El último informe meteorológico mensual sobre DDoS detalla el ataque DDoS que casi arruinó la Navidad: el mayor ataque sufrido por Fastly en 2025
La red global instantánea de Fastly ha detenido billones de intentos de ataques DDoS en las capas 3 y 4. Sin embargo, los nuevos y sofisticados ataques de capa 7 son más difíciles de detectar y pueden ser mucho más peligrosos. Esta amenaza significativa para el rendimiento y la disponibilidad de cualquier aplicación o API orientada a Internet pone en riesgo a los usuarios y las organizaciones. Fastly utiliza la telemetría de nuestra red del borde global de 497 terabits por segundo* que atiende 1,8 billones de peticiones al día** y Fastly DDoS Protection para ofrecer un conjunto único de conocimientos sobre el «clima» global de las aplicaciones DDoS, el único informe mensual de este tipo. Aprovecha los datos anónimos, los conocimientos y las recomendaciones prácticas sobre las últimas tendencias en ataques DDoS contra aplicaciones para reforzar tus iniciativas de seguridad.
Conclusiones principales:
El ataque de mayor volumen de 2025: el 25 de diciembre fue el día con mayor volumen de ataques de todo 2025, y el volumen se atribuye principalmente a un solo ataque.
El tamaño de los ataques fue mayor que en los meses anteriores: si bien el número de ataques fue similar al de noviembre, el volumen fue mucho mayor, lo que indica ataques más grandes de media.
Los ataques sofisticados combinan múltiples vectores DDoS: el ataque masivo del 25 de diciembre aprovechó diversos tipos de DDoS (tanto a nivel de red como de aplicación) en un intento fallido de causar impactos en el rendimiento.
Tendencias de ataques de diciembre
Tras cuatro meses consecutivos de descenso en el volumen de ataques DDoS, entramos en diciembre sin saber si la tendencia continuaría, pero descubrimos todo lo contrario. Diciembre registró el mayor volumen diario de ataques con diferencia.
Comparando diciembre con todos los demás meses de 2025, vemos que no solo se desvía de la tendencia, sino que es, con diferencia, el mes con mayor volumen de ataques, un 37 % más que el siguiente mes más alto, junio.
Aunque el volumen de ataques fue significativamente mayor en diciembre, el número de ataques individuales se mantuvo relativamente estable de mes a mes.
Dado que noviembre tuvo uno de los volúmenes de ataques más bajos de 2025 y diciembre el más alto, la similitud en el número de ataques sugiere un mayor volumen de ataques en general. El análisis de los datos reveló que el mayor tamaño medio de los ataques está muy sesgado por un único ataque ocurrido el 25 de diciembre, el día con mayor volumen de ataques de este año. Así es como se manifestó ese ataque.
El ataque del Grinch: el mayor ataque DDoS de 2025
La ciberseguridad no tiene días de descanso.
Mientras muchos disfrutaban del tiempo con sus seres queridos durante las fiestas navideñas, los equipos de ciberseguridad (que a menudo operan con poco personal) de todo el mundo permanecieron alerta para mitigar los ataques. Y con razón: en la noche de Navidad en Estados Unidos, un cliente empresarial de tecnología punta sufrió toda la fuerza de una enorme red de bots que ejecutó el mayor ataque DDoS que Fastly vio en todo 2025.
Mientras muchos habitantes de la costa oeste de Estados Unidos se sentaban a disfrutar de su cena de Navidad, una red de bots a gran escala lanzó un sofisticado ataque DDoS, combinando inundaciones de red y aplicaciones procedentes de todo el mundo con el fin de saturar a un cliente en un momento en el que los atacantes suponían que su objetivo podría estar desprevenido.
En Fastly, llamaremos a este intento de «robar la Navidad» al equipo de ciberseguridad del objetivo como el «ataque del Grinch».
(Sí, esta es la mejor versión. No me @).
A medida que profundizamos en los detalles del ataque para comprender mejor el poder y la capacidad que tienen estas redes de bots a su disposición, es importante establecer un punto de referencia sobre los diferentes tipos de ataques DDoS que pueden lanzar. La mayoría de los ataques se presentan en una de estas tres formas:
Ataques de paquetes por segundo (PPS ): suelen estar diseñados para saturar la CPU y las tablas de estado, ejerciendo presión sobre la capacidad de procesamiento de paquetes, y suelen producirse en los niveles 3 o 4.
Ataques de terabits por segundo (Tbit/s): se centran en el agotamiento del ancho de banda en los niveles 3 o 4 y saturan las canalizaciones independientemente del número de paquetes.
Peticiones por segundo (RPS): presionan a nivel de aplicación (nivel 7) al inundar las aplicaciones y las API con peticiones completamente formadas.
A menudo, observamos que un ataque se centra en uno solo de estos tres métodos, pero a medida que aumenta la sofisticación del ataque, los atacantes combinan varios métodos para saturar tanto los recursos de hardware como al personal humano que combate el ataque. En el caso del ataque del Grinch, los delincuentes combinaron simultáneamente un ataque RPS de alto nivel con un ataque PPS de bajo nivel para causar más daños.
La fase de ataque DDoS de la aplicación del Grinch
En la noche de Navidad, los atacantes se dirigieron contra múltiples aplicaciones y API de una importante empresa de tecnología punta a una escala sin precedentes. En un minuto, el Grinch alcanzó más de 10 millones de solicitudes por segundo y, poco después, alcanzó un máximo sostenido de más de 100 millones de solicitudes por segundo durante tres minutos. Para contextualizar, en los informes de meses anteriores, hemos detallado ataques masivos de 1 millón y 15 millones de RPS que batieron récords, pero este no solo alcanzó una escala entre 7 y 8 veces mayor, sino que también continuó durante unas 48 horas más.
El siguiente gráfico utiliza una escala logarítmica; los intervalos verticales iguales representan cambios en el tráfico por órdenes de magnitud, no cantidades fijas de solicitudes. Este formato nos permite ver tanto el tráfico normal como los picos extremos representados en el mismo gráfico. El gráfico muestra no solo la enorme magnitud que alcanzó el ataque en sus inicios, sino también el ataque sostenido que continuó durante varios días a partir de entonces.
En total, esta fase del Grinch consistió en más de 220 000 millones de peticiones, muchas veces más que cualquier otro ataque de este mes.
Profundizando un poco más, exploramos los tipos de reglas que Fastly DDoS Protection generaba automáticamente para mitigar el ataque. Mitigar los ataques de esta sofisticación sin afectar al tráfico legítimo es complejo, pero el Adaptive Threat Engine de la solución creó más de mil reglas para separar los ataques del tráfico legítimo. Al examinarlas en su conjunto, surgen algunos patrones.
El 75 % de las reglas lograron aislar el ataque a un solo país. El tráfico del ataque del Grinch provino principalmente de Estados Unidos (25 %), Brasil (22 %) y México (21 %).
Como dato anecdótico, muchos de los principales países afectados por el ataque son los que se mencionan en el análisis de XLab sobre la red de bots Kimwolf, que recientemente ha sido objeto de atención. Por ello, nuestro equipo cree que, dada su enorme escala y las similitudes geográficas, esta red de bots podría ser la responsable del lanzamiento del Grinch. Si no has oído hablar antes de esta red de bots, echa un vistazo al reciente artículo de Brian Krebs aquí.
Aunque el código de país ayudó a aislar partes del ataque, este atributo de regla siempre se utiliza en combinación con otros para separar de forma segura los ataques del tráfico legítimo. En el caso del Grinch, se necesitaron más de 4 atributos de media en cada regla para aislar el tráfico de ataque del resto. Las combinaciones de atributos como IP específicas (28 % de las reglas), ASN (57 % de las reglas) y huellas digitales generales del navegador/encabezado (99 % de las reglas) permitieron a Fastly DDoS Protection aislar de forma segura y automática el tráfico de ataque de Grinch durante las más de 48 horas que duró.
La fase de ataque DDoS de la red del Grinch
A medida que el ataque DDoS de la aplicación del Grinch comenzó a estabilizarse (aún a un nivel altísimo de aproximadamente 1 millón de RPS) y a mostrar un lento descenso unas horas después del inicio del ataque (probablemente porque los atacantes vieron que el éxito era limitado), rápidamente añadieron una nueva variable a la mezcla: un ataque DDoS de red. Esta fase, atribuible principalmente a ataques procedentes de Sudamérica, duró casi media hora e intentó saturar los servicios con casi 70 millones de PPS. Curiosamente, al observar el ataque L7 con esta información, vemos que, justo después de que se iniciara el ataque DDoS de red, el ataque L7 comenzó a ralentizarse y, poco después, disminuyó significativamente en RPS.
Aunque no podemos afirmar con certeza cuál fue la causa, este hecho podría indicar que los atacantes se encontraron con limitaciones de capacidad y recursos, ya que la red de bots solo dispone de una cantidad limitada de potencia en un momento dado si no hay dispositivos infectados disponibles para su uso. No se trata en absoluto de una conclusión definitiva, ya que hay decenas de explicaciones posibles (el ataque alcanzó su límite de recursos, los atacantes se dirigieron a otras organizaciones que no son clientes de Fastly y un sinfín de otras respuestas), pero la combinación de todos estos factores en esta fase de los ataques nos lleva a conclusiones que, como mínimo, invitan a la reflexión.
Consejos prácticos
Entonces, ¿qué puedes deducir de toda esta información? ¿Cómo puedes proteger a tu organización frente al Grinch?
Los atacantes son inteligentes y su objetivo es interrumpir las operaciones cuando perciben que las defensas están bajas. El hecho de atacar a una organización con sede en EE. UU. en Navidad fue intencionado y refuerza la necesidad de soluciones automatizadas o de un proveedor de seguridad gestionada que sea capaz de mitigar los ataques a pesar de la posible reducción de personal durante las fiestas.
Lo ocurrido con el Grinch tras varios meses consecutivos de bajo volumen de ataques ejemplifica por qué las organizaciones necesitan una solución que funcione siempre o bajo demanda para mitigar los ataques cuando inevitablemente se produzcan. De este modo, se flexibiliza el presupuesto sin sacrificar la seguridad.
El tamaño, la escala y la complejidad de los ataques masivos requieren una solución automática que pueda separar con seguridad el tráfico de ataque del normal. Fastly DDoS Protection creó más de mil reglas en el transcurso del ataque del Grinch, y eso no es algo que los humanos puedan reproducir a la misma escala, velocidad y eficacia.
Mitiga automáticamente los ataques distribuidos más peligrosos
Aunque los ataques masivos acaparan los titulares, hemos observado un volumen constante de ataques DDoS dirigidos a organizaciones de todos los sectores. La naturaleza impredecible de estos ataques pone de relieve la necesidad de que las organizaciones busquen una solución que mitigue automáticamente los ataques distribuidos y multivectoriales que se detallan en este informe. Deja que nuestra tecnología adaptativa absorba el siguiente pico para que no tengas que hacerlo tú. Ponte en contacto con nuestro equipo o comienza tu prueba gratuita hoy.
* A partir del 31 de marzo de 2025
** A partir del 31 de julio de 2023