DDoS en abril

El informe meteorológico mensual exclusivo de DDoS de Fastly para abril de 2025 encuentra una tasa significativa de tráfico de ataques originado en los Estados Unidos

La red global instantánea de Fastly ha detenido trillones de intentos de ataques DDoS en las capas 3 y 4. Sin embargo, los nuevos y sofisticados ataques de la capa 7 son más difíciles de detectar y potencialmente mucho más peligrosos. Esta amenaza significativa para el rendimiento y la disponibilidad de cualquier aplicación o API orientada a Internet pone en riesgo a los usuarios y las organizaciones. Fastly utiliza la telemetría de nuestra red del borde global de 427 terabits por segundo¹, que atiende 1,8 billones de peticiones al día² y DDoS Protection para proporcionar un conjunto único de conocimientos sobre el “clima” de las aplicaciones globales DDoS, el único informe mensual de su tipo. Aprovecha los datos anónimos, la información y la orientación práctica sobre las últimas tendencias de los ataques DDoS a aplicaciones para reforzar tus iniciativas de seguridad.

La influencia de las mejoras de producto en los informes

Fastly lleva más de una década combatiendo ataques DDoS masivos, utilizando nuestra plataforma y otras soluciones para mitigar estas amenazas. Sin embargo, lanzamos DDoS Protection en octubre de 2024 para ofrecer mitigación adaptativa y automática a nuestros clientes. Desde entonces, hemos hecho todo lo posible para que sea la mejor solución para DDoS de aplicaciones en el mercado. Aunque ya hemos hablado largo y tendido sobre lo potente que es el motor adaptativo de la solución Attribute Unmasking para combatir los ataques, hemos estado trabajando intensamente para mejorar su base y seguir avanzando en la mejora de la detección.  

Nuestras mejoras redujeron aún más el tiempo de detección mientras ampliaba la visibilidad de la solución hacia los ataques DDoS (especialmente los ataques más breves y pequeños). Continuamos mejorando las capacidades fundamentales de detección y mitigación, y probablemente desempeñan un papel en el motivo por el que observamos un aumento tan constante en el volumen de ataques en abril. Esperamos ver la influencia de mejoras como estas en nuestros informes, mientras refinamos continuamente el producto para que sea aún mejor para clientes como tú. Con esa advertencia fuera del camino, ¡vayamos a los resultados!

Principales hallazgos

1. Una única IP se asoció con reglas de mitigación para 456 clientes únicos.

2. El 71 % de las reglas generadas automáticamente aíslan el tráfico hacia los Estados Unidos

3. El volumen de ataques de abril fue un 5 % mayor que el de enero, febrero y marzo juntos

Tendencias del tráfico DDoS

En meses anteriores, observamos picos claros en el volumen de ataques en días específicos, pero en abril, los ataques no siguieron esta tendencia. Gran parte del mes se mantiene cerca de la línea del volumen promedio de ataques por día, lo que implica que hubo pocos picos atípicos que distorsionaron el promedio (Imagen 1).

Aunque los picos fueron menos drásticos, el volumen total de solicitudes identificadas como parte de un ataque DDoS fue mucho mayor en abril que en cualquier otro mes desde que comenzamos a informar (Imagen 2).  El aumento del volumen de marzo a abril representa un incremento del 87 % mes a mes, y solo en abril hubo un 5 % más de volumen de ataques DDoS que en todo el primer trimestre combinado.

Observar los ataques desde la perspectiva de la industria atacada destaca cómo los datos cambian drásticamente al comparar el volumen de ataques con el recuento total de ataques (Imagen 3).

Mientras que Comercio recibió la mayoría de los ataques, Medios de Comunicación y Entretenimiento recibió la gran mayoría del volumen de ataques. 

Examinando más a fondo los ataques a medios de comunicación y entretenimiento, la mayor parte de ellos iban dirigidos a organizaciones Enterprise de medios de comunicación y entretenimiento. Esto añade una validación adicional a una realidad implícita observada en informes anteriores; los atacantes comprenden a quién atacan y lanzan ataques más grandes contra organizaciones más grandes.

Información sobre ataques DDoS

El 8 de abril, lanzamos una importante actualización de DDoS Protection de Fastly. Con ello vienen dos características clave: eventos y detalles de eventos. Imagina que cada evento es un ataque individual, y los detalles del evento permiten a los clientes profundizar en cómo se mitigó. Como parte de los detalles del evento, ahora podemos profundizar en cada regla que nuestra técnica adaptativa de desenmascaramiento de atributos crea para combatir los ataques. Este mes, nos adentraremos en los atributos utilizados en las reglas y cómo están de moda en nuestra base global de clientes.

Las reglas de Fastly DDoS Protection se crean automáticamente y pueden contener más de 10 atributos para separar con precisión los ataques del tráfico legítimo con el que intentan mezclarse. Un atributo común que se utiliza junto con otros es la geolocalización de la IP atacante. En abril, el 66 % de las reglas de ataque lograron aislar una parte del ataque a un solo país (Imagen 4).

Cuando examinamos qué país aparece más en las reglas, Estados Unidos supera con creces a todos los demás (71 %), seguido de Alemania (11 %), China (8 %), Francia (5 %) e Indonesia (5 %) para completar el top 5 (Imagen 5).

Aunque es probable que una parte de los ataques sean lanzados por ciberatacantes estadounidenses, es importante destacar que iniciar instancias sin servidor es increíblemente accesible y sencillo. Con poco esfuerzo, los atacantes pueden utilizar su sistema autónomo (AS) preferido y hacer que sus ataques se originen desde casi cualquier lugar del mundo, sin importar su ubicación real.

Otro atributo común utilizado en una regla es una única IP. Aproximadamente el 31 % de las reglas de abril pudo aislar el ataque a una sola IP como parte de una regla más amplia (Imagen 6). Esto es particularmente interesante dado que los ataques volumétricos se describen a menudo como ataque de denegación de servicio distribuido, donde estos datos implican que una parte significativa de los ataques no están tan distribuidos.

Profundizando un poco más, descubrimos que cuando una IP se utiliza como parte de una regla, esa IP solo se dirige a un único cliente de Fastly el 52 % de las veces (Imagen 7). Mientras que la parte restante de las direcciones IP asociadas con los ataques se disipa rápidamente con el número de clientes únicos, examinamos más detenidamente las direcciones IP que atacaron a más clientes para ver cuán extendidos estaban sus ataques.

Este mes, hemos descubierto que una sola IP estaba asociada a ataques DDoS contra más de 400 servicios de atención al cliente. Al examinar esta IP más a fondo, hemos descubierto que pertenece a una importante organización global de SaaS. En este contexto, esperábamos que la IP estuviera relacionada con el scraping a un volumen malicioso en todas esas cuentas de clientes, pero un análisis más profundo de las métricas procedentes de nuestro WAF de última generación sugiere algo mucho peor. La IP estaba vinculada a múltiples ataques CMDEXE, Directory Traversal y Backdoor, con un volumen menor, pero no menos maliciosos. Estos datos implican que los ataques DDoS a cientos de clientes probablemente no fueron el resultado de una decisión empresarial de extraer datos lo más rápido posible, sino que una máquina o dirección IP de la empresa fue comprometida. Con esta información, comunicamos los detalles del ataque a la organización y nos ofrecimos a apoyar su investigación según fuera necesario.

Este es solo el comienzo del tipo de exploraciones de datos que la actualización de Attack Insights desbloquea para estos informes. Mantente atento en las futuras ediciones para profundizar en otros atributos y obtener más conocimientos únicos que solo Fastly puede ofrecer.

Consejos prácticos

Entonces, ¿qué puedes sacar de toda esta información?

Es importante tener en cuenta que este informe solo representa un mes de datos y debe utilizarse junto con información propia de tus herramientas de observabilidad e investigaciones a largo plazo para crear una visión completa. Sin embargo, incluso si nos fijamos únicamente en estos datos, hay unas cuantas cosas que conviene tener en cuenta para reforzar tu seguridad.

1. Considera implementar soluciones DDoS dedicadas que puedan adaptarse a los patrones variables de tráfico legítimo y de ataque. El volumen de ataques aumentó cada mes en 2025, con un repunte masivo en abril, y aunque el almacenamiento en caché del contenido puede aliviar parte de la carga en los servidores de origen, una solución dedicada probablemente sea la óptima.

2. Ten en cuenta cómo estás utilizando la toma de decisiones basada en la geolocalización si todavía estás creando reglas o límites de frecuencia manualmente (o cambia a la creación automática de reglas). La mayor parte de las reglas de DDoS que aprovecharon la geolocalización en abril provienen de IPs con sede en EE. UU., lo que significa que las listas de bloqueo o permitidas generales pueden tener consecuencias inesperadas.

3. Asegúrate de tener una visión inclusiva de tus herramientas y postura de AppSec: no se permiten silos de datos. Solo porque teníamos acceso a las métricas de DDoS, gestión de bots y WAF de última generación, pudimos identificar que no se trataba de un caso de un scraper descontrolado, sino de una campaña más grande a través de una máquina/IP comprometida.

Mitigación automática de los ataques distribuidos más peligrosos

Como siempre, sería negligente no recordarte que soluciones como Fastly DDoS Protection detienen automáticamente los ataques detallados en este informe con los conocimientos que necesitas para validar rápidamente la eficacia. DDoS Protection de Fastly aprovecha el enorme ancho de banda de nuestra red y las técnicas adaptativas para garantizar que tus sitios web sigan siendo rápidos y estén disponibles, todo ello sin necesidad de configuración. Empieza a aprovechar nuestra tecnología adaptativa hoy mismo y obtén hasta 500 000 peticiones gratis, o contacta con nuestro equipo para saber más.