Cloudflare detecta un auge en ataques DDoS hipervolumétricos pese a la caída del volumen total en Q2 2025

Introducción

El panorama de amenazas de ciberseguridad sigue evolucionando de forma vertiginosa, y los ataques de denegación de servicio distribuido (DDoS) se mantienen como una de las tácticas preferidas por actores maliciosos para interrumpir servicios críticos. En el segundo trimestre de 2025, Cloudflare ha publicado nuevas métricas que revelan una tendencia llamativa: aunque el número total de ataques DDoS mitigados ha disminuido considerablemente respecto al trimestre anterior, el volumen y la sofisticación de los ataques hipervolumétricos se han disparado. Este fenómeno plantea nuevos retos tanto para los equipos de defensa como para la continuidad de negocio de organizaciones de todos los sectores.

Contexto del Incidente

Según el informe trimestral presentado por Cloudflare, la compañía mitigó 7,3 millones de ataques DDoS entre abril y junio de 2025, cifra que supone una caída del 64% respecto a los 20,5 millones de ataques reportados en el primer trimestre del año. No obstante, esta reducción cuantitativa contrasta con el alarmante aumento de los denominados ataques hipervolumétricos, aquellos que superan con creces los límites convencionales de tráfico y capacidad de absorción de la mayoría de infraestructuras.

En concreto, Cloudflare detalla que bloqueó más de 6.500 ataques de este tipo en el periodo analizado, lo que supone una media de 71 ataques hipervolumétricos diarios. Esta evolución apunta a un cambio de estrategia por parte de los atacantes, que priorizan la calidad y el impacto de los ataques sobre la cantidad, utilizando recursos cada vez más potentes y distribuidos.

Detalles Técnicos

Los ataques DDoS observados incluyen variantes volumétricas, de capa 7 (HTTP), y ataques combinados que explotan múltiples vectores simultáneamente. En cuanto a los ataques hipervolumétricos, se han detectado ráfagas que alcanzan picos superiores a los 2 Tbps, muy por encima de la capacidad de defensa de muchas organizaciones, especialmente PYMEs y entidades con infraestructuras heredadas.

El informe de Cloudflare señala la prevalencia de técnicas como UDP reflection, SYN flood y HTTP/2 Rapid Reset (CVE-2023-44487) en los ataques más recientes. El uso de botnets IoT – muchas de ellas construidas a partir de dispositivos vulnerables no parcheados, como cámaras IP y routers domésticos – sigue siendo fundamental en la capacidad de amplificación y dispersión global de los ataques.

En términos de MITRE ATT&CK, los TTPs predominantes se alinean con las técnicas T1499 (Endpoint Denial of Service) y T1498 (Network Denial of Service), así como con componentes de evasión como el uso de proxies y redirecciones para dificultar la atribución y mitigación. Los Indicadores de Compromiso (IoC) más habituales incluyen direcciones IP de orígenes dispersos, patrones de tráfico anómalos y ráfagas coordinadas en horarios inusuales.

Impacto y Riesgos

El impacto potencial de estos ataques hipervolumétricos es significativo. Según estimaciones recientes, una interrupción de servicios críticos debido a un DDoS puede suponer pérdidas económicas de entre 50.000 y 300.000 euros por hora para empresas medianas y grandes, sin contar daños reputacionales y posibles sanciones regulatorias (por ejemplo, bajo el RGPD o la inminente directiva NIS2 para operadores de servicios esenciales y proveedores de servicios digitales).

Además, las campañas DDoS suelen aprovecharse como cortinas de humo para ataques más sofisticados, como intrusiones en la red interna, robo de credenciales o despliegue de ransomware, lo que incrementa el nivel de riesgo para la organización atacada.

Medidas de Mitigación y Recomendaciones

Cloudflare recomienda varias medidas técnicas y organizativas para mitigar el riesgo asociado a estos ataques:

– Implementar soluciones de protección DDoS a nivel de red y aplicación, preferiblemente en modo always-on y con capacidad de absorción cloud.
– Monitorizar el tráfico en tiempo real y establecer alertas automáticas ante patrones anómalos o picos repentinos.
– Configurar reglas específicas en firewalls y WAFs para bloquear solicitudes sospechosas y limitar el rate de peticiones por IP.
– Actualizar y parchear todos los dispositivos expuestos, especialmente los relacionados con IoT, para evitar su uso como zombis en botnets.
– Desplegar estrategias de redundancia y balanceo de carga para mitigar el impacto de eventuales caídas.

Opinión de Expertos

Varios analistas de ciberseguridad consultados por este medio coinciden en que la evolución hacia ataques menos frecuentes pero mucho más potentes responde a la creciente profesionalización de los grupos criminales y al acceso masivo a servicios DDoS-as-a-Service en foros clandestinos. “La tendencia es clara: veremos menos ataques, pero con un potencial de daño mucho mayor, y cada vez más orientados a sectores críticos”, señala un CISO de una multinacional del sector financiero.

Implicaciones para Empresas y Usuarios

Para los responsables de seguridad, este cambio de paradigma implica revisar los modelos de riesgo y adaptar los planes de respuesta a incidentes. La inversión en defensa perimetral ya no es suficiente: es necesario contar con capacidades de detección avanzada, respuesta automatizada y colaboración con proveedores de servicios de mitigación. Además, la concienciación del usuario final sigue siendo clave para evitar la explotación de dispositivos vulnerables.

Conclusiones

El informe de Cloudflare evidencia que, aunque el volumen total de ataques DDoS ha descendido, la amenaza está lejos de remitir. Los ataques hipervolumétricos representan un desafío técnico y organizativo de primer orden, especialmente de cara a la obligatoriedad de cumplimiento normativo bajo NIS2 y RGPD. Las organizaciones deben adoptar un enfoque holístico y proactivo en protección DDoS, combinando tecnología, procesos y formación para minimizar riesgos y garantizar la resiliencia operativa.

(Fuente: feeds.feedburner.com)