Cloudflare reveló que en mayo de 2025 logró frenar un ataque DDoS como nunca antes se había visto. El ataque, que iba dirigido a un proveedor de alojamiento web, alcanzó un pico de 7,3 terabits por segundo, una cifra realmente impresionante.
Por si no lo sabías, los ataques DDoS (o de denegación de servicio distribuido) consisten en saturar un sitio o servicio con toneladas de tráfico falso, con la intención de colapsarlo, hacerlo más lento o incluso dejarlo totalmente fuera de línea.
En este caso, el ataque no solo rompió récords, sino que lo hizo con fuerza: fue un 12% más grande que el anterior ataque más potente registrado. En tan solo 45 segundos, los atacantes enviaron un total de 37,4 terabytes de datos, lo que se traduce, más o menos, en 7.500 horas de video en HD o en 12,5 millones de fotos en formato jpeg. Una verdadera avalancha digital.
El ataque DDoS que batió récords (Fuente: Cloudflare)
Podría interesarte leer: Campaña de Malware usa Cloudflare Tunnels en Ataques de Phishing
Cloudflare, conocida por proteger sitios web y servicios contra ataques cibernéticos, utilizó su herramienta ‘Magic Transit’ para defender al cliente afectado. Esta solución actúa como una especie de escudo para el tráfico de red, filtrando amenazas antes de que lleguen al servidor.
El ataque vino con fuerza: se originó desde más de 122.000 direcciones IP ubicadas en 161 países distintos. Los países más involucrados fueron Brasil, Vietnam, Taiwán, China, Indonesia y Ucrania.
Los datos basura, enviados en masa, iban dirigidos a un montón de puertos diferentes del sistema atacado. Para que te hagas una idea, se registraron en promedio casi 22.000 puertos por segundo, con picos que superaron los 34.500 por segundo.
Esta técnica (al repartir el tráfico por tantos puntos a la vez) busca sobrecargar los firewalls y sistemas de detección. Pero a pesar de lo masivo del ataque, Cloudflare asegura que pudo manejarlo sin necesidad de intervención humana. Todo fue automático, en tiempo real.
Direcciones IP de origen (Fuente: Cloudflare)
Para contener el ataque, Cloudflare utilizó su enorme red anycast, que básicamente reparte el tráfico entre cientos de centros de datos alrededor del mundo. En este caso, dispersaron el tráfico malicioso entre 477 centros de datos en 293 ubicaciones distintas.
Además, usaron tecnología bastante avanzada, como huellas digitales en tiempo real (para identificar patrones de tráfico sospechoso) y una especie de “chismeo” interno entre centros de datos, donde comparten información al instante para generar reglas de protección automáticas y bloquear amenazas lo más rápido posible.
Aunque el 99,996% del ataque se basó en tráfico UDP, que es como enviar montones de paquetes de datos basura, hubo varios métodos diferentes involucrados. Algunos de los más usados fueron:
Ataques de reflexión QOTD (Quote of the Day)
Reflexión de eco
Amplificación NTP
Inundaciones UDP usando la botnet Mirai
Scans masivos de puertos
Amplificación con RIPv1
Estos ataques suelen aprovechar servicios antiguos o mal configurados para multiplicar el impacto. Aunque representaban solo una pequeña parte del ataque total, estos vectores se usaron como parte de una estrategia para evadir defensas y detectar puntos débiles en los sistemas de las víctimas.
Lo bueno es que Cloudflare no solo bloqueó el ataque, sino que además registró todos los indicadores de compromiso (IoC) y los añadió a su DDoS Botnet Threat Feed. Este es un servicio gratuito que permite a las organizaciones bloquear direcciones IP maliciosas antes de que los ataques les lleguen.
Según la empresa, más de 600 organizaciones ya están suscritas a este feed, y están invitando a cualquier empresa u organización vulnerable a sumarse. Es una forma efectiva de protegerse de futuros ataques sin tener que reaccionar en el último minuto.