Volver al blog

Síguenos y suscríbete

DDoS en agosto

Liam Mayron

Principal Product Manager

David King

Gerente sénior de marketing de producto, Seguridad

El informe meteorológico mensual exclusivo de DDoS de Fastly para agosto de 2025 revela que las nubes de hiperescala son la red de origen en el 70 % de los ataques asociados

La red global instantánea de Fastly ha detenido billones de intentos de ataques DDoS en las capas 3 y 4. Sin embargo, los nuevos y sofisticados ataques de capa 7 son más difíciles de detectar y pueden ser mucho más peligrosos. Esta amenaza significativa para el rendimiento y la disponibilidad de cualquier aplicación o API orientada a Internet pone en riesgo a los usuarios y las organizaciones. Fastly utiliza la telemetría de nuestra red del borde global de 462 Tbps*, que atiende 1,8 billones de peticiones al día**, y Fastly DDoS Protection para ofrecer un conjunto único de conocimientos sobre el «clima» global de las aplicaciones DDoS, el único informe mensual de este tipo. Aprovecha los datos anónimos, los conocimientos y las recomendaciones prácticas sobre las últimas tendencias en ataques DDoS contra aplicaciones para reforzar tus iniciativas de seguridad.

Conclusiones principales:

  • El 1 de agosto fue el tercer día con mayor volumen de ataques desde principios de 2025

  • El volumen medio de ataque es más alto en Medios de Comunicación y Entretenimiento (M&E), luego en el Sector Público y Educación

  • Los ataques aislados a un ASN están asociados con nubes de hiperescala el 70 % del tiempo

Tendencias de tráfico de agosto

A medida que el verano (para quienes estamos en el hemisferio norte) llega a su fin, agosto comenzó con un aumento en el tráfico de ataques y fue seguido por días posteriores con un volumen consistentemente mucho más bajo (Imagen 1).

Volumen de ataques DDoS de agosto

Al examinar el volumen promedio del mes frente al volumen diario total, es evidente cuánta influencia puede tener un solo valor atípico como el 1.º sobre el resto del mes. En resumen, agosto fue un retorno más cercano a la línea de tendencia establecida del volumen promedio de ataques por mes (Imagen 2).

Volumen de ataques DDoS por mes en 2025, agosto

Aunque no estamos por encima de la tendencia observada en abril, mayo y junio, nos acercamos a la temporada navideña, que históricamente experimenta volúmenes de tráfico más altos. Seguiremos supervisando cómo evolucionan estos datos en los próximos meses y compartiremos actualizaciones en futuras ediciones.

Al comparar agosto con todos los días de lo que va del año, el 1 de agosto destaca claramente como el tercer mayor pico en el tráfico de ataques observado (Imagen 3).

Solicitudes de ataques DDoS contra aplicaciones en 2025, agosto

Aunque solo fue el 42 % del volumen del mayor ataque de este año, el 1 de agosto aún observó decenas de miles de millones de peticiones durante el período de 24 horas (UTC). Similar a lo que hemos visto en los otros ataques más grandes del año, el aumento se debe principalmente a ataques a un solo cliente. Sin embargo, mientras que el pico de junio se dirigió a una Enterprise en alta tecnología, este se dirigió a una Enterprise en medios de comunicación y entretenimiento.

Tendencias de ataques

Agosto recibió casi 73 000 ataques, lo que se desglosa en aproximadamente 1,7 cada minuto de cada día. Esto está a la par o es ligeramente superior a lo que hemos visto en meses anteriores, dado que hay 31 días en agosto, mientras que otros solo tienen 30 o menos. Cada mes, examinamos los ataques desde la perspectiva de quién fue atacado, y este mes comenzaremos con un análisis del tamaño de las empresas atacadas en agosto. Para quienes no estén familiarizados con estos informes, clasificamos el tamaño de las empresas según sus ingresos anuales:

  • Empresa: más de 1000 millones USD

  • Comercial: entre 100 millones y 1000 millones USD

  • Pequeñas y medianas empresas (pymes): menos de 100 millones USD

Normalmente, utilizamos el volumen total para ofrecer una visión sin restricciones de quién fue atacado; no obstante, incluso un solo ataque masivo puede distorsionar drásticamente la presentación de los datos. Para [REDACTADO] y risas, echa un vistazo a cómo se ve el volumen total frente al tamaño de la empresa en agosto (Imagen 4).

Comparación del volumen de ataques DDoS en agosto por tamaño de empresa

Por el contrario, el volumen medio de ataques cuenta una historia completamente diferente (Imagen 5).

Mediana de ataques DDoS en agosto por tamaño de empresa

En esta perspectiva, los ataques masivos se anulan por completo, mostrando que las organizaciones comerciales en realidad reciben el mayor volumen medio de ataques. Esta dinámica sirve como recordatorio para tomar los titulares que lees con reservas; aunque sería fácil decir que el 91 % del volumen de ataque afectó a las Enterprise en agosto, y sería correcto desde el punto de vista fáctico, la realidad tiene matices (y a menudo se omite).

En la mayoría de las ediciones, también graficamos el volumen total en relación con los sectores a los que se dirigen, pero para este mes, estamos explorando una nueva perspectiva del volumen medio por sector. Al hacerlo, eliminamos gran parte del sesgo natural de nuestra base de clientes y descubrimos que muchas de las industrias que a menudo vemos dominando la lista, como el Comercio y la Alta Tecnología, en realidad tienen un tamaño medio de ataque más pequeño que industrias como el Sector Público y la Educación, que ocupan el segundo y tercer lugar con el volumen medio más alto (Imagen 6).

Volumen medio de DDoS en agosto por industria

Continuaremos supervisando estos datos para ver si es una tendencia constante o simplemente una anomalía del mes. Una tendencia constante aquí podría sugerir campañas sofisticadas y dirigidas o el trabajo de actores persistentes y menos hábiles. De todas formas, te mantendremos informado. El liderazgo de los medios de comunicación y entretenimiento en el volumen medio no es sorprendente, ya que suelen representar la proporción más significativa del volumen total en estos informes, probablemente debido al contenido controvertido o oportuno que los atacantes quieren desalentar o impactar en la cobertura.

Tendencias de mitigación

Pasando a los tipos de atributos que se encuentran en las reglas que Fastly DDoS Protection genera automáticamente para proteger a nuestros clientes, este mes hemos examinado las IPs y los ASNs. Para quienes no están tan familiarizados, una dirección IP o Protocolo de Internet es un identificador único para un dispositivo como tu enrutador doméstico, y un ASN o Número de Sistema Autónomo es un identificador único para toda una red. Puedes imaginar estos como un único número de teléfono frente a tu proveedor de telecomunicaciones, que posee y gestiona todo un bloque de números de teléfono. Ambos se pueden usar para separar un ataque del tráfico legítimo, y este mes echamos un vistazo a lo que sucede cuando se incluyen como parte de una regla. 

IPs usadas en las reglas de agosto

En el 42% de las reglas del mes de agosto se encontró una única IP. A medida que nos adentramos en esta sección, es importante destacar que un solo ataque a menudo requiere múltiples reglas para mitigarlo completamente. Aunque una regla puede utilizar una sola IP, hay numerosos casos en los que otras reglas incorporan IPs adicionales o deben separar el tráfico de ataque de otra forma. Esencialmente, esto no quiere decir que el 42 % de las veces un ataque provenga completamente de una sola IP, solo que fue suficiente para cortar parte del ataque.

Al examinar más detenidamente las IPs, encontramos que muchas de ellas están involucradas en uno o unos pocos ataques y nunca se volvieron a ver (Imagen 7).

IPs únicas observadas en las reglas

Aunque nuestro objetivo es profundizar en lo que está ocurriendo aquí, ya sea que la gran mayoría de estos sean ataques desde una red local (lo que podría indicar actividad de botnets) o provenientes de la nube o de hiperescaladores (lo que podría indicar la facilidad de desplegar entornos sin servidor en cualquier parte del mundo), estos datos señalan la naturaleza distribuida de muchos ataques DDoS en agosto. También da credibilidad al juego de whack-a-mole que enfrentan muchos equipos de seguridad, donde detienen una IP de atacar solo para que otra venga justo después.

Al examinar el conjunto de datos distribuido y observar la IP asociada con la mayoría de los ataques DDoS, encontramos que la IP más infractora en agosto estuvo involucrada en 184 ataques únicos a 59 clientes, principalmente en los sectores de medios de comunicación y entretenimiento y alta tecnología. Echando un vistazo fuera de las fronteras de Fastly, esta misma IP está asociada a 17 informes de abuso (en sitios como AbuseIPDB), que abarcan no solo DDoS sino también ataques de estilo OWASP. Curiosamente, los informes de abuso de terceros solo comenzaron en agosto, y tampoco pudimos encontrarlos en ninguna regla asociada en julio, lo que puede indicar la naturaleza efímera de las IP utilizadas en ataques generalizados.

ASNs utilizados en las reglas

A veces, un ataque no se puede atribuir a una sola IP, sino a un conjunto de ellas de una sola red. En agosto, el 66 % de las normas incluyen un único ASN como parte de sus muchos atributos. De manera similar a lo que encontramos con las IPs, un único ASN no se encuentra comúnmente en más de 10 reglas, y la gran mayoría de las reglas tienen un ASN único en agosto. Sin embargo, al analizar los 10 principales ASN utilizados en las reglas, descubrimos un patrón: los proveedores de nube a hiperescala son el ASN en el 71 % de los ataques asociados.

ASNs observados en las normas

Similar a lo que encontramos con las IPs de corta duración, este hallazgo puede proporcionar un punto adicional de correlación, ya que las nubes de hiperescala a menudo tienen una barrera de entrada más baja para iniciar un entorno sin servidor que las plataformas de alojamiento/VPS o incluso de contenido más tradicionales.

Consejos prácticos

Entonces, ¿qué puedes deducir de toda esta información?

  1. Las organizaciones que operan en el sector de los medios de comunicación y el entretenimiento continúan recibiendo la mayor proporción del volumen total y mediano de ataques. Si tu organización opera en este ámbito, te instamos a considerar adoptar DDoS protection para aplicación si aún no lo has hecho.

  2. Si tus criterios de mitigación manuales incorporan en gran medida las IPs, considera si este esfuerzo podría ser reemplazado por soluciones automatizadas o reglas que incorporen el ASN con atributos adicionales para aumentar la precisión. Dado cuántas IP únicas se utilizan en los ataques, esto solo debería usarse en las reglas para los infractores más graves. 

  3. Las Enterprise deben asegurarse de que su infraestructura o herramientas puedan absorber (idealmente mitigar) ataques en el ámbito de decenas de miles de millones de peticiones en períodos cortos. Cada uno de los mayores ataques de este año fue capaz de escalar a millones de peticiones por segundo, muy por encima de lo que algunos pueden manejar sin afectar el rendimiento.

Mitiga automáticamente los ataques distribuidos más peligrosos

Como se mostró en agosto, un solo ataque masivo puede tener como objetivo cualquier sector, desde los medios de comunicación y entretenimiento hasta la alta tecnología, mientras que los ataques más pequeños y persistentes afectan a las empresas comerciales a diario. Fastly DDoS Protection está diseñado para esta realidad, mitigando automáticamente los ataques distribuidos y multivectoriales detallados en este informe. Deja que nuestra tecnología adaptativa absorba el próximo pico para que no tengas que hacerlo. Ponte en contacto con nuestro equipo o empieza tu prueba gratuita hoy mismo.

* A partir del 31 de marzo de 2025

** A partir del 31 de julio de 2023

Fastly
© Fastly 2025