Cloudflare informó la neutralización de la que describe como la mayor ofensiva DDoS observada hasta la fecha: un pico de 22,2 Tbps y 10,6 mil millones de paquetes por segundo (pps), sostenido durante unos 40 segundos. El hito llega apenas tres semanas después de un máximo previo de 11,5 Tbps, señalando una escalada acelerada en la capacidad de los atacantes para generar ráfagas de tráfico masivas y breves.
DDoS de 22,2 Tbps y 10,6 mil millones pps: qué significan estas cifras
Aunque la ventana temporal fue corta, la intensidad fue extraordinaria. Un caudal de 22,2 Tbps equivale, a grandes rasgos, a la reproducción simultánea de cerca de un millón de vídeos 4K; los 10,6 mil millones pps se asemejan a que cada habitante del planeta recargara una página web más de una vez por segundo. Para los operadores, esto se traduce en la saturación instantánea del enlace y la caída de equipos críticos, en especial routers en el borde, firewalls con inspección de estado y cualquier componente que deba mantener tablas de sesiones.
Origen probable: el botnet AISURU y el papel del IoT
Si bien Cloudflare no ha divulgado detalles técnicos sobre los últimos dos incidentes, investigaciones de Qianxin Xlabs vincularon el pico de 11,5 Tbps con el botnet AISURU. Según esos análisis, AISURU habría comprometido más de 300 000 dispositivos a nivel global, con un salto notable de nodos en abril de 2025 tras la presunta comprometida del servidor de actualizaciones de routers Totolink.
El botnet explota vulnerabilidades en cámaras IP, DVR/NVR, componentes basados en Realtek y routers de varios fabricantes, incluidos T‑Mobile, Zyxel, D‑Link y Linksys. Este patrón encaja con la operativa de los botnets IoT: una enorme superficie de ataque, firmware desactualizado y políticas de parcheo laxas que facilitan compromisos masivos y silenciosos.
Por qué los DDoS son ahora más cortos y más potentes
La táctica de ataques burst —ráfagas breves de altísimo caudal— busca derribar servicios antes de que las contramedidas automáticas ajusten filtros y rutas de mitigación. El indicador pps es crítico en floods L3/L4 (UDP/TCP), donde la meta es agotar el stack de red y los recursos de los dispositivos, no solo la capacidad del canal. Incluso redes extensas sufren en picos así: presión sobre enrutadores, tablas de estado y dispositivos de seguridad stateful.
Medidas de mitigación DDoS recomendadas para empresas
AntidDoS en la nube con anycast y scrubbing automático. La distribución global del tráfico hacia centros de limpieza, firmas dinámicas y activación sin intervención humana son esenciales para absorber picos de segundos con decenas de Tbps y miles de millones de pps.
Coordinación con el operador de tránsito. Aplique ACL y BGP Flowspec en el uplink, anuncie blackhole selectivo cuando corresponda y utilice anuncios BGP hacia centros de limpieza para evitar la congestión en la “última milla”.
Reducir la exposición del perímetro e higiene IoT. Mantenga firmware al día en equipos de red e IoT, desactive servicios innecesarios (p. ej., UPnP), imponga contraseñas robustas y segmente el IoT en VLANs o redes dedicadas. La segmentación limita la propagación y el uso de dispositivos como reflectores.
Preparación operativa y telemetría. Realice simulacros periódicos, revise runbooks y objetivos SLO/SLI para DDoS. NetFlow/sFlow y registros detallados aceleran la identificación del vector y el ajuste fino de filtros.
Protección de capa 7. Aunque el incidente fue mayoritariamente de capa de red, un WAF, límites de tasa y desafíos a nivel HTTP ayudan a contener HTTP floods y ataques de agotamiento de recursos a nivel aplicación.
El récord de 22,2 Tbps confirma que la potencia de fuego de los atacantes crece de la mano de botnets IoT y automatización. Ahora, la resiliencia exige proactividad: integrar servicios de limpieza en la nube, afinar la coordinación con el ISP, profesionalizar la respuesta operativa y reforzar la higiene del IoT. Es momento de evaluar riesgos, ejecutar pruebas de carga y verificar que el plan de respuesta DDoS se active en segundos. Cada segundo ahorrado en la activación de la filtración reduce el riesgo de caída y pérdidas financieras.
