El botnet Aisuru se ha consolidado como una de las amenazas DDoS más potentes registradas hasta la fecha. De acuerdo con el último informe de Cloudflare, en apenas tres meses este botnet ejecutó más de 1300 ataques distribuidos de denegación de servicio (DDoS), incluido un incidente que alcanzó una potencia pico de 29,7 Tbps, situándolo entre los ataques más grandes de la historia documentada de la ciberseguridad.
Escalada de ataques DDoS hiper-volumétricos vinculados a Aisuru
Desde comienzos de año, Cloudflare ha identificado 2867 ataques asociados a Aisuru, de los cuales casi el 45 % se clasifican como “hiper-volumétricos”, es decir, ofensivas que superan 1 Tbps de ancho de banda o más de 1000 millones de paquetes por segundo. Este tipo de ataque está diseñado para saturar enlaces troncales y capacidades de red de grandes proveedores, no solo de las víctimas directas.
El máximo histórico se produjo en el tercer trimestre de 2025, cuando la ofensiva de 29,7 Tbps fue mitigada con éxito por la infraestructura de Cloudflare. Aisuru ya había establecido previamente otro récord de 22,2 Tbps, también contenido por el mismo proveedor. Microsoft, por su parte, reportó un ataque DDoS contra Azure atribuido al mismo botnet, con un tráfico de hasta 15,72 Tbps procedente simultáneamente de unos 500 000 direcciones IP. Esa ofensiva duró solo 69 segundos, pero combinó un intenso UDP flood con tráfico basura dirigido a una media de 15 000 puertos por segundo.
Cómo funciona el botnet IoT Aisuru y por qué es tan difícil de frenar
Los analistas describen Aisuru como un botnet IoT de gran escala, compuesto por entre 1 y 4 millones de dispositivos comprometidos. La mayoría son routers domésticos y corporativos, junto con una amplia variedad de dispositivos IoT (cámaras IP, equipos de domótica, gateways industriales) infectados mediante la explotación de vulnerabilidades conocidas en firmware y ataques de fuerza bruta contra credenciales por defecto o débiles.
Este patrón recuerda a campañas previas como Mirai, pero con mayor capacidad de tráfico y mejor coordinación. Muchos equipos IoT siguen conectados directamente a Internet, sin endurecimiento de configuración, sin actualización regular de firmware y, en ocasiones, con usuarios y contraseñas preinstaladas por el fabricante. Esta combinación facilita la creación de botnets masivos reutilizando las mismas debilidades básicas.
Botnet-as-a-service: DDoS “alquiler” para ciberdelincuentes
Cloudflare clasifica Aisuru como un modelo de botnet-as-a-service, donde los operadores no solo lanzan sus propias campañas, sino que alquilan su capacidad a otros grupos criminales. Esta industrialización de los ataques DDoS masivos reduce la barrera de entrada: bandas de extorsión, competidores desleales o actores motivados políticamente pueden contratar ofensivas de alto volumen sin disponer de infraestructura propia.
El abanico de objetivos afectados incluye plataformas de videojuegos en línea, proveedores de hosting, operadores de telecomunicaciones, servicios financieros y APIs críticas. Aunque el ataque se dirija a un único servicio, el volumen de tráfico puede saturar enlaces de otros proveedores y generar efectos en cascada en toda la cadena de suministro digital.
Impacto global: estadísticas de DDoS y riesgos para la infraestructura crítica
En el III trimestre de 2025, Cloudflare registró 1304 ataques DDoS hiper-volumétricos. Los incidentes que superaron los 100 millones de paquetes por segundo crecieron un 189 % frente al trimestre anterior, y los que excedieron 1 Tbps se incrementaron en un 227 %. La mayoría duraron menos de diez minutos, pero esta brevedad no reduce su peligrosidad.
De media, la empresa mitigó alrededor de 3780 ataques DDoS por hora. Los principales orígenes del tráfico malicioso fueron Indonesia, Tailandia, Bangladés y Ecuador, mientras que los países más atacados incluyeron China, Turquía, Alemania, Brasil y Estados Unidos. Según las estimaciones, el tamaño de Aisuru es tal que la sobrecarga de enlaces troncales de Internet puede causar interrupciones incluso en proveedores que no eran el objetivo directo del ataque.
Por qué unos pocos segundos de DDoS pueden causar horas de interrupción
La experiencia operativa demuestra que la duración del ataque no siempre se corresponde con el impacto real. Aunque una ofensiva de hipervolumen dure segundos, el proceso de recuperación puede requerir un esfuerzo prolongado: restablecimiento gradual de servicios críticos, verificación de integridad de datos en sistemas distribuidos, revisión de posibles efectos colaterales y validación final de la estabilidad antes de volver a plena operación.
Estrategias recomendadas de protección DDoS y seguridad IoT
El auge de botnets como Aisuru obliga a las organizaciones a replantear su defensa frente a ataques DDoS masivos. Entre las medidas prioritarias destacan:
- Adoptar servicios especializados de mitigación DDoS que filtren el tráfico en la nube antes de que alcance la infraestructura propia.
- Definir un plan formal de respuesta a incidentes, con flujos de escalado, responsables designados, procedimientos de desvío de tráfico y estrategias de degradación controlada de servicios.
- Fortalecer la seguridad de dispositivos IoT y de red: desactivar acceso remoto por defecto, cambiar contraseñas preinstaladas, limitar la exposición directa a Internet y aplicar parches y actualizaciones de firmware de forma sistemática.
- Realizar pruebas de estrés y simulacros de DDoS para evaluar la resistencia de la infraestructura y afinar la capacidad de respuesta operativa.
El crecimiento de la frecuencia y potencia de los ataques DDoS masivos, ejemplificado por el botnet Aisuru, indica que los modelos tradicionales de protección perimetral ya no son suficientes. Invertir de forma anticipada en protección DDoS, resiliencia de red y buenas prácticas de seguridad IoT es esencial para reducir el riesgo de sufrir interrupciones críticas y mantener la continuidad del negocio en un entorno de amenazas cada vez más automatizado y globalizado.
