Volver al blog

Síguenos y suscríbete

DDoS en junio

Liam Mayron

Principal Product Manager

David King

Gerente sénior de marketing de producto, Seguridad

SeguridadInformación del sector

El informe meteorológico mensual exclusivo de Fastly sobre ataques DDoS para junio de 2025 revela que se produjeron 250 000 millones de solicitudes maliciosas dirigidas contra un importante proveedor de alta tecnología

La red global instantánea de Fastly ha detenido billones de intentos de ataques DDoS en las capas 3 y 4. Sin embargo, los nuevos y sofisticados ataques de capa 7 son más difíciles de detectar y potencialmente mucho más peligrosos. Esta importante amenaza para el rendimiento y la disponibilidad de cualquier aplicación o API orientada a Internet pone en riesgo a usuarios y organizaciones. Fastly utiliza la telemetría de nuestra red del borde global de 427 terabits por segundo*, que atiende 1,8 billones de peticiones al día**, y Fastly DDoS Protection para ofrecer un conjunto único de conocimientos sobre el «clima» global de DDoS a aplicaciones, el único informe mensual de este tipo. Aprovecha los datos anónimos, la información y la orientación sobre las últimas tendencias de los ataques de DDoS a aplicaciones para reforzar tus iniciativas de seguridad.

Conclusiones principales

  1. Un ataque de más de 250 000 millones de solicitudes ha sido el mayor ataque DDoS a aplicaciones que hemos observado en lo que va de año.

  2. Fastly DDoS Protection detectó una media de casi dos ataques por minuto en junio.

  3. Se detectó una sola firma JA4 en el 17 % de las reglas asociadas

Tendencias de tráfico

Todos los días de junio, Fastly DDoS Protection detectó miles de millones de ataques DDoS contra servicios de atención al cliente. Los ataques DDoS acumulados contra aplicaciones en junio se concentraron principalmente en dos días a principios de mes. Los días 6 y 7 de junio, el volumen de ataques fue tan grande que sesgó drásticamente la forma en que aparece el resto del volumen del mes en el gráfico. De hecho, el pico de tráfico del 6 de junio es 20 veces mayor que cualquier otro día fuera del pico de 2 días.

Volumen de ataques DDoS de junio

El repunte es tan grande que ha elevado el volumen medio del mes por encima de la mayor parte del volumen acumulado diario del mes. Si comparamos el volumen diario de ataques con todo el año 2025, veremos la magnitud real de estos ataques. Ningún otro día de 2025 se le acerca. La diferencia de escala es tan grande que hay días enteros de enero que ni siquiera aparecen en el gráfico.

Solicitudes de ataques DDoS contra aplicaciones en 2025

Dada la enorme diferencia de volumen entre el 6 y el 7 de junio, nos propusimos comprender qué había ocurrido: ¿se trataba de un ataque coordinado contra varios clientes, un sector concreto o algo intermedio? La verdad era mucho más preocupante.

El GRAN pico

Fastly DDoS Protection ha observado algunos ataques masivos este año, el más reciente en nuestro informe de mayo, un ataque que duró más de una hora, con más de 1 millón de peticiones por segundo (RPS). Sin embargo, los días 6 y 7 de junio, la mayoría del volumen de ataques se atribuyó a dos ataques coordinados contra un solo cliente importante (Enterprise) que opera en el ámbito de la alta tecnología. En el transcurso de solo dos días, los agentes malintencionados lanzaron dos ataques diferentes que alcanzaron un acumulado de más de 250 000 millones de peticiones. A continuación, describiremos los detalles del ataque y las características definitorias, lo que te dará una idea del poder y la escala sostenida que los actores maliciosos tienen a su disposición.

A las 22:00 hora local (según la ubicación de la sede del cliente), un importante proveedor de alta tecnología observó el inicio de un aluvión de más de 4 horas contra uno de sus servicios de mayor visibilidad. El primero de los dos ataques prolongados se lanzó desde varios países, incluidos Alemania, China, los Estados Unidos, la India y, sobre todo, los Países Bajos. El ataque, que alcanzó un máximo de 1,6 millones de RPS, fue detectado en cuestión de segundos por Fastly DDoS Protection, que aprovechó múltiples atributos, como el nombre de host y los detalles de TLS, para separar el ataque distribuido del tráfico legítimo con el que pretendía mezclarse. A las 2:15, hora local, el primer ataque finalmente llegó a su fin. Lamentablemente, la historia no termina aquí.

Media hora más tarde, el ataque se reanudó durante otras 19 horas. Probablemente perpetrado por el mismo agente malintencionado, dadas las huellas dactilares del ataque y los países de origen casi idénticos, este ataque alcanzó un máximo de 1,7 millones de RPS.

Al reunir los datos de ambos ataques, se revela que, si bien la mayoría del tráfico procedía de los Países Bajos, los Estados Unidos, Alemania e Indonesia, cada una de las reglas creadas automáticamente para mitigar el ataque incluía un país más (Francia, China o el Reino Unido). Parece ser un esfuerzo concertado del atacante para ocultar sus pistas.

Junio: fuente de tráfico con picos importantes debido a un ataque DDoS

Por desgracia para él, no funcionó. El cliente no sufrió ningún impacto en el tiempo de inactividad ni en la latencia y nuestra tecnología patentada de revelación de atributos se centró en sus características de ataque.

En total, estos ataques duraron casi 24 horas. La escala y la duración son un recordatorio para todas las empresas de la importancia de una solución automatizada de mitigación de ataques de denegación de servicio distribuido. Si bien hemos observado que casi la mitad de todos los ataques duran menos de un minuto, ejemplos como este ponen de relieve por qué no es práctico que los equipos redacten manualmente reglas estáticas para combatir un ataque. A pesar de que el ataque cambió a lo largo de su duración, Fastly DDoS Protection pudo adaptarse para seguir el ataque sin que afectara al tráfico legítimo.

Tendencias de ataque

Los eventos se incluyeron en una actualización reciente de Fastly DDoS Protection que ofrecía dos funciones clave: eventos y detalles de eventos. Imagina que cada evento es un ataque individual y que los detalles del evento permiten a los clientes profundizar en cómo se mitigó. Básicamente, los eventos nos proporcionan una forma más precisa de medir un ataque individual. En junio, Fastly DDoS Protection observó 77 451 ataques DDoS acumulados, que categorizamos como eventos. Sorprendentemente, estos son solo ocho ataques menos de los que vimos en el informe de mayo. Si bien podría tratarse de una mera coincidencia, también podría reflejar la cantidad de atacantes en el mundo. Quizás cada mes lancen un número similar de ataques acumulativos, solo contra diferentes organizaciones. Continuaremos supervisando esta tendencia en futuras ediciones. Vale la pena señalar que si distribuyéramos uniformemente los eventos en junio, habríamos visto casi dos ataques por minuto.

Cada mes, investigamos los ataques DDoS a través de la óptica de quién fue atacado. Dado el volumen de los ataques del 6 y 7 de junio, verás su influencia en cada uno de los gráficos de volumen que aparecen a continuación.

El volumen de ataques por sector está claramente sesgado por la empresa de alta tecnología mencionada en la sección anterior, pero si lo comparamos con el recuento de eventos por sector, vemos que los medios de comunicación y el entretenimiento fueron el objetivo principal de la mayoría de los ataques. Este dato coincide con lo que hemos visto en informes anteriores, posiblemente porque este sector es el más propenso a atraer la atención no deseada de los atacantes que no están de acuerdo con el contenido publicado en sus sitios.

Las empresas son de todos los tamaños y nos proporcionan otra óptica a través de la cual observar los ataques. Para quienes no estéis familiarizados con estos informes, desglosamos el tamaño de las empresas en función de sus ingresos anuales:

  • Enterprise: Más de 1000 millones USD

  • Commercial: Entre 100 millones y 1000 millones USD

  • Pequeñas y medianas empresas (pymes): menos de 100 millones USD

Comparación de ataques de junio por tamaño de empresa

Aunque la empresa objetivo del ataque a gran escala de junio sesga el gráfico de volumen, las pequeñas y medianas empresas representan la mayor parte del recuento de incidentes. Dada la distribución por sectores de los eventos, es probable que también se trate de pymes de los sectores de medios de comunicación y entretenimiento, alta tecnología y comercio. Su prevalencia es tanto un reflejo de la base de clientes de Fastly como del hecho de que hay muchas más pymes que facturan menos de 100 millones de dólares al año que empresas más grandes que generan más ingresos. El dinero que hay en el mundo es el que hay.

Tendencias de mitigación

En los dos últimos informes, examinamos qué porcentaje de reglas incluyen el país y/o la IP y descubrimos que los resultados eran bastante similares.

  1. La dirección IP se incluyó en el 31 % y el 35 % de las reglas en abril y mayo, respectivamente.

  2. La geolocalización se incluyó en el 66 % y el 67 % de las reglas en abril y mayo, respectivamente.

Como estos porcentajes parecen repetirse mes a mes, optaremos por hablar de ellos con menos frecuencia en futuras ediciones. Teniendo esto en cuenta, este mes hemos examinado cómo se utilizan firmas como JA4 en una regla para identificar a un atacante cuando se asocia a otros parámetros como la geolocalización, la IP, el cliente atacado, etc. Para aquellos que no estéis familiarizados, una JA4 es una huella digital de un cliente TLS que incluye información como el protocolo, la versión de TLS, el SNI, el número de suites de cifrado, etc., que se ve en un paquete Client Hello TLS. Aunque no es raro que las JA4 se compartan entre peticiones completamente legítimas, cuando se suman a otros parámetros, constituyen una perspectiva eficaz a través de la cual podemos identificar a un atacante. Ello se debe, en parte, a que las firmas como JA4 son bastante más difíciles de falsificar que atributos como la dirección IP o el User-Agent.

En junio, se utilizaron firmas como JA4 para identificar una parte significativa de los ataques. Aunque la gran mayoría de las JA4 solo se utilizaban en una única regla, identificamos una que estaba implicada en el 17 % de todas las reglas.

Distribución de firmas

Al examinarlo más a fondo, encontramos que cuando esta firma se usa en una regla que incluye la geolocalización, generalmente se asocia con tráfico de Europa (39 %) o Estados Unidos (13 %). Esta firma también parece aprovechar una red de bots con diversas IP a su disposición, ya que la gran mayoría de las reglas relacionadas con ella no son capaces de identificar el ataque en una sola IP. Esto es indicativo de un ataque altamente distribuido y probablemente de un individuo o un grupo de individuos con una gran experiencia en el mundo de los ataques DDoS.

Los clientes a los que se dirige esta firma también son muy reveladores. Hay 53 clientes únicos asociados a ataques de esta firma, y una parte significativa de ellos operan en agencias de noticias y plataformas que les dan soporte. Además, algunos de los clientes atacados se centran en noticias hiperregionales dentro de Europa. Dado que no reciben un tráfico global generalizado debido a su enfoque local, es posible que este agente malintencionado se encuentre en algún lugar de la Unión Europea.

Dada la prevalencia de este atacante en Europa, con un enfoque particular en las agencias de noticias y plataformas SaaS afines, hemos optado por llamarlo Byline Banshee. Haciendo un guiño al folclore irlandés (país del que hemos visto originarse una parte del tráfico geolocalizado de este atacante), sus ataques han sido bastante ruidosos, al igual que el espíritu afligido del que procede el nombre. Estaremos atentos para ver si Byline Banshee resurge en los próximos meses.

Consejos prácticos

Entonces, ¿qué puedes deducir de toda esta información?

Es importante tener en cuenta que este informe solo representa un mes de datos y debe utilizarse junto con información propia de tus herramientas de observabilidad e investigaciones a largo plazo para tener una visión completa. Sin embargo, incluso si nos fijamos únicamente en estos datos, hay un par de aspectos que conviene tener en cuenta a la hora de reforzar la seguridad.

  1. Asegúrate de que tu defensa sea lo suficientemente potente como para hacer frente a ataques DDoS contra aplicaciones a una escala de más de mil millones de RPS. Aunque en el pasado hemos visto ataques de esta magnitud dirigidos a los clientes Enterprise más grandes de nuestra plataforma, el ataque de junio contra una organización de tamaño comercial deja claro que, aunque esas organizaciones generen menos ingresos, no por ello son menos propensas a recibir la atención no deseada de los atacantes.

  2. Plantéate usar firmas como JA4 para identificar a los atacantes (o productos como Fastly DDoS Protection, que las incluye automáticamente en las reglas). Aunque no es algo nuevo, ofrece otro prisma desde el que ver los ataques y separar con precisión el tráfico sin afectar a los usuarios legítimos.

  3. Ten en cuenta cómo aplicas las decisiones basadas en la ubicación geográfica si sigues creando reglas o límites de velocidad manualmente (o si optas por la creación automática de reglas). Como se ha visto en los ataques de Byline Banshee este mes, la gran mayoría del tráfico procedía de países que no se ajustan a la definición de Estado-nación.

Mitiga automáticamente los ataques distribuidos más peligrosos

Como siempre, sería negligente por nuestra parte no recordarte que soluciones como Fastly DDoS Protection detienen automáticamente los ataques detallados en este informe y te ofrecen los conocimientos necesarios para validar rápidamente su eficacia. Gracias al descomunal ancho de banda de nuestra red y sus técnicas adaptativas, Fastly DDoS Protection te ofrece la velocidad y disponibilidad que necesitas sin tener que configurar nada. Empieza a aprovechar nuestra tecnología adaptativa hoy mismo y consigue hasta 500 000 peticiones gratis, o contacta con nuestro equipo para obtener más información.

Fastly
© Fastly 2025