En diciembre de 2025 se registró uno de los ataques DDoS más potentes documentados hasta la fecha. El botnet Aisuru, también conocido como Kimwolf, generó un pico de tráfico de 31,4 Tbps y hasta 200 millones de peticiones HTTP por segundo, afectando principalmente a operadores de telecomunicaciones y a la propia infraestructura de Cloudflare, uno de los mayores proveedores de servicios de mitigación DDoS del mundo.
Escalada de potencia: del récord anterior a los 31,4 Tbps
Aisuru ya figuraba en informes de ciberseguridad como uno de los botnets DDoS más peligrosos. Se le atribuye un récord previo de ataque de 29,7 Tbps, así como una campaña anterior de 15,72 Tbps vinculada por Microsoft, en la que participaron aproximadamente 500 000 direcciones IP únicas. Este nuevo episodio confirma una evolución sostenida de su capacidad de ataque.
El salto de 29,7 a 31,4 Tbps, manteniendo al mismo tiempo una intensidad extremadamente alta de peticiones HTTP, indica que el botnet se ha reforzado con nuevos dispositivos comprometidos y con técnicas más eficientes de generación de tráfico. Esta tendencia encaja con los informes de organismos como ENISA y proveedores como Cloudflare y Akamai, que desde hace años alertan de un crecimiento constante tanto en volumen como en complejidad de los ataques DDoS a gran escala.
Campaña “Noche antes de Navidad”: objetivo, timing y táctica
Cloudflare describió la operación como una campaña coordinada de gran alcance, centrada en operadores de telecomunicaciones y empresas tecnológicas. Por la franja horaria en que comenzó —la noche del 18 al 19 de diciembre de 2025— fue bautizada internamente como “Noche antes de Navidad”, un momento en el que muchas organizaciones cuentan con plantillas reducidas y menor capacidad de respuesta.
Un elemento especialmente crítico fue que no solo se atacó a los clientes de Cloudflare, sino también a su propia consola de gestión y a componentes internos de su infraestructura. Este enfoque pretende saturar simultáneamente los servicios de protección y los sistemas de los clientes, buscando romper varios niveles de defensa y dificultar las maniobras de mitigación en tiempo real.
La campaña se caracterizó por ataques extremadamente breves y muy intensos. Más de la mitad de los eventos duraron entre uno y dos minutos, y solo un pequeño porcentaje (en torno al 6%) se prolongó más. Aproximadamente el 90% de los ataques alcanzó anchos de banda de entre 1 y 5 Tbps, y cerca de un 94% generó entre 1 y 5 mil millones de paquetes por segundo. Esta táctica de “golpes relámpago” complica la detección, especialmente cuando las organizaciones dependen de procesos manuales o sistemas de alerta poco afinados.
Ataques HTTP DDoS y capa 4: impacto en aplicaciones y red troncal
La operación combinó ataques HTTP DDoS de gran volumen (capa de aplicación, L7) con ataques de capa 4 (L4) focalizados en la infraestructura de red. En los HTTP DDoS, los atacantes inundan los servidores web y APIs con enormes cantidades de peticiones aparentemente legítimas: cada solicitud puede ser válida, pero el volumen total agota recursos de CPU, memoria y conexiones.
Las ataques L4 (principalmente sobre TCP y UDP) actúan a un nivel inferior, saturando el ancho de banda y el equipamiento de red con tráfico masivo. Con picos de 31,4 Tbps, el riesgo no se limita a dejar fuera de servicio aplicaciones concretas, sino a comprometer segmentos completos de la red troncal de los proveedores, afectando a múltiples servicios y clientes.
La combinación de ataques a capa 4 y capa 7 es una estrategia cada vez más frecuente: primero se presionan los enlaces y routers, y a continuación se intenta colapsar las aplicaciones que aún sigan en pie. La defensa eficaz exige una arquitectura de mitigación multinivel, que incluya filtrado upstream en los operadores, scrubbing centers y soluciones específicas de protección DDoS tanto perimetrales como en la nube.
Del IoT a Android TV: nueva anatomía del botnet Aisuru
Históricamente, Aisuru se asociaba sobre todo con redes de dispositivos IoT vulnerables y routers domésticos comprometidos. En la campaña “Noche antes de Navidad”, los análisis de tráfico revelaron un cambio significativo: una parte sustancial del volumen atacante procedía de dispositivos basados en Android TV, como televisores inteligentes y set-top boxes.
Desde la óptica de ciberseguridad, este desplazamiento es coherente con la evolución del ecosistema doméstico conectado. Los dispositivos Android TV suelen:
- permanecer siempre conectados a Internet con buena capacidad de subida;
- recibir pocas actualizaciones de seguridad por parte del usuario;
- mantener configuraciones predecibles y servicios expuestos;
- utilizar contraseñas por defecto o débiles, fáciles de explotar.
Al combinarse estas características con procesadores relativamente potentes, Android TV se convierte en un vector ideal para construir botnets DDoS de alta capacidad. Este patrón recuerda a casos como Mirai, pero con dispositivos más robustos y anchos de banda mayores, lo que multiplica el impacto potencial.
Cómo prepararse para ataques DDoS de más de 30 Tbps
El ataque de Aisuru refuerza una conclusión clara: los firewalls tradicionales y las soluciones aisladas ya no bastan frente a campañas DDoS de decenas de Tbps. Las organizaciones de sectores críticos —telecomunicaciones, finanzas, comercio electrónico, gaming, servicios cloud— deberían adoptar un enfoque integral que incluya:
- Alianzas con operadores de red: definir procedimientos de upstream filtering y desvío de tráfico a centros de limpieza (scrubbing) antes de que el flujo malicioso alcance la infraestructura corporativa.
- Servicios especializados de protección DDoS: soluciones con capacidad de análisis en tiempo real para capas L3/L4 y L7, perfiles de tráfico basados en comportamiento y activación automática ante anomalías.
- Simulacros y pruebas periódicas: ejercicios de estrés y escenarios de ataque controlados que permitan evaluar tiempos de reacción, funcionamiento de alertas y coordinación entre equipos técnicos y de negocio.
- Refuerzo de la seguridad IoT y de dispositivos “smart”: inventario de activos conectados, cambio sistemático de contraseñas por defecto, actualización de firmware y segmentación de la red para aislar dispositivos de alto riesgo.
- Plan de continuidad de negocio (BCP): estrategias claras de alta disponibilidad, uso de multi-cloud, balanceo geográfico y canales de comunicación alternativos con clientes y socios en caso de degradación del servicio.
El aumento de la capacidad de los ataques DDoS hasta decenas de Tbps y la incorporación masiva de nuevos tipos de dispositivos —de routers a Android TV— indican que estos incidentes se están convirtiendo en una constante del entorno digital. Las organizaciones para las que la disponibilidad online es crítica deben tratar la defensa DDoS como un proceso continuo de gestión de riesgos, no como una inversión puntual. Iniciar cuanto antes la construcción de una arquitectura de protección por capas, apoyada por procedimientos claros y formación del personal, reduce de forma decisiva la probabilidad de que la próxima gran campaña DDoS tenga como protagonista negativa la infraestructura de la propia empresa.
