Durante 2025, el volumen global de ataques de denegación de servicio distribuido (DDoS) alcanzó niveles sin precedentes. De acuerdo con el Q4 2025 DDoS Threat Report de Cloudflare, el número total de ataques mitigados a lo largo del año más que se duplicó, al pasar de 21.3 millones en 2024 a 47.1 millones en 2025, lo que representa un incremento anual del 121% y marca un punto de inflexión en la escala y sofisticación de este tipo de amenazas.
El informe documenta además el mayor ataque DDoS públicamente divulgado hasta ahora, con picos de 31.4 terabits por segundo (Tbps), registrados durante una campaña masiva atribuida al botnet Aisuru/Kimwolf, conocida como “La Noche Antes de Navidad”. Esta ofensiva combinó ataques de red y de aplicación a niveles nunca antes observados, incluyendo oleadas que superaron los 200 millones de solicitudes HTTP por segundo.
- Una nueva era de ataques a escala industrial
Los datos del reporte confirman que el ecosistema de amenazas DDoS ha entrado en una nueva fase. En promedio, durante 2025 Cloudflare mitigó 5,376 ataques DDoS por hora (3,925 fueron de capa de red y 1,451 ataques HTTP). Este crecimiento fue impulsado principalmente por los ataques de red, que se triplicaron año contra año, alcanzando 34.4 millones de incidentes, frente a 11.4 millones en 2024.
Tan solo en el cuarto trimestre de 2025, el volumen total de ataques creció 31% frente al trimestre anterior y 58% en comparación anual, con los ataques de capa de red representando 78% del total. Aunque el número de ataques HTTP se mantuvo estable, su intensidad aumentó significativamente, con picos comparables a los observados durante la campaña HTTP/2 Rapid Reset.
- “La Noche Antes de Navidad”: ataques breves, pero devastadores
La campaña Aisuru/Kimwolf, iniciada el 19 de diciembre, se caracterizó por ataques hipervolumétricos, cortos y altamente disruptivos. Más del 94% de los ataques registrados durante esta ofensiva se concentraron en rangos de 1 a 5 mil millones de paquetes por segundo (Bpps), mientras que cerca del 90% alcanzaron entre 1 y 5 Tbps.
En términos de duración, el 58% de los ataques duró entre 60 y 120 segundos, el 27% entre 30 y 60 segundos, y solo una fracción mínima se extendió más allá de los dos minutos. A pesar de su brevedad, este tipo de ataques es suficiente para provocar interrupciones severas en servicios críticos si las infraestructuras no cuentan con mitigación automática en tiempo real.
- Telecomunicaciones, el principal objetivo
El reporte identifica a Telecomunicaciones como la industria más atacada del mundo en el cuarto trimestre de 2025, concentrando más del 42% de los ataques, y superando por primera vez al sector de Tecnologías de la Información. Le siguieron industrias altamente sensibles a la interrupción del servicio, como Apuestas & Casinos y Gaming, así como Software y Negocios, que escalaron posiciones de forma significativa en el ranking trimestral.
Geográficamente, el mapa global de ataques también mostró cambios relevantes. China, Hong Kong, Alemania, Brasil y Estados Unidos se ubicaron entre las regiones más atacadas, destacando el caso de Hong Kong, que escaló 12 posiciones en un solo trimestre para convertirse en la segunda ubicación más atacada del mundo.
- Orígenes y automatización del ataque
En cuanto a los países de origen, Bangladesh se posicionó como la principal fuente de ataques DDoS en el cuarto trimestre de 2025, desplazando a Indonesia tras más de un año en el primer lugar. Argentina registró uno de los ascensos más pronunciados, al subir 20 posiciones y colocarse como la cuarta mayor fuente global de ataques, evidenciando la naturaleza dinámica y cambiante del panorama de amenazas.
El reporte también destaca que más del 50% de los ataques HTTP DDoS fueron detectados y mitigados mediante el nuevo sistema de detección de botnets en tiempo real de Cloudflare, sin intervención humana, lo que subraya el papel de la automatización frente a ataques cada vez más rápidos y masivos.
El Q4 2025 DDoS Threat Report de Cloudflare se basa en el análisis de ataques mitigados a través de su red global y ofrece una radiografía detallada de cómo la escala, velocidad y automatización de los DDoS están redefiniendo los riesgos para infraestructuras digitales críticas a nivel mundial.
