Te damos la bienvenida a la 21.ª edición del informe sobre amenazas DDoS de Cloudflare. Este informe, que se publica cada trimestre, ofrece un análisis exhaustivo de la evolución del panorama de amenazas de los ataques de denegación de servicio distribuido (DDoS) basado en los datos de la red de Cloudflare. En esta edición, nos centramos en el 1.er trimestre de 2025. Para consultar informes anteriores, visita www.ddosreport.com.
Aunque este informe se centra principalmente en el 1.er trimestre de 2025, también incluye los datos de última hora de una campaña DDoS hipervolumétrica observada en abril de 2025, que incluyó algunos de los mayores ataques jamás divulgados públicamente. En una oleada histórica de actividad, bloqueamos el ataque de velocidad de paquetes más potente registrado, con un pico de 4800 millones de paquetes por segundo, un 52 % más que la referencia anterior. Aparte, protegimos contra un ataque masivo de 6,5 terabits por segundo (TB/s), igualando los ataques de mayor ancho de banda jamás registrados.
Perspectivas clave sobre los ataques DDoS
En el 1.er trimestre de 2025, Cloudflare bloqueó 20,5 millones de ataques DDoS. Esta cifra representa un aumento interanual del 358 % y del 198 % en términos intertrimestrales.
Alrededor de un tercio de ellos, 6,6 millones, se dirigieron directamente a la infraestructura de red de Cloudflare, como parte de una campaña de ataques multivector de 18 días.
Además, en el 1.er trimestre de 2025, Cloudflare bloqueó aproximadamente 700 ataques DDoS hipervolumétricos que superaron 1 TB/s o 1000 millones de paquetes por segundo, una media de unos 8 ataques al día.
Todos los ataques fueron bloqueados por nuestras defensas autónomas.
Para obtener más información sobre los ataques DDoS y otros tipos de ciberamenazas, consulta nuestro Centro de aprendizaje. Visita Cloudflare Radar para ver este informe en su versión interactiva, y consultar más detalles. Hay una API gratuita para aquellos interesados en investigar las tendencias de Internet. Asimismo, puedes obtener más información sobre las metodologías utilizadas en la preparación de estos informes.
En el 1.er trimestre de 2025, bloqueamos 20,5 millones de ataques DDoS. En comparación, durante el año natural 2024, impedimos 21,3 millones de ataques DDoS. Solo en el último trimestre, hemos bloqueado el 96 % de lo que bloqueamos en 2024.
El aumento más significativo se produjo en los ataques DDoS a la capa de red. En el 1.er trimestre de 2025, bloqueamos 16,8 millones de ataques DDoS a la capa de red. Esto supone un repunte intertrimestral del 397 % y del 509 % en términos interanuales. Los ataques DDoS HTTP también aumentaron, en concreto un 7 % con respecto al trimestre anterior y un 118 % frente al mismo periodo del año anterior.
Contamos los ataques DDoS basándonos en huellas digitales únicas en tiempo real generadas por nuestros sistemas. En algunos casos, un solo ataque o campaña puede generar múltiples huellas digitales, especialmente cuando se aplican diferentes estrategias de mitigación. Aunque esto puede dar lugar ocasionalmente a recuentos más elevados, la métrica ofrece un sólido indicador general de la actividad de los ataques durante un periodo determinado.
Los ataques tienen como objetivo la red de Cloudflare y la infraestructura de Internet
De los 20,5 millones de ataques DDoS bloqueados en el 1.er trimestre, 16,8 millones fueron ataques DDoS a la capa de red, y de ellos, 6,6 millones se dirigieron directamente a la infraestructura de red de Cloudflare. Otros 6,9 millones se dirigieron a proveedores de alojamiento y proveedores de servicios protegidos por Cloudflare.
Estos ataques formaban parte de una campaña DDoS multivector de 18 días de duración que incluía ataques de inundación SYN, ataques DDoS generados por Mirai y ataques de amplificación SSDP, por nombrar algunos. Estos, al igual que los 20,5 millones de ataques, fueron detectados y bloqueados de forma autónoma por nuestras defensas contra DDoS.
En el gráfico siguiente, los conjuntos diarios de ataques contra Cloudflare están representados por la línea azul, y los otros colores representan los distintos proveedores de alojamiento y proveedores de acceso a Internet que utilizan el servicio Magic Transit de Cloudflare que fueron atacados simultáneamente.
Ataques DDoS HTTP hipervolumétricos
Los ataques DDoS hipervolumétricos son ataques que superan los 1-2 TB/s o los 1000 millones de paquetes por segundo. En el 1.er trimestre de 2025, bloqueamos más de 700 de estos ataques. Aproximadamente 4 de cada 100 000 ataques DDoS a la capa de red fueron hipervolumétricos. Los ataques DDoS hipervolumétricos suelen producirse a través de UDP.
Los ataques hipervolumétricos continúan en el 2º trimestre
Aunque este informe se centra principalmente en el 1.er trimestre de 2025, creemos que es importante destacar también los ataques DDoS hipervolumétricos sin precedentes que continuaron en el segundo trimestre. Por ello, hemos incluido información inicial de esa campaña.
En la segunda quincena de abril de 2025, los sistemas de Cloudflare detectaron y bloquearon automáticamente docenas de ataques DDoS hipervolumétricos como parte de una intensa campaña. Los mayores ataques alcanzaron un máximo de 4800 millones de paquetes por segundo y 6,5 TB/s. Estos picos masivos solían durar entre 35 y 45 segundos. Con una velocidad de 6,5 TB/s, este ataque iguala al mayor ataque DDoS divulgado públicamente hasta la fecha. El ataque de 4800 millones de paquetes por segundo es el mayor jamás conocido desde el punto de vista de la intensidad de paquetes, aproximadamente un 52 % mayor que el récord anterior de 3150 millones de paquetes por segundo.
Los ataques se originaron en 147 países y se dirigieron a varias direcciones IP y puertos de un proveedor de alojamiento que está protegido por Cloudflare Magic Transit. Todos los ataques fueron bloqueados con éxito por la red de Cloudflare.
La mayoría de los clientes de Cloudflare encuestados que fueron objetivo de ataques DDoS declararon que no sabían quién los había atacado. Los que sí lo sabían señalaron a sus competidores como los principales responsables (39 %), cifra similar a la del trimestre pasado. Es algo bastante común en el sector de los videojuegos y apuestas.
Otro 17 % afirmó de que detrás del ataque se encontraba un ciberdelincuente de estado-nación o financiado por el estado, y un porcentaje similar declaró que un usuario o cliente insatisfecho era el responsable del ataque.
Otro 11 % indicó que se había autoinfligido por error el ataque DDoS (autoDDoS) y un porcentaje similar afirmó que un extorsionador era el autor de los ataques. El 6 % confirmó que los ataques los lanzaron empleados descontentos o antiguos empleados.
Anatomía de un ataque DDoS
En la capa de red, la inundación SYN sigue siendo el vector de ataque DDoS a la capa 3/4 más común, seguido de los ataques de inundación de DNS. Los ataques DDoS lanzados por Mirai ocupan el tercer lugar, desbancando a los ataques de inundación UDP.
En el ámbito HTTP, más del 60 % de los ataques se identificaron y bloquearon como botnets conocidas, el 21 % fueron ataques con atributos HTTP sospechosos, otro 10 % fueron lanzados por botnets que suplantaban navegadores, y el 8 % restante fueron inundaciones genéricas, ataques de patrones de solicitud inusuales y ataques de inundación HTTP que utilizan variaciones de consulta para eludir el almacenamiento en caché.
En el 1.er trimestre de 2025, observamos un aumento intertrimestral del 3488 % en los ataques de reflexión / amplificación CLDAP. CLDAP (protocolo ligero de acceso a directorios sin conexión) es una variante de LDAP (protocolo de acceso ligero a directorios), que se utiliza para consultar y modificar los servicios de directorio que se ejecutan en redes IP. CLDAP funciona sin conexión, ya que utiliza el protocolo UDP en lugar del TCP, lo que lo hace más rápido, pero menos fiable. Como utiliza el protocolo UDP, no es necesario un protocolo de enlace, lo que permite a los atacantes falsificar la dirección IP de origen y, por lo tanto, explotarla como vector de reflexión. En estos ataques, se envían pequeñas consultas con una dirección IP de origen falsificada (la IP de la víctima), lo que provoca que los servidores envíen respuestas voluminosas a la víctima para abrumarla. La mitigación implica filtrar y controlar el tráfico CLDAP inusual.
También observamos un incremento intertrimestral del 2301 % en los ataques de reflexión / amplificación ESP. El protocolo ESP (carga útil de seguridad encapsulada) forma parte de IPsec y garantiza la confidencialidad, la autenticación y la integridad de las comunicaciones de red. Sin embargo, se puede utilizar indebidamente en ataques DDoS si los ciberdelincuentes aprovechan sistemas mal configurados o vulnerables para reflejar o amplificar el tráfico hacia un objetivo para lograr interrumpir los servicios. Al igual que otros protocolos, para mitigar los riesgos de ataques DDoS es imprescindible proteger y configurar adecuadamente los sistemas que utilizan el protocolo ESP.
Tamaño y duración del ataque
A pesar del aumento de los ataques volumétricos, la mayoría de los ataques DDoS son pequeños. En el 1.er trimestre de 2025, el 99 % de los ataques DDoS a las capas 3/4 fueron inferiores a 1 GB/s y 1 millón de paquetes por segundo. Del mismo modo, el 94 % de los ataques DDoS HTTP fueron de 1 millón de solicitudes por segundo. Sin embargo, "pequeño" es un término relativo y la mayoría de las propiedades de Internet no podrían resistir ni siquiera esos ataques modestos, ya que pueden inundar fácilmente los enlaces de Internet sin proteger y bloquear los servidores desprotegidos.
Además, la mayoría de los ataques son de muy corta duración. El 89 % de los ataques DDoS a las capas 3/4 y el 75 % de los ataques DDoS HTTP finalizan en 10 minutos. Incluso los ataques DDoS hipervolumétricos más grandes y sin precedentes pueden ser muy breves, como el ataque de 35 segundos que se ve en los ejemplos anteriores. 35 segundos, o incluso 10 minutos, no es tiempo suficiente para la mitigación manual o para activar una solución bajo demanda. Para cuando un analista de seguridad recibe la alerta y analiza el ataque, este ya ha terminado Aunque los ataques pueden ser muy breves, el efecto indirecto del ataque provoca fallos en la red y en las aplicaciones de los que puede levar días recuperarse, todo ello mientras los servicios están inactivos o degradados. El panorama actual de las amenazas no deja tiempo para la intervención humana. La detección y la mitigación deben estar siempre activas, en línea y automatizadas, con capacidad y cobertura global suficientes para gestionar el tráfico de ataque junto con el tráfico legítimo en las horas punta.
Por otro lado, se duplicó el porcentaje de ataques DDoS HTTP hipervolumétricos que superaron 1 millón de solicitudes por segundo. En el 1.er trimestre de 2025, 6 de cada 100 ataques DDoS HTTP superaron 1 millón de solicitudes por segundo. En la capa de red, 1 de cada 100 000 ataques superó 1 TB/s o 1000 millones de paquetes por segundo.
Un ejemplo de ataque de este tipo se dirigió a un cliente de Cloudflare Magic Transit. El propio cliente es un proveedor de alojamiento con sede en Estados Unidos que ofrece servidores web, servidores de VoIP y servidores de videojuegos entre sus soluciones. Este ataque específico se dirigió al puerto 27015. Este puerto se suele asociar con servidores de videojuegos multijugador, especialmente con los videojuegos con motor Source de Valve, como Counter-Strike: Global Offensive (CS:GO), Team Fortress 2, Garry's Mod, Left 4 Dead y Half-Life 2: Deathmatch.
Se utiliza para la conexión del servidor del juego, lo que permite a los clientes conectarse al servidor para jugar en línea. En muchos casos, este puerto está abierto tanto para UDP como para TCP, según el juego y el tipo de comunicación que esté realizando. Este cliente fue blanco de varios ataques volumétricos que Cloudflare bloqueó de forma autónoma.
Ubicaciones más afectadas por los ataques
En el 1.er trimestre de 2025 se produjo un cambio significativo en la clasificación de las 10 ubicaciones más afectadas a nivel mundial. Alemania protagonizó un salto notable, ya que subió cuatro puestos, convirtiéndose en el país más afectado. En segundo lugar, Turquía también escaló 11 puestos. En tercer lugar, China, descendió dos puestos en comparación con el trimestre anterior, mientras que Hong Kong mantuvo la misma posición. India subió cuatro puestos, y Brasil se mantuvo igual. Taiwán descendió cuatro posiciones. Filipinas experimentó el mayor descenso, ya que cayó 6 puestos. Sin embargo, Corea del Sur e Indonesia subieron dos puestos cada uno.
Sectores más afectados por los ataques
Los 10 sectores más afectados en el 1.er trimestre de 2025 experimentaron algunos cambios notables. El sector de las apuestas y los casinos subió cuatro puestos como el sector más afectado, mientras que el sector de las telecomunicaciones, los proveedores de servicios y los operadores descendieron un puesto. Los sectores de tecnologías y servicios de la información e Internet experimentaron fluctuaciones menores, subiendo uno y bajando dos puestos, respectivamente. Los sectores de videojuegos y servicios bancarios y financieros escalaron un punto, mientras que el sector de la ciberseguridad protagonizó un enorme salto de 37 puestos respecto al trimestre anterior. El comercio minorista descendió un puesto, mientras que el sector de la fabricación, la maquinaria, la tecnología y la ingeniería aumentó 28 puestos. El sector de las aerolíneas, la aviación y el sector aeroespacial experimentó el mayor salto de todos, 40 posiciones, lo que lo convirtió en el décimo sector más afectado.
Principales orígenes de los ataques
La clasificación de los 10 principales orígenes de los ataques DDoS en el 1.er trimestre de 2025 también cambió notablemente. Hong Kong ascendió a la posición número uno, escalando tres puestos desde el trimestre anterior. Indonesia descendió al segundo puesto, mientras que Argentina subió dos puestos hasta el tercero. Singapur descendió dos puestos, hasta el cuarto, y Ucrania cayó uno, hasta el quinto. Brasil dio un salto sorprendente, escaló siete posiciones hasta el sexto lugar, seguido de cerca por Tailandia, que también subió siete posiciones hasta ocupar el séptimo puesto en la lista de los 10 principales orígenes de los ataques. Alemania también escaló dos posiciones hasta ocupar el octavo puesto en la lista. El ascenso más espectacular fue el de Vietnam, que saltó 15 puestos hasta ocupar el noveno lugar, mientras que Bulgaria completó la lista descendiendo dos puestos hasta el décimo.
Principales ASN de origen
Un ASN (número de sistema autónomo) es un identificador único asignado a una red o grupo de redes IP que operan bajo una única política de enrutamiento en Internet. Se utiliza para intercambiar información de enrutamiento entre sistemas que utilizan protocolos como BGP (protocolo de puerta de enlace de frontera).
Al observar el origen de los ataques DDoS, específicamente los ataques DDoS HTTP, vemos algunos sistemas autónomos que destacan. En el primer trimestre de 2025, Hetzner (AS24940), con sede en Alemania, mantuvo su posición como la mayor origen de ataques DDoS HTTP. Le siguió OVH (AS16276), con sede en Francia, en segundo lugar, DigitalOcean (AS14061), en tercer lugar, y otro proveedor con sede en Alemania, Contabo (AS51167), en cuarto lugar.
Otras fuentes importantes fueron ChinaNet Backbone (AS4134) y Tencent (AS132203), con sede en China, Drei (AS200373), con sede en Austria, y tres proveedores con sede en Estados Unidos para completar la lista de los 10 primeros: Microsoft (AS8075), Oracle (AS31898) y Google Cloud Platform (AS396982). La mayoría de las redes de esta clasificación son proveedores de alojamiento o de informática en la nube muy conocidos, lo que pone de manifiesto cómo se aprovecha con frecuencia la infraestructura en la nube, ya sea de forma intencionada o mediante explotación, para lanzar ataques DDoS.
Para ayudar a los proveedores de alojamiento, a los proveedores de informática en la nube y a cualquier proveedor de acceso a Internet a identificar y eliminar las cuentas abusivas que lanzan estos ataques, aprovechamos la ventaja única de Cloudflare para proporcionar un canal gratuito sobre amenazas de botnet DDoS para proveedores de servicios. Más de 600 organizaciones de todo el mundo ya se han suscrito a este canal. Proporciona a los proveedores de servicios una lista de direcciones IP infractoras dentro de su ASN que hemos visto lanzar ataques HTTP DDoS. Es completamente gratuito y todo lo que necesitas es abrir una cuenta gratuita de Cloudflare, autenticar el ASN a través de PeeringDB y luego obtener la información sobre amenazas a través de la API.
Ayudamos a mejorar Internet
La misión de Cloudflare es ayudar a mejorar Internet. Una parte clave de ese compromiso es ofrecer protección gratuita contra los ataques DDoS, así como brindar a la comunidad de Internet herramientas gratuitas para ayudar a otras redes a detectar y desmantelar las botnets que operan dentro de su infraestructura.
A medida que el panorama de las amenazas sigue evolucionando, observamos que muchas organizaciones siguen adoptando la protección contra DDoS solo después de sufrir un ataque o dependen de soluciones obsoletas bajo demanda. Por el contrario, nuestros datos muestran que aquellos con estrategias de seguridad proactivas son mucho más resilientes. Por eso nos centramos en la automatización y en un enfoque de seguridad integral, siempre activo y en línea para anticiparnos a las amenazas existentes y emergentes.
Gracias al respaldo de nuestra red global de 348 TB/s de capacidad que abarca 335 ciudades, seguimos dedicados a ofrecer protección contra DDoS ilimitada, independientemente del tamaño, la duración o la frecuencia de los ataques.