Cloudflare en el cuarto trimestre de 2025 sufrió un ataque DDoS récord de 31.4Tbps: duró solo 35 segundos, las "zombis" de Android TV se convirtieron en la fuerza principal de la botnet

IT之家 6 de febrero, según informa, el 5 de febrero, hora local, Cloudflare reveló la situación de los ataques DDoS en el cuarto trimestre y en todo 2025.

El informe señala que en 2025 el tamaño y la frecuencia de los ataques DDoS alcanzaron récords históricos: el total de ataques durante el año llegó a 47,1 millones, un aumento del 121% respecto al año anterior, y Cloudflare mitigó automáticamente en promedio 5,376 ataques DDoS por hora.

Al mismo tiempo, en 2025 también se produjo un incidente de DDoS de “máximo tamaño” conocido públicamente, con un pico de 31,4 Tbps, pero con una duración de solo 35 segundos.

El informe muestra que en 2025 se registraron 47,1 millones de ataques DDoS. En comparación con 2023, la cantidad acumulada de ataques entre 2023 y 2025 creció un 236%. En 2025, Cloudflare mitigó en promedio 5,376 ataques por hora, de los cuales 3,925 fueron ataques a nivel de red y 1,451 ataques DDoS HTTP.

Desde la perspectiva de la estructura de crecimiento, los ataques a nivel de red fueron la mayor fuente de incremento en 2025. Cloudflare indica que en 2025 mitigó 34,4 millones de ataques DDoS a nivel de red, frente a 11,4 millones en 2024, lo que representa más del doble en comparación anual y una tendencia de crecimiento “más de tres veces”.

Cloudflare reveló que, en 2025, aproximadamente 13,5 millones de estos ataques a nivel de red estaban dirigidos a la infraestructura global de internet que protege, incluyendo clientes de Cloudflare Magic Transit y la propia infraestructura de Cloudflare. Estos ataques formaron parte de una operación masiva de DDoS que duró 18 días en el primer trimestre de 2025.

De estos, 6,9 millones de ataques fueron dirigidos a clientes de Magic Transit, y otros 6,6 millones atacaron directamente a Cloudflare. La operación fue de múltiples vectores, incluyendo ataques SYN Flood, ataques DDoS generados por Mirai y ataques de amplificación SSDP.

Cloudflare afirmó que su sistema detectó y mitigó automáticamente estos ataques, y que solo al preparar el informe del primer trimestre de 2025 se dieron cuenta de la magnitud de la actividad.

El informe indica que en el cuarto trimestre de 2025, la cantidad de ataques DDoS aumentó un 31% respecto al trimestre anterior y un 58% respecto al mismo período del año anterior. En ese trimestre, los ataques a nivel de red representaron el 78% de todos los ataques DDoS. Aunque el número total de ataques DDoS HTTP se mantuvo estable, su “escala” se amplió significativamente.

Cloudflare afirmó que la intensidad de estos ataques alcanzó el nivel más alto desde la oleada de ataques HTTP/2 Rapid Reset en 2023, impulsada principalmente por la botnet Aisuru-Kimwolf.

La compañía denominó a una ronda de ataques intensivos en el cuarto trimestre de 2025 como “La noche antes de Navidad” (“The Night Before Christmas”).

Este ataque comenzó el 19 de diciembre de 2025, cuando la botnet Aisuru-Kimwolf lanzó un ataque DDoS HTTP a gran escala contra clientes e infraestructura de Cloudflare, con un pico de más de 20 millones de solicitudes por segundo (20 Mrps).

Cloudflare explicó que esa botnet está compuesta principalmente por televisores Android infectados con malware, con una estimación de entre 1 y 4 millones de dispositivos comprometidos, capaces de “paralizar infraestructura crítica, colapsar las defensas tradicionales de protección contra DDoS en la nube e incluso interrumpir las conexiones de redes nacionales completas”.

Durante esa operación, el sistema automatizado de Cloudflare detectó y mitigó un total de 902 ataques DDoS masivos (IT之家: un promedio de 53 por día), incluyendo:

• 384 ataques centrados en paquetes de datos
• 329 ataques centrados en ancho de banda
• 189 ataques centrados en solicitudes

Además, Cloudflare reveló que la intensidad media de estos ataques masivos fue de:

• 3 Bpps (mil millones de paquetes por segundo)
• 4 Tbps
• 54 Mrps

Y que los picos alcanzaron:

• 9 Bpps
• 24 Tbps
• 205 Mrps

Los ataques masivos en 2025 continuaron en aumento. Solo en el cuarto trimestre de ese año, la cantidad de estos ataques aumentó un 40% respecto al trimestre anterior.

Cloudflare afirmó que, a medida que aumentaba el número de ataques, también lo hacía su intensidad. Comparado con los ataques de gran escala a finales de 2024, la escala de los ataques en 2025 creció más del 700%. Uno de estos ataques alcanzó un pico de 31,4 Tbps y duró solo 35 segundos. La compañía aseguró que también fue detectado y mitigado por su sistema automatizado de defensa contra DDoS.

Desde una perspectiva sectorial, Cloudflare indicó que en 2025 los sectores más afectados por ataques DDoS fueron:

• Telecomunicaciones, Proveedores de Servicios y Operadores

Este ranking reemplazó a la industria de Tecnología de la Información y Servicios, que había sido la más afectada durante mucho tiempo.

Además, en tercer y cuarto lugar quedaron Gambling & Casinos y Gaming. El informe también señaló que los clientes que ofrecen servicios de IA generativa también sufrieron ataques masivos en gran escala.

Cloudflare afirmó que en el cuarto trimestre de 2025, las regiones más atacadas a nivel mundial incluyeron China, Alemania, Brasil y Estados Unidos, considerados “puntos calientes de larga data”; además, Hong Kong subió 12 posiciones y se convirtió en la segunda región más atacada a nivel global; Reino Unido subió 36 lugares y ahora ocupa la sexta posición; Vietnam ocupa el séptimo lugar, Azerbaiyán el octavo, India el noveno y Singapur el décimo.

En cuanto a los países y regiones de origen de los ataques, Cloudflare indicó que:

• Bangladesh se convirtió en la mayor fuente de ataques DDoS en el cuarto trimestre de 2025
• Ecuador subió al segundo lugar
• Indonesia cayó del primer puesto al tercero (tras haber sido líder durante un año consecutivo)
• Argentina subió 20 posiciones y se convirtió en la cuarta mayor fuente de ataques

En el nivel de redes de origen de los ataques (ASN), Cloudflare señaló que muchos ataques provienen de direcciones IP de plataformas de computación en la nube y proveedores de infraestructura en la nube, como DigitalOcean, Microsoft, Tencent, Oracle, Hetzner, entre otros.

El informe considera que esto refleja una fuerte relación entre los atacantes y los “recursos de máquinas virtuales de alquiler rápido y fácil”. Al mismo tiempo, las redes tradicionales de operadores de telecomunicaciones también representan una proporción significativa, principalmente en la región de Asia-Pacífico. Cloudflare enfatizó que los ataques modernos de DDoS suelen involucrar miles de ASN diferentes, mostrando una distribución altamente globalizada de nodos de botnets.

Cloudflare afirmó que, para ayudar a los proveedores de alojamiento, plataformas en la nube y ISP a identificar y eliminar IPs o cuentas abusivas, ofrece gratuitamente un DDoS Botnet Threat Feed. El informe indica que más de 800 redes en todo el mundo ya se han unido a esta fuente de inteligencia, logrando cierto éxito en colaboración comunitaria.

La compañía subrayó que la escala y la complejidad de los ataques DDoS están creciendo rápidamente, superando ampliamente lo que antes se podía imaginar. Para organizaciones que dependen de hardware local o centros de limpieza tradicionales, puede ser necesario reevaluar sus estrategias de defensa. Cloudflare afirmó que continuará ofreciendo protección contra DDoS gratuita e ilimitada a todos sus clientes, sin importar el tamaño, duración o volumen del ataque.