidad de los ataques DDoS a los que se enfrenten.