A mediados de mayo de 2025, Cloudflare bloqueó el mayor ataque DDoS jamás registrado, la friolera de 7,3 terabits por segundo (TB/s). Esto se produce poco después de la publicación de nuestro informe sobre las amenazas DDoS en el primer trimestre de 2025 el 27 de abril de 2025, en el que destacamos ataques que alcanzaron los 6,5 TB/s y los 4800 millones de paquetes por segundo (pps). El ataque de 7,3 TB/s es un 12 % mayor que nuestro récord anterior y 1 TB/s mayor que un ataque reciente del que informó el periodista especializado en ciberseguridad Brian Krebs en KrebsOnSecurity.
Nuevo récord mundial: Cloudflare bloquea de forma autónoma un ataque DDoS de 7,3 TB/s
El ataque se dirigió a un cliente de Cloudflare, un proveedor de alojamiento, que utiliza Magic Transit para defender su red IP. Los proveedores de alojamiento y la infraestructura crítica de Internet se han convertido cada vez más en blanco de ataques DDoS, tal y como indicamos en nuestro último informe sobre amenazas DDoS. A continuación se muestra una campaña de ataques de enero y febrero de 2025 que lanzó más de 13,5 millones de ataques DDoS contra la infraestructura de Cloudflare y los proveedores de alojamiento protegidos por Cloudflare.
Campaña de ataques DDoS contra la infraestructura de Cloudflare y los proveedores de alojamiento protegidos por Cloudflare
Comencemos con algunas estadísticas y luego profundizaremos en cómo nuestros sistemas detectaron y mitigaron este ataque.
Ataque de 7,3 TB/s entregó 37,4 terabytes en 45 segundos
37,4 terabytes no es una cifra asombrosa en las escalas actuales, pero transferir 37,4 terabytes en solo 45 segundos sí lo es. Es el equivalente a inundar tu red con más de 9350 películas HD de larga duración o a transmitir 7480 horas de vídeo de alta definición sin parar (eso es casi un año de maratones de visionado consecutivos) en solo 45 segundos. Si fuera música, estarías descargando alrededor de 9,35 millones de canciones en menos de un minuto, lo suficiente para mantener ocupado a un oyente durante 57 años seguidos. Piensa en hacer 12,5 millones de fotos de alta resolución con tu teléfono inteligente y nunca quedarte sin espacio de almacenamiento. Aunque hicieras una foto al día, estarías haciendo clic durante 4000 años, pero en 45 segundos.
El ataque DDoS sin precedentes de 7,3 TB/s entregó 37,4 TB en 45 segundos
El ataque bombardeó una media de 21 925 puertos de destino de una única dirección IP propiedad de nuestro cliente y utilizada por él, con un pico de 34 517 puertos de destino por segundo. El ataque también se originó desde una distribución similar de puertos de origen.
Distribución de los puertos de destino
El ataque de 7,3 TB/s fue un ataque DDoS multivector. Alrededor del 99,996 % del tráfico de ataque se clasificó como inundaciones UDP. Sin embargo, el 0,004 % restante, que representó 1,3 GB del tráfico de ataque, se identificó como ataques de reflexión QOTD, ataques de reflexión Echo, ataques de reflexión NTP, ataques de inundación UDP Mirai, inundaciones Portmap y ataques de amplificación RIPv1.
Vectores de ataque distintos de las inundaciones UDP
Desglose de los vectores de ataque
A continuación se presentan detalles sobre los diversos vectores de ataque observados en este incidente, cómo las organizaciones pueden evitar convertirse en objetivos de ataques de reflexión y amplificación, y recomendaciones sobre cómo defenderse de estos ataques mientras se evita el impacto en el tráfico legítimo. Los clientes de Cloudflare están protegidos contra estos ataques.
Ataques DDoS UDP
Tipo: inundación
Cómo funcionan: se envía un gran volumen de paquetes UDP a puertos aleatorios o específicos en la(s) dirección(es) IP de destino. Puede intentar saturar el enlace de Internet o sobrecargar sus dispositivos en línea con más paquetes de los que puedan gestionar.
Cómo defenderse: implementa protección contra DDoS basada en la nube, aplica limitación de velocidad inteligente al tráfico UDP y elimina por completo el tráfico UDP no deseado.
Cómo evitar un impacto no deseado: un filtrado excesivo puede interrumpir servicios UDP legítimos como VoIP, videoconferencias o juegos en línea. Aplica los umbrales con cuidado.
Ataques DDoS QOTD
Tipo: reflexión + amplificación
Cómo funcionan: abusa del protocolo Quote of the Day (QOTD), que escucha en el puerto UDP 17 y responde con una breve cita o mensaje. Los atacantes envían solicitudes QOTD a servidores expuestos desde una dirección IP suplantada, lo que provoca que las respuestas amplificadas inunden a la víctima.
Cómo evitar convertirse en objetivo de ataques de reflexión / amplificación: desactiva el servicio QOTD y bloquea el tráfico UDP en el puerto 17 en todos los servidores y firewalls.
Cómo defenderse: bloquea el tráfico entrante UDP en el puerto 17. Descarta picos anormales de solicitudes UDP de paquetes pequeños.
Cómo evitar un impacto no deseado: QOTD es un protocolo de diagnóstico / depuración obsoleto y no se utiliza en las aplicaciones modernas. Desactivarlo no debería tener ningún efecto negativo en los servicios legítimos.
Ataques DDoS Echo
Tipo: reflexión + amplificación
Cómo funcionan: explota el protocolo Echo (puerto UDP/TCP 7), que responde con los mismos datos que recibe. Los atacantes suplantan la dirección IP de la víctima, haciendo que los dispositivos reflejen los datos y amplifiquen el ataque.
Cómo prevenir convertirse en el objetivo de un ataque de reflexión / amplificación: desactiva el servicio Echo en todos los dispositivos. Bloquea el puerto UDP/TCP 7 en el perímetro.
Cómo defenderse: desactiva el servicio Echo y bloquea el puerto TCP/UDP 7 en el perímetro de la red.
Cómo evitar un impacto no deseado: Echo es una herramienta de diagnóstico obsoleta, su desactivación o bloqueo no tiene ningún efecto negativo en los sistemas modernos.
Ataques DDoS NTP
Tipo: reflexión + amplificación
Cómo funcionan: abusa del Protocolo de Tiempo de Red (NTP), utilizado para sincronizar relojes a través de Internet. Los atacantes explotan el comando monlist en servidores NTP antiguos (UDP/123), el cual devuelve una extensa lista de conexiones recientes. Las solicitudes falsificadas causan reflexiones amplificadas.
Cómo evitar convertirse en objetivo de ataques de reflexión / amplificación: actualiza o configura los servidores NTP para desactivar el comando monlist. Restringe las consultas NTP únicamente a direcciones IP de confianza.
Cómo defenderse: desactiva el comando monlist, actualiza el software NTP y filtra o limita la velocidad del tráfico UDP/123.
Cómo evitar un impacto no deseado: la desactivación de monlist no tiene ningún efecto en la sincronización horaria. Sin embargo, filtrar o bloquear el tráfico UDP en el puerto 123 podría afectar la sincronización del tiempo si se hace de manera demasiado amplia. Asegúrate de que solo se bloqueen las fuentes no fiables o externas.
Ataques UDP Mirai
Tipo: inundación
Cómo funcionan: la botnet Mirai, compuesta por dispositivos IoT expuestos, inunda a las víctimas utilizando paquetes UDP aleatorios o específicos de servicios (p. ej., DNS, servicios de juegos).
Cómo prevenir formar parte de la botnet: protege tus dispositivos IoT, cambia las contraseñas predeterminadas, actualiza al firmware más reciente y sigue las prácticas recomendadas de seguridad para IoT a fin de evitar formar parte de una botnet. Cuando sea posible, monitorea el tráfico saliente para detectar irregularidades.
Cómo defenderse: implementa protección contra DDoS basada en la nube y limitación de velocidad para el tráfico UDP.
Cómo evitar un impacto no deseado: primero, conoce tu red y el tipo de tráfico que recibes, específicamente los protocolos, sus orígenes y sus destinos. Identifica los servicios que se ejecutan sobre UDP y que deseas evitar que se vean afectados. Una vez identificados, puedes aplicar la limitación de velocidad de forma que se excluyan esos puntos finales o se tengan en cuenta tus niveles de tráfico habituales. De lo contrario, la limitación excesiva de velocidad del tráfico UDP puede afectar a su tráfico legítimo y a los servicios que se ejecutan sobre UDP, como las llamadas VoIP y el tráfico VPN.
Ataques DDoS Portmap
Tipo: reflexión + amplificación
Cómo funcionan: se dirige al servicio Portmapper (UDP/111) utilizado por las aplicaciones basadas en la llamada a procedimiento remoto (RPC) para identificar los servicios disponibles. Las solicitudes falsificadas generan respuestas reflejadas.
Cómo evitar convertirse en objetivo de ataques de reflexión / amplificación: desactiva el servicio Portmapper si no es necesario. Si se necesita internamente, restríngelo únicamente a direcciones IP de confianza.
Cómo defenderse: desactiva el servicio Portmapper si no lo necesitas, bloquea el tráfico UDP/111 entrante. Utiliza listas de control de acceso (ACL) o firewalls para restringir el acceso a los servicios RPC conocidos.
Cómo evitar un impacto no deseado: desactivar Portmapper puede interrumpir aplicaciones que dependen de RPC (p. ej., el protocolo de sistema de archivos de red). Valida las dependencias de servicio antes de su eliminación.
Ataques DDoS RIPv1
Tipo: reflexión + amplificación (baja)
Cómo funcionan: explota el protocolo de información de enrutamiento versión 1 (RIPv1), un antiguo protocolo de enrutamiento por vector de distancia no autenticado que utiliza UDP/520. Los atacantes envían actualizaciones de enrutamiento falsificadas para inundar o confundir las redes.
Cómo evitar convertirse en objetivo de ataques de reflexión / amplificación: desactiva RIPv1 en los enrutadores. Utiliza RIPv2 con autenticación donde se requiera el enrutamiento.
Cómo defenderse: bloquea el tráfico entrante UDP en el puerto 520 de redes que no sean de confianza. Supervisa las actualizaciones inesperadas de enrutamiento.
Cómo evitar un impacto no deseado: RIPv1 está prácticamente obsoleto, desactivarlo es generalmente seguro. Si los sistemas heredados dependen de él, verifica el comportamiento del enrutamiento antes de realizar cambios.
Todas las recomendaciones aquí deben considerarse en el contexto y comportamiento de cada red o aplicación única para evitar cualquier impacto no deseado en el tráfico legítimo.
El ataque se originó en más de 122 145 direcciones IP de origen que abarcaban 5433 sistemas autónomos (AS) en 161 países.
Casi la mitad del tráfico de ataque se originó en Brasil y Vietnam, con aproximadamente una cuarta parte cada uno. Otro tercio, en conjunto, se originó en Taiwán, China, Indonesia, Ucrania, Ecuador, Tailandia, Estados Unidos y Arabia Saudí.
Los 10 principales países de origen del tráfico de ataque
El número medio de direcciones IP de origen únicas por segundo fue de 26 855, con un pico de 45 097.
Distribución de direcciones IP de origen únicas
El ataque se originó en 5 433 redes (AS) diferentes. Telefônica Brasil (AS27699) representó la mayor parte de los ataques de tráfico DDoS, con un 10,5 % del total. Viettel Group (AS7552) le siguió de cerca con un 9,8 %, mientras que China Unicom (AS4837) y Chunghwa Telecom (AS3462) contribuyeron con un 3,9 % y un 2,9 % respectivamente. China Telecom (AS4134) representó el 2,8 % del tráfico. Los números de sistemas autónomos restantes entre los 10 principales, incluidos Claro NXT (AS28573), VNPT Corp (AS45899), UFINET Panama (AS52468), STC (AS25019) y FPT Telecom Company (AS18403), contribuyeron cada uno con entre el 1,3 % y el 1,8 % del tráfico total de ataques DDoS.
Los 10 principales sistemas autónomos de origen
Canal gratuito sobre amenazas de botnets
Para ayudar a los proveedores de alojamiento, a los proveedores de informática en la nube y a cualquier proveedor de acceso a Internet a identificar y eliminar las cuentas abusivas que lanzan estos ataques, aprovechamos la ventaja única de Cloudflare para proporcionar un canal gratuito sobre amenazas de botnet DDoS para proveedores de servicios. Más de 600 organizaciones de todo el mundo ya se han suscrito a este canal. Proporciona a los proveedores de servicios una lista de direcciones IP infractoras dentro de su sistema autónomo que detectamos como origen de ataques DDoS HTTP. Es completamente gratuito y todo lo que necesitas es abrir una cuenta gratuita de Cloudflare, autenticar el número de sistema autónomo a través de PeeringDB y luego obtener la información a través de la API.
Cómo se detectó y mitigó el ataque
Aprovechando la naturaleza distribuida de los ataques DDoS en su contra
La dirección IP atacada se anunció desde la red de Cloudflare mediante anycast global. Esto significa que los paquetes de ataque dirigidos a la IP se enrutaron al centro de datos de Cloudflare más cercano. El uso de anycast global nos permite distribuir el tráfico de ataque y aprovechar su naturaleza distribuida para contrarrestarlo, lo que nos deja mitigar cerca de los nodos de la botnet y seguir atendiendo a los usuarios desde los centros de datos más cercanos a ellos. En el caso de este ataque, se detectó y mitigó en 477 centros de datos en 293 ubicaciones de todo el mundo. En ubicaciones con mucho tráfico, contamos con presencia en varios centros de datos.
Detección y mitigación autónoma de DDoS
La red global de Cloudflare ejecuta todos los servicios en cada centro de datos. Esto incluye nuestros sistemas de detección y mitigación de DDoS. De este modo, los ataques se detectan y mitigan de forma totalmente autónoma, independientemente de su origen.
Huellas digitales en tiempo real
Cuando un paquete entra en nuestro centro de datos, se realiza un equilibrio de carga inteligente a un servidor disponible. A continuación, tomamos muestras de paquetes directamente desde las profundidades del kernel de Linux, desde la ruta de datos eXpress (XDP), utilizando un programa Berkley Packer Filter (eBPF) ampliado para enrutar las muestras de paquetes al espacio de usuario donde ejecutamos el análisis.
Nuestro sistema analiza las muestras de paquetes para identificar patrones sospechosos basándose en nuestro exclusivo motor heurístico llamado dosd (daemon de denegación de servicio). Dosd busca patrones en las muestras de paquetes, como encontrar similitudes en los campos del encabezado del paquete y detectar anomalías en los paquetes, además de aplicar otras técnicas propietarias.
Diagrama de flujo de la generación de huellas digitales en tiempo real
Para nuestros clientes, este complejo sistema de huellas digitales se resume en un grupo de reglas administradas fácil de usar, los conjuntos de reglas administradas de protección contra DDoS.
Cuando dosd detecta patrones, genera numerosas permutaciones de esas huellas digitales para encontrar la huella digital más precisa que tenga la mayor eficacia y precisión de mitigación, es decir, para intentar coincidir con precisión con el tráfico de ataque sin afectar al tráfico legítimo.
Diagrama de los sistemas de protección contra DDoS de Cloudflare
Contamos las distintas muestras de paquetes que coinciden con cada permutación de huellas digitales y, mediante un algoritmo de transmisión de datos, destacamos la huella digital con la mayor cantidad de coincidencias. Cuando se superan los umbrales de activación, para evitar falsos positivos, se compila una regla de mitigación que utiliza la sintaxis de la huella digital como un programa eBPF para descartar los paquetes que coinciden con el patrón de ataque. Una vez que finaliza el ataque, la regla expira y se elimina automáticamente.
Como mencionamos, cada servidor detecta y mitiga los ataques de manera completamente autónoma, lo que hace que nuestra red sea muy eficiente, resiliente y rápida en bloquear ataques. Además, cada servidor difunde (multidifunde) las principales permutaciones de huellas digitales dentro de un centro de datos y a nivel global. Este intercambio de información sobre amenazas en tiempo real ayuda a mejorar la eficacia de la mitigación dentro de un centro de datos y a nivel global.
Nuestros sistemas bloquearon con éxito este ataque DDoS récord de 7,3 TB/s de forma totalmente autónoma, sin necesidad de intervención humana, sin activar ninguna alerta y sin causar ningún incidente. Esto demuestra la efectividad de nuestros sistemas de protección contra DDoS líderes a nivel mundial. Desarrollamos este sistema como parte de nuestra misión de ayudar a mejorar Internet, comprometido a proporcionar protección contra DDoS gratuita e ilimitada.