Cloudflare detuvo con éxito el ataque de denegación de servicio (DDoS) más grande distribuido jamás documentado a mediados de mayo de 2025, con atacantes desatando un devastador ataque de 7.3 terabitos por segundo (TBP) que entregó 37.4 terabytes de tráfico malicioso en solo 45 segundos.
Resumen 1. Cloudflare bloqueó un ataque récord de DDoS de 7.3 tbps a mediados de mayo de 2025, entregando 37.4 TB de tráfico malicioso en 45 segundos. 2. Apuntando a un proveedor de alojamiento utilizando el tránsito mágico de Cloudflare, el ataque superó el registro anterior en un 12%. 3. Utilizó técnicas sofisticadas de múltiples vectores, principalmente inundaciones UDP (99.996%), con ataques de amplificación adicionales. 4. Arquitectura de touch cero con el protocolo de enrutamiento y chismes de cualquier Castre contenía rápidamente el ataque, mostrando una escalabilidad incomparable.
Este ciberataque sin precedentes se dirigió a un cliente de proveedor de alojamiento utilizando el servicio de tránsito mágico de Cloudflare y representa un aumento del 12% sobre el registro anterior, lo que demuestra la escala creciente y la sofisticación de las campañas modernas de DDoS.
Ataque de DDoS de vector múltiple
El ataque masivo empleó un enfoque de múltiples vectores, con el 99.996% del tráfico de ataque que consiste en inundaciones UDP dirigidas a un promedio de 21,925 puertos de destino en una sola dirección IP, alcanzando un máximo de 34,517 puertos por segundo.
El 0.004% restante utilizó técnicas sofisticadas de reflexión y amplificación, incluida la cita del día (QOTD) Explotación del protocolo en el puerto UDP 17, los ataques de protocolo ECHO en el puerto 7 UDP/TCP y la amplificación del protocolo de tiempo de red (NTP) utilizando el comando monlista.
Los vectores de ataque adicionales incluyeron inundaciones Mirai Botnet UDP, explotación del servicio PortMap en el puerto UDP 111 y los ataques del Protocolo de información de enrutamiento versión 1 (RIPV1) en el puerto UDP 520.
El ataque demostró una notable distribución geográfica, que se origina en 122,145 direcciones IP de origen únicas que abarcan 5,433 sistemas autónomos (AS) en 161 países.
Brasil y Vietnam surgieron como las principales fuentes de ataque, cada una con aproximadamente el 25% del volumen total de tráfico, mientras que Taiwán, China, Indonesia, Ucrania, Ecuador, Tailandia, Estados Unidos y Arabia Saudita representaban colectivamente otro tercio del tráfico malicioso.
Telefónica Brasil (AS27699) lideró las redes participantes con el 10.5% del tráfico de ataque, seguido de cerca por Viettel Group (AS7552), contribuyendo con un 9.8%.
Tecnología de detección y mitigación autónoma
Los sistemas de defensa de Cloudflare aprovechan la tecnología avanzada de muestreo de paquetes utilizando la ruta de datos Express (XDP) y los programas extendidos de filtro de paquetes de Berkeley (EBPF) dentro del núcleo de Linux para analizar los patrones de tráfico en tiempo real, según los informe.
El motor heurístico patentado de la compañía, denominado “DOSD” (Denial of Service Daemon), generó automáticamente múltiples permutaciones de huellas digitales para identificar patrones de ataque al tiempo que minimiza el impacto en el tráfico legítimo.
El ataque fue detectado y mitigado en 477 centros de datos en 293 ubicaciones globales utilizando Anycast Routing, que distribuyó el tráfico de ataque a través de la infraestructura de red de Cloudflare.
Cada centro de datos mantuvo los cachés de inteligencia de amenazas localizados actualizados a través de un protocolo de chismes, asegurando la propagación sub-segundo de las firmas de ataque emergentes en toda la red.
Este marco autónomo integrado logró una mitigación de touch cero para el ataque de 7.3 TBPS, que contiene completamente el incidente dentro de su duración de 45 segundos sin desencadenar protocolos de respuesta a incidentes.
Todo el proceso de mitigación ocurrió de forma autónoma sin intervención humana, alertas o incidentes de servicio, mostrando la efectividad de los modernos sistemas de protección DDoS basados en la nube para defender contra amenazas cibernéticas cada vez más sofisticadas.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
