Ciberataques a escala industrial: 2025 cierra con 47.1 millones de incidentes DDoS y nuevas botnets

El panorama de la ciberseguridad global ha sufrido una transformación drástica en los últimos doce meses. Lo que antes eran incidentes aislados o campañas estacionales, hoy se ha convertido en una maquinaria ofensiva constante y automatizada. Según el más reciente Q4 2025 DDoS Threat Report publicado por Cloudflare, el año 2025 no solo rompió récords, sino que redefinió la escala de las amenazas digitales.

El volumen global de ataques de denegación de servicio distribuido (DDoS) alcanzó una cifra histórica de 47.1 millones de incidentes mitigados. Para poner este dato en perspectiva técnica, esto representa un incremento del 121% en comparación con los 21.3 millones registrados en 2024. Este crecimiento exponencial señala que las barreras de entrada para ejecutar ciberataques masivos han disminuido, mientras que la sofisticación de las botnets ha aumentado.

La anatomía de una ofensiva sin precedentes

El informe de Cloudflare destaca un evento particular que marca un hito en la historia de la ciberseguridad: la campaña denominada «La Noche Antes de Navidad», atribuida a la botnet Aisuru/Kimwolf. Esta infraestructura maliciosa logró ejecutar el ataque DDoS más grande divulgado públicamente hasta la fecha, alcanzando picos de transferencia de 31.4 terabits por segundo (Tbps).

Desde un punto de vista técnico, un ataque de esta magnitud es capaz de saturar instantáneamente los enlaces troncales de proveedores de servicios de internet (ISP) enteros, no solo de empresas individuales. La ofensiva combinó vectores de ataque de red y de capa de aplicación, generando oleadas que superaron los 200 millones de solicitudes HTTP por segundo. Esta capacidad de fuego digital demuestra que los actores maliciosos han logrado escalar sus operaciones a niveles industriales.

Una nueva fase en el ecosistema de amenazas

Los datos revelan que la intensidad de los ataques es ahora la norma, no la excepción. Durante 2025, los sistemas de Cloudflare mitigaron un promedio de 5,376 ataques DDoS por hora. De estos, la gran mayoría (3,925) fueron ataques de capa de red (L3/L4), mientras que 1,451 correspondieron a ataques HTTP (L7).

El crecimiento fue impulsado principalmente por los ataques de infraestructura de red, que se triplicaron año contra año, alcanzando los 34.4 millones de incidentes. Si nos enfocamos únicamente en el cuarto trimestre de 2025, el volumen total creció un 31% frente al trimestre anterior y un 58% en comparación anual. Aunque el número absoluto de ataques HTTP se mantuvo estable, su intensidad y complejidad aumentaron, replicando patrones observados en vulnerabilidades críticas pasadas como HTTP/2 Rapid Reset.

Hipervolumetría y ataques de corta duración

Una de las tendencias más preocupantes identificadas en el reporte es la naturaleza efímera pero devastadora de las nuevas campañas. La ofensiva de Aisuru/Kimwolf, iniciada el 19 de diciembre, se caracterizó por ser hipervolumétrica y breve.

• Más del 94% de los ataques se concentraron en rangos de 1 a 5 mil millones de paquetes por segundo (Bpps).
• Cerca del 90% alcanzaron un ancho de banda de entre 1 y 5 Tbps.

En términos de temporalidad, el 58% de los ataques duró entre 60 y 120 segundos, y un 27% entre 30 y 60 segundos. Esta brevedad es una táctica deliberada: los ataques «hit-and-run» buscan causar interrupción inmediata y evadir los sistemas de detección manuales. Si una infraestructura no cuenta con mitigación automática en tiempo real, el daño está hecho antes de que un ingeniero de seguridad pueda siquiera recibir la alerta.

Telecomunicaciones bajo fuego y cambios geopolíticos

El reporte identifica un cambio significativo en los objetivos de los ciberdelincuentes. Por primera vez, el sector de Telecomunicaciones se convirtió en la industria más atacada del mundo en el cuarto trimestre de 2025, concentrando más del 42% de todos los incidentes y desplazando al sector de Tecnologías de la Información.

Esto sugiere una estrategia enfocada en interrumpir la conectividad base, afectando a múltiples servicios aguas abajo. Otras industrias sensibles a la latencia y disponibilidad, como Apuestas & Casinos y Gaming, siguieron en la lista, junto con los sectores de Software y Negocios.

Geográficamente, el mapa de calor de los ataques también evolucionó:

• Regiones más atacadas: China, Alemania, Brasil y Estados Unidos se mantienen en el top. Sin embargo, destaca el caso de Hong Kong, que escaló 12 posiciones en un solo trimestre para convertirse en la segunda ubicación más atacada del planeta.
• Fuentes de ataque: En cuanto al origen del tráfico malicioso, Bangladesh se posicionó como la principal fuente en el Q4 de 2025, desplazando a Indonesia. En Latinoamérica, Argentina registró uno de los ascensos más pronunciados, subiendo 20 posiciones para colocarse como la cuarta mayor fuente global de ataques DDoS.

Automatización como única defensa viable

Ante este escenario de ataques rápidos y masivos, la intervención humana se vuelve obsoleta. El reporte subraya que más del 50% de los ataques HTTP DDoS fueron detectados y mitigados por el nuevo sistema de detección de botnets en tiempo real de Cloudflare, sin intervención humana alguna.

La conclusión técnica para los responsables de infraestructura es clara: la defensa contra DDoS en 2026 requiere soluciones automatizadas, basadas en inteligencia artificial y aprendizaje automático, capaces de tomar decisiones en milisegundos. La era de la mitigación manual ha terminado.