Con un récord de 20.5 millones de ataques distribuidos de denegación de servicio (DDoS) evitados solo en el primer trimestre y aumentó un 358% durante el mismo período del año pasado, Cloudflare informó un aumento histórico en los ataques cibernéticos para lanzar 2025.
Este crecimiento explosivo es aproximadamente igual al número total de ataques que fueron mitigados en 2024, destacando escaladas dramáticas tanto en el volumen como en la intensidad de las amenazas de DDoS.
El aumento destaca un cambio dramático en el panorama de las amenazas globales a medida que los atacantes se lanzan más grandes, más sofisticados que nunca.
Ataque de medición ultraidos
En abril de 2025, el sistema de Cloudflare se detectó automáticamente, reduciendo el mayor ataque de tarifa de paquetes en los registros, alcanzando un máximo de 4,8 mil millones de paquetes por segundo (BPP).
El ataque masivo, que se originó en 147 países, fue parte de una campaña sostenida que incluyó una inundación por segundo (TBP), dirigida a proveedores de acogida con sede en Estados Unidos y coincide con los ataques de ancho de banda jamás publicados.
“La situación de la amenaza ha evolucionado dramáticamente en solo un cuarto”, dijo Cloudflare en su informe de amenaza DDOS para el primer trimestre de 2025.
“Hemos observado un aumento trimestral de más del 397% en los ataques de capa de red, con aproximadamente 700 ataques de medición ultra volumen superiores a 1 TBP o 1 BPP”.
Vector de ataque y amplificación
El informe identifica las inundaciones de SYN como el vector de ataque más común, seguido de las inundaciones del DNS y los ataques generadores de Mirai.
Las inundaciones SYN aprovechan el mecanismo de apretón de manos TCP de 3 vías enviando numerosas solicitudes de conexión utilizando direcciones IP de origen falsificadas, dejando la mitad de las conexiones abiertas para drenar los recursos al servidor.
Los administradores del sistema pueden implementar protección utilizando reglas iptables como:
Otra tendencia es un aumento del 3,488% en los ataques de reflejo/amplificación CLDAP. CLDAP (Protocolo de acceso de directorio liviano sin conexión) usa UDP en lugar de TCP, lo que permite a los atacantes falsificar la dirección IP de origen con pequeñas consultas que desencadenan una gran respuesta a la víctima.
El informe revela que Alemania se ha convertido en el país más atacado, pero la industria del juego y el casino saltó hacia la industria más específica.
Hong Kong surgió como una importante causa del tráfico de ataques, y Hetzner (AS24940) siguió siendo la mayor fuente de ataques DDoS HTTP entre los sistemas autónomos.
A pesar del dramático aumento de los ataques de medición ultra volumen, la mayoría de los ataques siguen siendo relativamente pequeños, con el 99% de los ataques de DDoS de 3/4 de capa son menos de 1 Gbps y 1 MPP.
Sin embargo, incluso estos pequeños ataques pueden abrumar fácilmente los servidores no garantizados y los enlaces de red.
Igualmente notable es la brevedad de la mayoría de los ataques. El 89% de los ataques de capa de red y el 75% de los ataques DDoS HTTP que terminaron en 10 minutos.
El ataque récord de 4.8 bpps duró solo 35-45 segundos, resaltando constantemente la necesidad de protección automatizada.
“Los paisajes de amenazas actuales no dejan tiempo para la intervención humana”, dijeron los investigadores.
“La detección y la mitigación siempre deben estar en línea y en línea automatizadas, con suficiente capacidad y cobertura global para manejar el tráfico de ataque junto con el tráfico máximo legítimo”.
Para combatir estas amenazas, Cloudflare ofrece a los proveedores de servicios una alimentación gratuita de amenaza de DDOS Botnet. Más de 600 organizaciones en todo el mundo lo usan para identificar y eliminar cuentas abusivas que lanzan ataques DDoS desde sus redes.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
