Volver al blog

Síguenos y suscríbete

DDoS en mayo

Liam Mayron

Principal Product Manager

David King

Gerente sénior de marketing de producto, Seguridad

Seguridad

El informe meteorológico mensual exclusivo de DDoS de Fastly para mayo de 2025 revela que se lanzaron casi dos nuevos ataques cada minuto de mayo

La red global instantánea de Fastly ha detenido trillones de intentos de ataques DDoS en las capas 3 y 4. Sin embargo, los nuevos y sofisticados ataques de la capa 7 son más difíciles de detectar y potencialmente mucho más peligrosos. Esta amenaza significativa para el rendimiento y la disponibilidad de cualquier aplicación o API orientada a Internet pone en riesgo a los usuarios y las organizaciones. Fastly utiliza la telemetría de nuestra red global del borde de 427 terabits por segundo* que procesa 1,8 billones de peticiones al día** y DDoS Protection para ofrecer un conjunto único de conocimientos sobre el "clima" de las aplicaciones DDoS globales, el único informe mensual de su tipo. Aprovecha los datos anónimos, la información y la orientación práctica sobre las últimas tendencias de los ataques DDoS a aplicaciones para reforzar tus iniciativas de seguridad.

La influencia de las mejoras de producto en los informes

Fastly lleva más de una década combatiendo ataques DDoS masivos, utilizando nuestra plataforma y otras soluciones para mitigar estas amenazas. Sin embargo, lanzamos Fastly DDoS Protection en octubre de 2024 para ofrecer mitigación adaptativa y automática a nuestros clientes. Desde entonces, hemos seguido trabajando arduamente para convertirlo en la mejor solución de DDoS para aplicaciones en el mercado. Aunque ya hemos hablado largo y tendido sobre lo potente que es el motor adaptativo de la solución Attribute Unmasking para combatir los ataques, hemos estado trabajando intensamente para mejorar su base y seguir avanzando en la mejora de la detección.

Nuestras mejoras redujeron aún más el tiempo de detección al tiempo que ampliaron la visibilidad de la solución ante los ataques DDoS (especialmente los ataques más breves y pequeños). Continuamos mejorando las capacidades fundamentales de detección y mitigación, y probablemente desempeñen un papel en el motivo por el que observamos un aumento tan constante en el volumen de ataques en abril y mayo. Esperamos ver la influencia de mejoras como estas en nuestros informes, mientras refinamos continuamente el producto para que sea aún mejor para clientes como tú. Con esa advertencia fuera del camino, ¡vayamos a los resultados!

Conclusiones principales

  1. Fastly DDoS Protection observó casi dos ataques cada minuto de media en mayo.

  2. El mayor porcentaje de ataques de mayo se lanzaron los jueves y viernes entre las 14:00 y las 20:00 UTC. 

  3. Cuando un país se utiliza como parte de una regla generada automáticamente, Estados Unidos es el más común (41 %)

Tendencias del tráfico DDoS

Los ataques DDoS a aplicaciones en mayo se distribuyeron generalmente a lo largo del mes, con solo un pico importante el 6 de mayode 2025, cuando los ataques acumulados del día fueron 1,8 veces mayores que el promedio del mes. Aunque los ataques del 6 de mayo se centraron en organizaciones de medios de comunicación y entretenimiento, representando el 93 % del volumen total del día, no parecen formar parte de una campaña coordinada, ya que las empresas atacadas no pertenecen a líneas de negocio similares dentro del sector.

El volumen de ataques DDoS ha aumentado cada mes de 2025 hasta mayo, cuando el volumen de ataques intermensual fue menos de un 1 % menor que el de abril. Seguiremos supervisando esta tendencia en los próximos meses. ¡Habrá más aquí!

El mayor ataque que Fastly DDoS Protection detectó en mayo duró más de una hora, con más de 1 millón de peticiones por segundo (RPS). Aunque no es tan grande como el ataque de 250 millones de RPS que describimos en un blog anterior, ofrece una visión de las capacidades de ataque sostenido que poseen los atacantes.

Tendencias de ataque

Los eventos ocurrieron como parte de nuestra última actualización de DDoS Protection de Fastly. Con ello vienen dos características clave: eventos y detalles de eventos. Imagina que cada evento es un ataque individual, y los detalles del evento permiten a los clientes profundizar en cómo se mitigó. En mayo, Fastly DDoS Protection observó 77 459 ataques DDoS acumulados, que clasificáis como eventos. Si los distribuyéramos de manera uniforme, ¡habríamos visto casi dos eventos cada minuto de mayo!

En ediciones anteriores del informe, creamos un mapa de calor que ilustra la distribución del volumen de ataques por hora y día de la semana. Este mes, optamos por recrear ese mapa de calor, pero en su lugar, lo analizamos desde la perspectiva de los eventos por hora y día de la semana.

Al observar los ataques a través de la lente de los eventos, encontramos que, aunque los ataques ocurren a todas horas del día durante toda la semana, el mayor número de ataques se produce el jueves y el viernes entre las 14:00 y las 20:00 UTC. Esto es especialmente interesante dado que este período coincide con el horario laboral de la mayoría del mundo occidental. Al combinar esto con el conocimiento de que la mayoría de los ataques para los que pudimos crear reglas automáticamente se dirigieron a los Estados Unidos, llegamos a una conclusión interesante. Si bien normalmente hemos observado que los ataques se producen fuera del horario laboral en el mundo occidental o durante el fin de semana, los ataques de mayo afectaron a esas organizaciones cuando probablemente tenían miembros del SOC vigilando en la región. Sin información adicional de cada cliente, es difícil saber exactamente por qué mayo se apartó de la tendencia establecida, pero algunas posibles explicaciones podrían ser:

  1. Intentos de extorsión: Aunque todos los ataques observados en este informe podrían mitigarse con Fastly DDoS Protection en modo de bloqueo, no todos los clientes han hecho el cambio, y es posible que se hayan realizado ataques abiertos como estos para llamar la atención de los analistas de SOC en un intento de afirmar su dominio.

  2. Respuesta al cambio geopolítico: entre las decisiones políticas tomadas en Estados Unidos, Europa y partes de APAC, los atacantes pueden haber lanzado ataques contra los clientes de Fastly medios de comunicación y entretenimiento en respuesta a artículos y noticias que encontraron provocadoras.

Siempre hemos considerado el volumen de ataques frente al recuento de ataques en estos informes, pero ahora utilizaremos Eventos para representar el recuento de ataques como una medida aún más precisa del número de ataques que observan los clientes de Fastly. Afortunadamente para los lectores anteriores, los datos son muy similares a los que hemos observado en meses anteriores, tanto en el sector como en el tamaño de las empresas. 

Al observar los ataques de las industrias a las que os dirigís, los medios de comunicación y el entretenimiento continúan siendo el objetivo principal de los atacantes. De manera similar a nuestra hipótesis sobre por qué los ataques de mayo ocurrieron principalmente durante el horario laboral en el mundo occidental, podría haber habido un aumento en la motivación tanto de los hacktivistas como de los atacantes motivados para lanzar ataques contra organizaciones que mostraban contenido contrario a sus opiniones. Aunque normalmente observamos que el sector de medios de comunicación y entretenimiento tiene una menor proporción de recuentos de ataques, su participación de más de la mitad de todos los eventos implica que los ataques a esta industria fueron comparativamente menores que los de abril, por ejemplo, pero más frecuentes.

Al observar los ataques según el tamaño de la empresa, se revela que la gran mayoría (66 %) del volumen de ataques de mayo tiene como objetivo organizaciones de tamaño Enterprise. Para quienes sois nuevos en estos informes, así es como desglosamos el tamaño de la empresa:

  • Empresa: más de 1000 millones USD

  • Comercial: entre 100 millones y 1000 millones USD

  • Pequeñas y medianas empresas (pymes): menos de 100 millones USD

Por el contrario, el número de eventos está en gran medida vinculado a las organizaciones de PYMEs. Aunque la distribución del volumen de ataques de Enterprise aumentó significativamente en comparación con los meses anteriores, esta tendencia se alinea con la observación de que las organizaciones Enterprise reciben más volumen, pero las organizaciones SMB reciben más ataques individuales. 

Tendencias de mitigación

Como parte de los detalles del evento, Fastly DDoS Protection muestra todas las reglas asociadas con un evento. A partir de estas reglas, podemos observar tendencias en los atributos de un ataque, ayudando a los equipos a definir sus políticas de seguridad.

Se necesitaron 3,2 reglas de promedio para mitigar un evento en mayo. Como mencionamos antes, el 67 % de las reglas incluían el país del atacante como parte de la regla generada automáticamente. Los 5 países principales incluidos en la regla fueron:

  1. Estados Unidos (41%)

  2. Alemania (9%)

  3. Países Bajos (5 %)

  4. Indonesia (5 %)

  5. Singapur (5%)

En el informe de abril, observamos que, aunque es probable que una parte de los ataques sean lanzados por ciberatacantes estadounidenses, la creación de instancias sin servidor es extremadamente accesible y sencilla. Con poco esfuerzo, los atacantes pueden utilizar su sistema autónomo (AS) preferido y hacer que sus ataques se originen desde casi cualquier lugar del mundo, sin importar su ubicación real. Esta es una explicación de por qué Estados Unidos aparece con frecuencia en las normas. Eso o... Estados Unidos está lleno de atacantes; el tiempo lo dirá. 

Otro atributo utilizado como parte de las reglas de DDoS Protection de Fastly es la dirección IP. En algunos casos, un ataque puede limitarse a una sola IP, y esto ocurrió el 35 % de las veces en mayo.

Compara esto con lo que encontramos en abril (31 %), y verás solo un ligero aumento en la distribución. A partir de este conocimiento, podemos inferir que el panorama de las aplicaciones de ataque de denegación de servicio distribuido está cambiando con relativa lentitud en cuanto a sus métodos de ataque. Detener los ataques a nivel de una organización individual es complejo y probablemente requiere algún tipo de intervención automatizada. Sin embargo, desde la perspectiva de Fastly, podemos observar que hay temas recurrentes comunes en la mayoría de los ataques cada mes. Aunque el volumen ha aumentado a lo largo del año, los ataques en sí mismos se han mantenido en gran medida iguales desde una perspectiva macro. Esto puede ser porque los atacantes encuentran éxito con el enfoque actual. 

Aunque los clientes con acceso a herramientas como Fastly DDoS Protection no tienen que preocuparse por este tipo de ataques, la lentitud del cambio puede implicar que un alto porcentaje de organizaciones de todo el mundo no tenga acceso a este nivel de protección o que lo que tienen sea insuficiente; de lo contrario, ¿qué sentido tendría lanzar los ataques?

Consejos prácticos

Entonces, ¿qué puedes deducir de toda esta información?

Es fundamental tener en cuenta que este informe representa solo un mes de datos y debe utilizarse junto con información propia de tus herramientas de observabilidad e investigaciones a largo plazo para crear una visión completa. Sin embargo, incluso si nos fijamos únicamente en estos datos, hay unas cuantas cosas que conviene tener en cuenta para reforzar tu seguridad.

  1. El volumen de ataques fue ligeramente menor en mayo que en abril, pero aún era mucho más alto que cualquier otro mes del primer trimestre. Aunque el almacenamiento en caché del contenido puede aliviar parte de la carga en los servidores de origen, las organizaciones deberían considerar implementar soluciones dedicadas de DDoS que puedan adaptarse a los patrones variables del tráfico legítimo y de ataque.

  2. Los profesionales de la seguridad y los directivos de las organizaciones deben comprender el panorama de las amenazas, evaluar los riesgos propios de su sector y aplicar las estrategias defensivas correspondientes. Por ejemplo, una empresa centrada en facilitar la adopción de mascotas es probablemente un objetivo menos atractivo en comparación con una organización de medios de comunicación, que puede enfrentarse a amenazas que van desde los hacktivistas a los actores de origen estatal.

  3. El volumen de ataques se mantuvo relativamente constante durante toda la semana, pero alcanzó su punto máximo el jueves y el viernes entre las 14:00 y las 20:00 (UTC), lo que resalta la importancia de contar con un Centro de Operaciones de Seguridad (SOC) 24/7/365 para las organizaciones que operan en EMEA o APAC.

Mitiga automáticamente los ataques distribuidos más peligrosos

Como siempre, sería negligente no recordarte que soluciones como Fastly DDoS Protection detienen automáticamente los ataques detallados en este informe con los conocimientos que necesitas para validar rápidamente la eficacia. Fastly DDoS Protection ha sido calificada con 4,7/5 estrellas por tus colegas en Gartner Peer Insights y aprovecha el descomunal ancho de banda y las técnicas adaptativas de nuestra red para garantizar que tus sitios web sigan siendo rápidos y estén disponibles, todo ello sin necesidad de configuración. Comienza a utilizar nuestra tecnología adaptativa hoy mismo y obtén hasta 500 000 peticiones gratis, o contacta con nuestro equipo para saber más.

* A partir del 31 de marzo de 2025.

** A partir del 31 de julio de 2023

Fastly
© Fastly 2025