(https://i.imgur.com/odauaEP.jpeg)
En mayo de 2025, Cloudflare logró mitigar con éxito un ataque de denegación de servicio distribuido (DDoS) sin precedentes que alcanzó un pico de 7,3 terabits por segundo (Tbps). Este evento supera en un 12% al récord anterior y se ha convertido en el ataque DDoS más grande jamás registrado, dirigido a un proveedor global de alojamiento protegido por el servicio Magic Transit de Cloudflare.
¿Qué es un ataque DDoS y por qué este es tan significativo?Un ataque DDoS tiene como objetivo colapsar la infraestructura de red de una víctima enviando volúmenes masivos de tráfico malicioso, generando interrupciones, caídas del servicio e impacto financiero. En este caso, el ataque entregó un volumen impresionante de 37,4 terabytes de datos en tan solo 45 segundos, equivalente a más de 7.500 horas de streaming en HD o más de 12 millones de imágenes JPEG transmitidas al mismo tiempo.
Cloudflare, una empresa líder en servicios de infraestructura web y ciberseguridad, logró detener el ataque sin intervención manual, demostrando la capacidad de su red global distribuida.
Origen y táctica del ataque DDoS masivoEl ataque se originó desde 122.145 direcciones IP distribuidas en 161 países, siendo los principales focos Brasil, Vietnam, Taiwán, China, Indonesia y Ucrania. Esta dispersión geográfica permitió que el tráfico malicioso burlara sistemas de defensa convencionales y saturara los recursos de red de la víctima.
Una de las tácticas clave fue el uso de múltiples puertos de destino, con un promedio de 21.925 puertos por segundo y un pico de 34.517 puertos por segundo, lo cual tiene como objetivo evadir firewalls e IDS (sistemas de detección de intrusos) mediante tráfico disperso y altamente fragmentado.
Mitigación automatizada con Magic Transit y red anycast globalLa red anycast de Cloudflare dispersó el tráfico de ataque entre 477 centros de datos distribuidos en 293 ubicaciones globales, neutralizando la amenaza sin intervención humana. Esta capacidad se logró mediante tecnologías avanzadas como:
- Huella digital en tiempo real
- Compartición de inteligencia dentro del centro de datos
- Reglas de mitigación automatizadas
- Rutas dinámicas de red
Estas funciones permiten a Cloudflare responder de forma inmediata y eficaz a ataques masivos, reduciendo el impacto para sus clientes y la infraestructura afectada.
Principales vectores del ataque: UDP, amplificación y servicios mal configuradosAunque el 99,996% del tráfico malicioso fue generado por inundaciones UDP, también se utilizaron múltiples vectores para aumentar la complejidad y efectividad del ataque. Entre ellos se encuentran:
Reflexión QOTD (Quote of the Day)
- Reflexión de eco (Echo Reflection)
- Amplificación NTP (Network Time Protocol)
- Inundación UDP con botnet Mirai
- Flooding por mapeo de puertos
- Amplificación mediante RIPv1
Estos vectores se aprovecharon de servicios heredados y mal configurados que aún están expuestos en muchas redes, lo cual refuerza la importancia de aplicar configuraciones seguras y cerrar servicios obsoletos.
Prevención y aprendizaje: Feed de amenazas de CloudflareComo parte de su compromiso con la comunidad, Cloudflare incluyó los indicadores de compromiso (IoC) de este ataque en su DDoS Botnet Threat Feed, un servicio gratuito que permite a las organizaciones:
- Bloquear IPs maliciosas antes de que alcancen sus sistemas
- Mejorar la inteligencia de amenazas
- Anticiparse a campañas DDoS similares
Actualmente, más de 600 organizaciones utilizan este feed, y Cloudflare alienta a empresas de todos los tamaños a suscribirse como medida proactiva de protección contra ataques DDoS a gran escala.
Un llamado urgente a la protección contra DDoSEl ataque de 7,3 Tbps representa una nueva era en la escala y sofisticación de los ataques DDoS. Con ciberdelincuentes aprovechando botnets masivas, servicios abiertos y configuraciones incorrectas, la mitigación automatizada, el monitoreo en tiempo real y el uso de redes distribuidas como la de Cloudflare se vuelven esenciales.
Para las organizaciones que dependen de su presencia digital, adoptar soluciones como Magic Transit, mantener configuraciones seguras y participar en programas de inteligencia de amenazas es fundamental para evitar interrupciones críticas en 2025.
Fuente: https://www.bleepingcomputer.com/