La plataforma en la nube Microsoft Azure se ha convertido en el último objetivo de una de las mayores campañas DDoS registradas públicamente en los últimos años. Según datos de la propia compañía, el ataque alcanzó un pico de 15,72 Tbps y aproximadamente 3,64 mil millones de paquetes por segundo (pps), generados desde unos 500 000 direcciones IP únicas. Detrás de esta operación se encuentra el botnet Aisuru, una variante avanzada de la familia Turbo Mirai construida sobre dispositivos IoT comprometidos.
Ataque DDoS contra Microsoft Azure: volumen, técnica y objetivos
El ataque se dirigió contra una IP pública de Azure ubicada en Australia mediante un masivo UDP flood. En este tipo de ataque, los sistemas de la víctima se ven saturados con una avalancha de paquetes UDP, un protocolo sin conexión que no requiere confirmación de recepción, lo que permite a los atacantes generar un tráfico extremadamente elevado con un consumo moderado de recursos en los equipos infectados.
UDP flood sin spoofing y puertos aleatorios: por qué este ataque es diferente
Un aspecto poco habitual del incidente es que el tráfico apenas utilizó spoofing de origen, es decir, la falsificación de direcciones IP. En su lugar, la mayor parte de las solicitudes procedía de direcciones legítimas y se dirigía a puertos aleatorios del objetivo. Este enfoque tiene dos implicaciones relevantes: complica los filtros basados en firmas simples (al no concentrarse en un único puerto o patrón estático), pero a la vez facilita a proveedores y operadores identificar y bloquear los orígenes reales del tráfico malicioso a nivel de sus redes.
En términos comparativos, ataques de este orden de magnitud sitúan a Aisuru en el mismo nivel que otros episodios récord mitigados por grandes proveedores de nube y de mitigación DDoS a escala global. Este tipo de volúmenes supera con creces la capacidad de resistencia de infraestructuras sin soluciones especializadas de protección perimetral, scrubbing centers y filtrado basado en comportamiento.
Botnet Aisuru: evolución de las botnets IoT de clase Turbo Mirai
Aisuru se clasifica como un botnet IoT de tipo Turbo Mirai, descendiente de la familia Mirai descubierta en 2016, responsable de algunas de las primeras DDoS de más de 1 Tbps. Su red está compuesta principalmente por routers domésticos, cámaras IP, grabadores DVR/NVR y otros dispositivos IoT conectados a Internet, habitualmente con configuraciones inseguras, firmware desactualizado o credenciales por defecto.
Dispositivos vulnerables y expansión del botnet
Investigaciones previas señalan que Aisuru explota vulnerabilidades conocidas en productos de Totolink, T‑Mobile, Zyxel, D‑Link, Linksys, múltiples modelos de cámaras IP y soluciones basadas en chips Realtek. Un punto de inflexión en la expansión del botnet fue la comprometida de un servidor de actualización de routers Totolink, que permitió distribuir código malicioso a gran escala y disparar el número de dispositivos infectados en muy poco tiempo.
En un análisis anterior, el equipo de Qianxin Xlab estimó que la red Aisuru superaba los 300 000 nodos IoT comprometidos repartidos globalmente, con una concentración significativa en infraestructuras de grandes proveedores de acceso a Internet en Estados Unidos y otros países. El ataque contra Azure confirma que el tamaño y la potencia de este botnet siguen aumentando.
Ataques récord de Aisuru: de Microsoft Azure a Cloudflare
El incidente contra Microsoft Azure no es el primer récord firmado por Aisuru. En septiembre de 2025, Cloudflare comunicó haber mitigado una DDoS del mismo botnet que alcanzó 22,2 Tbps y hasta 10,6 mil millones de paquetes por segundo, con un pico sostenido de unos 40 segundos. Aunque el intervalo fue breve, esa intensidad resulta suficiente para interrumpir servicios no preparados con protección DDoS avanzada y redundancia adecuada.
En otro incidente analizado por Qianxin Xlab, Aisuru llegó a los 11,5 Tbps. La recurrencia de ataques de dos dígitos en Tbps muestra una tendencia clara: los botnets IoT de nueva generación han alcanzado un nivel de escala que solo puede contrarrestarse mediante defensas distribuidas, filtrado en colaboración con múltiples ISPs y sistemas de detección basados en análisis de comportamiento y machine learning.
Más allá del DDoS: manipulación de rankings DNS de Cloudflare
Los operadores de Aisuru no se limitan a saturar infraestructuras. Según informes públicos, intentaron manipular las estadísticas DNS de Cloudflare, afectando al ranking Cloudflare Top Domains, que se construye a partir del volumen de consultas DNS hacia los dominios más populares.
Al generar enormes cantidades de consultas DNS hacia dominios controlados por el botnet contra el resolutor público 1.1.1.1, estos dominios comenzaron a escalar rápidamente en la clasificación, llegando incluso a superar a sitios de referencia como Amazon, Microsoft o Google en número de peticiones registradas. De este modo, Aisuru transformó una métrica diseñada para reflejar popularidad legítima en un indicador de actividad maliciosa dentro de la infraestructura DNS.
Cloudflare reconoció que el comportamiento de Aisuru distorsionaba su ranking público y anunció la introducción de filtros adicionales. Los dominios identificados como sospechosos pasan ahora por procesos de revisión, edición o exclusión del listado, con el fin de minimizar el impacto de tráfico automatizado generado por botnets.
Los sucesos protagonizados por Aisuru ilustran cómo el compromiso masivo de dispositivos IoT se ha convertido en un vector crítico no solo para derribar servicios en la nube, sino también para alterar la fiabilidad de indicadores públicos de reputación y popularidad en Internet. Para los usuarios finales, resulta esencial mantener el firmware de routers y cámaras IP actualizado, desactivar accesos remotos innecesarios, cambiar las credenciales por defecto y segmentar la red (por ejemplo, aislando la domótica y dispositivos “smart” de la red corporativa o personal principal). Para proveedores y organizaciones, la prioridad pasa por desplegar arquitecturas de defensa DDoS multinivel, monitorización continua de anomalías y cooperación activa con plataformas globales de mitigación. Invertir en estas medidas hoy reduce de forma significativa la probabilidad de que el próximo récord de un botnet se construya a costa de su propia infraestructura.
