Cloudflare informó de la neutralización de la mayor DDoS hiper-volumétrica registrada hasta la fecha, con un pico de 11,5 Tbit/s y una intensidad de hasta 5,1 mil millones de paquetes por segundo (pps). El ataque, de tipo UDP flood, se prolongó durante aproximadamente 35 segundos, tiempo suficiente para saturar enlaces y poner en aprietos la capacidad de procesamiento de múltiples capas de red si no se cuenta con mitigación a escala global.
Escala, vector y procedencia del tráfico de la DDoS
Según Cloudflare, en las últimas semanas su infraestructura ha repelido cientos de ataques hiper-volumétricos, con la cresta situada en 11,5 Tbps. El vector fue un flood UDP, que explota la ausencia de estados de conexión del protocolo para generar enormes volúmenes de tráfico difícil de filtrar a priori, presionando tanto la capa de enlace como la plano de datos de equipos de red y servidores.
El tráfico malicioso se originó desde subredes de varios proveedores cloud y ecosistemas IoT; entre los orígenes citados se encontraba Google Cloud. La compañía adelantó que publicará un informe técnico ampliado con más detalles operativos y de atribución.
bps vs pps: cómo leer los números de una DDoS
La métrica en bits por segundo (bps) refleja la capacidad del ataque para llenar el ancho de banda de los enlaces. Los paquetes por segundo (pps) miden la carga sobre la plataforma de procesamiento (CPU, colas, tablas de estado) de routers, firewalls y servidores. Una combinación simultánea de bps y pps muy elevados indica un intento de ahogar tanto la capa de transporte como la de procesamiento, maximizando la probabilidad de indisponibilidad.
Los UDP floods suelen orquestarse desde orígenes distribuidos y, en ocasiones, se amplifican mediante servicios UDP mal configurados. Aunque los pormenores de este incidente aún no se han divulgado, en el sector son habituales las mezclas de tráfico generado directamente desde nubes públicas y botnets IoT, junto con esquemas reflectivo‑amplificadores.
Tendencias 2025: picos más altos y mayor presión defensiva
El nuevo récord sucede a otros hitos recientes: en junio de 2025, Cloudflare reportó un pico de 7,3 Tbps contra un proveedor de hosting, superando en un 12% la marca de enero (5,6 Tbps). Aquel ataque de 45 segundos transfirió en torno a 37,4 TB de datos, ilustrando la creciente capacidad para generar ráfagas breves pero devastadoras.
De acuerdo con datos de Cloudflare del primer trimestre de 2025, durante el último año se mitigaron 21,3 millones de ataques DDoS dirigidos a clientes y más de 6,6 millones contra su propia infraestructura. Estas cifras apuntan a un incremento sostenido en frecuencia y potencia, impulsado por la automatización y el fácil acceso a recursos escalables en la nube.
¿De dónde sale tanto tráfico? Nubes e IoT como multiplicadores
Nubes públicas mal configuradas y el efecto palanca
Actores de amenaza explotan cuentas cloud mal protegidas y servicios expuestos para generar tráfico a gran escala. La alta capacidad de salida y la presencia global de centros de datos permiten crear picos cortos y concentrados, dificultando la correlación geográfica y la contención rápida.
Botnets IoT y defensas superficiales
Dispositivos IoT de bajo costo con firmware obsoleto y autenticación débil alimentan botnets que crecen con rapidez y son difíciles de desmantelar por completo. Combinadas con fuentes cloud, elevan simultáneamente las componentes de bps y pps del ataque.
Mitigación DDoS: arquitectura, automatización y procedimientos
— Implementar Anycast y proveedores con scrubbing centers distribuidos para disipar picos de tráfico y acercar la mitigación al borde.
— Activar rate limiting automático, filtrado por anomalías y perfiles de comportamiento; segmentar por protocolos y puertos para reducir superficie expuesta.
— Preparar BGP blackholing/RTBH y rutas de desvío (tráfico limpio) como parte de planes de continuidad y ejercicio regular de failover.
— Endurecer servicios UDP: cerrar puertos no utilizados, limitar respuestas y configurar correctamente servidores; exigir filtrado de salida a proveedores (BCP 38/84) para frenar el spoofing.
— Mantener inventario de activos, realizar stress tests, disponer de playbooks de respuesta y monitorizar en tiempo real métricas de pps y bps.
El máximo de 11,5 Tbps refuerza la tendencia hacia impulsos DDoS breves y extremos. Las organizaciones dependientes de servicios online deberían revisar su perfil de amenazas, validar acuerdos de escalado con proveedores, probar sus rutas de mitigación y mantenerse atentas al informe técnico anunciado por Cloudflare para actualizar controles y procedimientos. Es un buen momento para elevar el nivel de preparación: visibilidad, automatización y arquitectura distribuida marcan la diferencia entre interrupción y resiliencia.
