Te damos la bienvenida a la 24.ª edición del informe trimestral sobre amenazas DDoS de Cloudflare. En este informe, Cloudforce One ofrece un análisis exhaustivo de la evolución del panorama de amenazas de los ataques de denegación de servicio distribuido (DDoS) basado en datos de la red de Cloudflare. En esta edición, nos centramos en el cuarto trimestre de 2025 y compartimos los datos generales de 2025.
El cuarto trimestre de 2025 se ha caracterizado por un bombardeo sin precedentes lanzado por la botnet Aisuru-Kimwolf (la campaña de ataques DDoS "The Night Before Christmas"). Esta campaña contra clientes de Cloudflare, así como contra el panel de control y la infraestructura de Cloudflare, incluyó ataques DDoS HTTP hipervolumétricos que superaron los 200 millones de solicitudes por segundo, apenas unas semanas después de un ataque sin precedentes de 31,4 terabits por segundo (Tb/s).
Los ataques DDoS aumentaron un 121 % en 2025, alcanzando una media de 5376 ataques mitigados automáticamente cada hora.
En el último trimestre de 2025, Hong Kong escaló 12 posiciones, convirtiéndose en el segundo país del mundo que sufrió más ataques DDoS. El Reino Unido también subió 36 posiciones, lo que lo convierte en el 6.º país más afectado por los ataques.
Dispositivos Android TV infectados (como parte de la botnet Aisuru-Kimwolf) bombardearon la red de Cloudflare con ataques DDoS HTTP hipervolumétricos, y las empresas de telecomunicaciones fueron el sector más afectado.
En 2025 se produjo un gran aumento de los ataques DDoS
En 2025, el número total de ataques DDoS se duplicó con creces, hasta la increíble cifra de 47,1 millones. Estos ataques han aumentado considerablemente en los últimos años: el número de ataques DDoS se ha disparado un 236 % entre 2023 y 2025.
En 2025, Cloudflare mitigó una media de 5376 ataques DDoS cada hora, de los cuales 3925 fueron ataques DDoS a la capa de red y 1451 fueron ataques DDoS HTTP.
Los ataques DDoS a la capa de red se triplicaron con creces en 2025
El crecimiento más importante se produjo en los ataques DDoS a la capa de red, que se triplicaron ampliamente en términos interanuales. Cloudflare mitigó 34,4 millones de ataques DDoS a la capa de red en 2025, en comparación con los 11,4 millones en 2024.
Una parte sustancial de los ataques a la capa de red (aproximadamente 13,5 millones) se lanzaron directamente contra la infraestructura global de Internet protegida por Cloudflare Magic Transit y la infraestructura de Cloudflare, como parte de una campaña de ataques DDoS de 18 días de duración en el primer trimestre de 2025. De estos ataques, 6,9 millones se lanzaron contra clientes de Magic Transit, mientras que los otros 6,6 millones tenían como objetivo directo a Cloudflare.
Este ataque fue una campaña de ataques DDoS multivectorial que incluyó, por ejemplo, ataques de inundación SYN, ataques DDoS generados por Mirai y ataques de amplificación SSDP. Nuestros sistemas detectaron y mitigaron estos ataques de forma automática. De hecho, detectamos la campaña mientras preparábamos nuestro informe sobre las amenazas DDoS del primer trimestre de 2025, ¡un buen ejemplo de la eficacia de la mitigación de DDoS de Cloudflare!
En el último trimestre de 2025, el número de ataques DDoS creció un 31 % respecto al trimestre anterior y un 58 % respecto a 2024. Los ataques DDoS a la capa de red impulsaron ese crecimiento. En el cuarto trimestre de 2025, los ataques DDoS a la capa de red representaron el 78 % de todos los ataques DDoS. La cantidad de ataques DDoS HTTP no ha cambiado, pero su tamaño ha aumentado a un ritmo que no habíamos visto desde la campaña de ataques DDoS HTTP/2 Rapid Reset en 2023. Estas oleadas recientes han sido lanzadas por la botnet Aisuru-Kimwolf, de la que hablaremos en la siguiente sección.
Campaña de ataques DDoS "The Night Before Christmas"
El viernes 19 de diciembre de 2025, la botnet Aisuru-Kimwolf comenzó a bombardear con ataques DDoS hipervolumétricos la infraestructura de Cloudflare y a clientes de Cloudflare. La novedad de esta campaña era su tamaño: la botnet utilizó ataques DDoS HTTP hipervolumétricos que superaron los 20 millones de solicitudes por segundo (Mrps).
La botnet Aisuru-Kimwolf es un conjunto enorme de dispositivos infectados con malware, principalmente dispositivos Android TV. Se estima que esta botnet está formada por entre 1 y 4 millones de hosts infectados. Es capaz de lanzar ataques DDoS que pueden paralizar la infraestructura crítica, bloquear la mayoría de las soluciones de protección contra DDoS heredadas basadas en la nube e incluso interrumpir la conectividad de países enteros.
Durante toda la campaña, los sistemas autónomos de protección contra DDoS de Cloudflare detectaron y mitigaron todos los ataques: 384 ataques que generaron gran cantidad de paquetes, 329 ataques que generaron gran cantidad de bits y 189 ataques que generaron gran cantidad de solicitudes, con un total de 902 ataques DDoS hipervolumétricos y un promedio de 53 ataques al día.
El tamaño medio de los ataques DDoS hipervolumétricos durante la campaña fue de 3000 millones de paquetes por segundo, 4 Tb/s y 54 millones de solicitudes por segundo. Las velocidades máximas registradas durante la campaña fueron de 9000 millones de paquetes por segundo, 24 Tb/s y 20 500 millones de solicitudes por segundo.
Para ponerlo en contexto, la escala de un ataque DDoS de 205 000 millones de solicitudes por segundo sería equivalente a que las poblaciones combinadas del Reino Unido, Alemania y España escribieran simultáneamente la dirección de un mismo sitio web y luego pulsaran Intro en el mismo segundo.
La campaña "The Night Before Christmas", aunque tuvo un gran impacto, representó solo una pequeña parte de los ataques DDoS hipervolumétricos que observamos durante el año.
Ataques DDoS HTTP hipervolumétricos
A lo largo de 2025, Cloudflare observó un aumento continuo en los ataques DDoS hipervolumétricos. En el cuarto trimestre de 2025, los ataques hipervolumétricos aumentaron un 40 % en comparación con el trimestre anterior.
A medida que el número de ataques aumentaba en el transcurso de 2025, el tamaño de los ataques también aumentaba, con un crecimiento de más del 700 %, uno de los cuales alcanzó 31,4 Tb/s en un ataque DDoS que duró apenas 35 segundos. El siguiente gráfico muestra el rápido crecimiento del tamaño de los ataques DDoS observados y bloqueados por Cloudflare. Cada uno de estos ataques ha supuesto un récord mundial, es decir, ha sido el mayor ataque jamás divulgado públicamente por una empresa hasta ese momento.
Como todos los demás ataques, el ataque DDoS de 31,4 Tb/s fue detectado y mitigado automáticamente por la solución de protección contra DDoS autónoma de Cloudflare, que fue capaz de adaptarse y bloquear rápidamente botnets como Aisuru-Kimwolf.
La mayoría de los ataques DDoS hipervolumétricos tenían como objetivo clientes de Cloudflare del sector de las telecomunicaciones y los proveedores y operadores de servicios. Los clientes de Cloudflare del sector de los videojuegos y los clientes que prestan servicios de IA generativa también sufrieron ataques. Por último, la propia infraestructura de Cloudflare fue objetivo de varios vectores de ataque, como inundaciones HTTP, ataques DNS e inundaciones UDP.
Al analizar los ataques DDoS de todos los tamaños, el sector de las telecomunicaciones y los proveedores y operadores de servicios también fue el más afectado. Anteriormente, el sector de los servicios y la tecnología de la información era el que ostentaba ese desafortunado título.
El sector de las apuestas y casinos y el de los videojuegos ocuparon el tercer y cuarto lugar, respectivamente. Las mayores variaciones del trimestre en las principales 10 posiciones se han producido en los sectores del software informático y de los servicios empresariales, que han escalado varias posiciones.
Los sectores más afectados se caracterizan por su función como una infraestructura crítica, como una red troncal central para otras empresas, o por las repercusiones financieras inmediatas y de alto riesgo que tendrían en caso de interrupciones del servicio y latencia.
Países más afectados por los ataques
El panorama de los ataques DDoS experimentó tanto una estabilidad predecible como cambios drásticos en los países más afectados por los ataques en todo el mundo. China, Alemania, Brasil y Estados Unidos fueron los cinco principales objetivos, lo que demuestra el reiterado interés que tienen estos países para los atacantes.
Hong Kong ha tenido un cambio significativo, subiendo doce posiciones hasta la segunda posición. Sin embargo, el dato más destacado ha sido el meteórico ascenso del Reino Unido, que este trimestre ascendió 36 posiciones, por lo que pasa a ser el 6.º país más afectado por los ataques.
Vietnam mantiene la séptima posición en la lista de países más afectados por los ataques, seguido de Azerbaiyán, la India y Singapur (en octava, novena y décima posición, respectivamente).
Principales orígenes de los ataques
Bangladés ha desbancado a Indonesia como el país donde se originaron más ataques DDoS en el cuarto trimestre de 2025. Indonesia ha bajado al tercer puesto, tras ser durante un año el principal país de origen de ataques DDoS. Ecuador también ha escalado dos posiciones y ahora en el segundo país de origen de ataques DDoS.
En concreto, Argentina ha escalado veinte sorprendentes posiciones, y ahora es el cuarto mayor país de origen de ataques DDoS. Hong Kong ha subido tres puestos y ha ocupado el quinto lugar. Ucrania ocupa el sexto lugar, seguida de Vietnam, Taiwán, Singapur y Perú.
Principales redes de origen
La lista de las 10 principales redes donde se originan los ataques parece una lista de gigantes de Internet, y revela una historia fascinante sobre la anatomía de los ataques DDoS modernos. El hilo conductor está claro: los ciberdelincuentes aprovechan la infraestructura de red más accesible y potente del mundo, principalmente grandes servicios accesibles desde Internet.
Vemos que la mayoría de los ataques DDoS proceden de direcciones IP asociadas a plataformas de informática en la nube y a proveedores de infraestructura en la nube, como DigitalOcean (AS 14061), Microsoft (AS 8075), Tencent (AS 132203), Oracle (AS 31898) y Hetzner (AS 24940). Esto demuestra el fuerte vínculo entre las máquinas virtuales, de fácil suministro, y los ataques de gran volumen. A estos orígenes en la nube (muy concentrados en Estados Unidos) les sigue de cerca una presencia significativa de ataques procedentes de direcciones IP asociadas a proveedores de telecomunicaciones tradicionales. Estas empresas de telecomunicaciones, principalmente de la región de Asia-Pacífico (como Vietnam, China, Malasia y Taiwán), completan las restantes 10 principales posiciones.
Esta diversidad geográfica y organizativa confirma una realidad bidimensional de los ataques: si bien la gran escala de los orígenes que ocupan las primeras posiciones de la clasificación se suele originar en centros globales en la nube, el problema tiene realmente un alcance mundial y se enruta a través de las vías más críticas de Internet desde todo el mundo. En muchos ataques DDoS, vemos miles de ASN de origen distintos, lo que pone de manifiesto la distribución verdaderamente global de los nodos de la botnet.
Para ayudar a los proveedores de alojamiento, a las plataformas de informática en la nube y a los proveedores de servicios de Internet a identificar y eliminar las direcciones IP/cuentas abusivas que lanzan estos ataques, aprovechamos la perspectiva exclusiva que tiene Cloudflare de los ataques DDoS para proporcionar un canal gratuito sobre amenazas de botnets DDoS para proveedores de servicios.
Más de 800 redes de todo el mundo ya se han registrado en este canal, y hemos observado una gran colaboración en toda la comunidad para desmantelar los nodos de botnets.
Ayudamos a proteger Internet
Los ataques DDoS están aumentando rápidamente en sofisticación y tamaño, superando cifras que antes eran imaginables. En este panorama de las amenazas en constante evolución, muchas organizaciones tienen dificultades para adaptarse. Las organizaciones que actualmente dependen de dispositivos de mitigación locales o de centros de filtrado bajo demanda pueden verse beneficiadas si reevalúan su estrategia de defensa.
Cloudflare se dedica a ofrecer protección contra DDoS gratuita e ilimitada a todos sus clientes, independientemente del tamaño, la duración o el volumen de los ataques, aprovechando su vasta red global y sus sistemas autónomos de mitigación de DDoS.
Movidos por la misión de ayudar a proteger Internet, Cloudforce One aprovecha la telemetría de la red global de Cloudflare, que protege aproximadamente el 20 % de la web, para impulsar la investigación de amenazas y la respuesta operativa, protegiendo los sistemas críticos de millones de organizaciones en todo el mundo.