En más de una ocasión te habrás encontrado con que una aplicación, servicio online o página web dejan de funcionar. No están disponibles. No es por tu conexión a Internet. Ni por tus dispositivos conectados. El problema está en los servidores que hacen funcionar esa app, servicio o web. Por eso solemos decir que los servidores están caídos. Y esto puede ser por muchas razones. Una de las peores causas es un ataque DDoS, que deja inservible el servidor durante minutos, horas o días. Cada vez son más frecuentes. Y, recientemente, hemos vivido el mayor ataque DDoS de la historia de Internet. Según los expertos, detrás de este ataque está la botnet Aisuru.
Como vimos en un artículo sobre cómo funciona Internet, la red de redes que usamos a diario miles de millones de personas, es hoy una red de alcance mundial muy compleja. Y se compone de millones de ordenadores, servidores, routers, nodos, centrales intermedias y, desde hace ya unos años, toda clase de dispositivos conectados. Desde electrodomésticos a automóviles, pasando por dispositivos de domótica, lo que hoy llamamos IoT (Internet of Things, la Internet de las cosas).
Y, como sucede en el mundo físico, en la Internet digital existen individuos y grupos de personas que se lucran infectando dispositivos, secuestrándolos virtualmente y atacando servidores de Internet para que páginas web, plataformas, redes sociales o servicios de compra, banca online o sanidad queden inutilizados. El robo de datos, por un lado, y la extorsión a empresas online o a proveedores de servicios de Internet están a la orden del día. Y el mayor ejemplo, hasta la fecha, es el ataque DDoS causado por la botnet Aisuru.
Qué es un ataque DDoS
Un ataque DDoS es un ataque de denegación de servicio distribuido. En inglés, Distributed Denial of Service. Su objetivo es interrumpir el tráfico, que por regla general es fluido y estable, entre un servidor, servicio o red dentro de lo que llamamos Internet. Para lograr ese corte o interrupción, el atacante sobrecarga el servidor de la víctima o su infraestructura con un exceso de tráfico de Internet. La consecuencia es que los usuarios no podemos acceder a la web, servicio o aplicación víctima del ataque DDoS.
En igualdad de condiciones, un ataque DDoS como el de la botnet Aisuru no es tan fácil de realizar como pueda parecer. Es por eso que los atacantes, que en la actualidad suelen ser grupos profesionalizados de hackers, emplean sistemas informáticos vulnerables que han sido infectados previamente para formar parte de una red propia de dispositivos controlados a distancia. Y sin conocimiento del propietario de esos dispositivos. Estas redes de dispositivos se conocen como botnet o red de robots.
El ataque DDoS consiste en enviar solicitudes a la dirección IP del servidor atacado. Al enviar una cantidad desproporcionada de solicitudes, el servidor o red se sobrecargan y, en consecuencia, se genera una denegación de servicio. En la práctica, ese servidor es inaccesible, lo que puede afectar a cualquier servicio o plataforma de Internet.
Qué es una botnet
En la Internet actual, para que un ataque DDoS logre su objetivo, el atacante necesita un ejército de dispositivos conectados que saturen el servidor con un flujo de datos considerable. Es algo que puede darse de manera no intencionada si, por ejemplo, una página web recibe muchas visitas de manera simultánea y su servidor no está preparado. De ahí la importancia de contar con un buen proveedor de este tipo de servicios. Y cada vez es más frecuente que se generen estos ataques DDoS por parte de grupos coordinados.
Las botnet, también llamadas redes zombis, se nutren de toda clase de dispositivos conectados a Internet. En las primeras décadas de Internet, solo había ordenadores conectados. Pero hoy tenemos teléfonos móviles, tabletas, consolas de juego, televisores, electrodomésticos, routers y dispositivos de IoT o domótica como sensores, cámaras, termostatos y un largo etcétera. En la práctica, se trata de una gran cantidad de candidatos a ser infectados con malware para formar parte de un enjambre numeroso y capaz de tirar un servidor e inutilizar todo tipo de servicios online.
Las características principales de un ataque DDoS como el de la botnet Aisuru
Cuando se produce un ataque DDoS, hay varios síntomas inmediatos. Como que el sitio web, aplicación o servicio online funcionan más lentamente. Pero, por desgracia, es algo que puede ocurrir porque hay muchos usuarios accediendo. De ahí la dificultad para detectar un ataque DDoS: las conexiones de la botnet son, en apariencia, idénticas a las de cualquier otro dispositivo que se conecte al servidor o red atacados.
Sin embargo, los responsables de los servidores y redes que reciben los ataques DDoS pueden detectar esa amenaza analizando el tráfico que reciben y encontrando las muchas señales o patrones que deja este tipo de ofensivas cibernéticas:
- Subida repentina de tráfico de una sola dirección o de un rango de direcciones IP
- Excesivo tráfico con un mismo patrón: ubicación o geolocalización, tipo de dispositivo, navegador o herramienta utilizados para acceder, etc.
- Aumento inexplicable de las solicitudes a una única página o servidor, en vez de ser un tráfico repartido como suele ser habitual
- Patrones de tráficos inusuales, como picos en horas no habituales o que se repiten cada pocos minutos u horas en vez de ser sostenidos en el tiempo
Qué sabemos del ataque DDoS de la botnet Aisuru
El motivo de este artículo es el ataque DDoS detectado a finales de septiembre de 2025. En el momento de escribir estas líneas, es el mayor ataque DDoS de la historia de Internet. Al menos, que sepamos. La víctima fue Cloudflare, una empresa conocida porque ofrece su propia infraestructura de servidores a empresas y particulares de todo el mundo para, entre otras cosas, evitar los problemas derivados de un ataque DDoS.
La buena noticia es que Cloudflare fue capaz de mitigar este ataque DDoS y minimizar los daños. Nada fácil, si tenemos en cuenta que el asalto virtual tuvo un pico de 22,2 terabits por segundo. Una cantidad de datos recibidos difícilmente soportable por un ordenador o un servidor estándar. Otro dato que conocemos es que en ese ataque se enviaron 10.600 millones de paquetes por segundo. Y que, pese a estas cifras inconcebibles, el ataque DDoS duró solamente 40 segundos.
Desgraciadamente, este récord podría romperse en poco tiempo, si tenemos en cuenta que tres semanas antes de este ataque DDoS, la propia Cloudflare sufrió otra agresión virtual de 11,5 terabits por segundos y 5.100 millones de paquetes por segundo. Y dos meses antes, otro asalto de récord alcanzó un pico de 7,3 terabits por segundo.
¿Qué más sabemos de estos ataque DDoS? Según la compañía china de ciberseguridad Qi’anxin, y más concretamente su división de investigación Xlab, detrás del ataque de 11,5 Tbps está la botnet Aisuru. Así que no es descartable que el ataque DDoS más reciente también provenga de esa red de dispositivos secuestrados. Una red que asciende a más de 300.000 dispositivos en todo el mundo y que incluye routers de varias marcas, cámaras o grabadoras de vídeo o dispositivos DVR o NVR.
Una amenaza cada vez más frecuente
Como hemos visto, en poco tiempo, una sola empresa ha padecido varios ataques DDoS de grandes dimensiones. La propia firma de ciberseguridad Qi’anxin explica en su blog oficial que 2025 está siendo un año de sucesivos récords históricos en ataques cibernéticos de este tipo. Si el año empezaba con un récord de 3,12 Tbps, los picos más recientes han alcanzado 11,5 Tbps y 22,2 Tbps. Y según Qi’anxin, en muchos de estos ataques está detrás la misma botnet Aisuru.
Los ataques DDoS son cada vez más habituales por varios motivos. El principal es que son lucrativos. Es decir, que los responsables pueden ganar dinero. Convirtiendo este tipo de ciberataque en una herramienta de chantaje y extorsión. Y, por otro lado, la ingente cantidad de dispositivos vulnerables conectados a Internet facilita la creación de las botnet o redes de dispositivos secuestrados. Oportunidad y lucro inmediato.
No solo eso. La profesionalización de los cibercriminales hace que sea posible alquilar los servicios de redes botnet para ataques DDoS, difusión malware y ransomware, envío masivo de mensajes de phishing, suplantación de identidad y otros fraudes, etc. En la dark web abundan los foros de compra y venta de este tipo de servicios. Puedes comprar el software para realizar este tipo de ataques, alquilar redes botnet o, directamente, contratar grupos de cibercriminales que realicen todo el proceso por ti.
Otros ataques DDoS de récord, más allá del de la botnet Aisuru
En este artículo hemos citado los últimos récords alcanzados por ataques DDoS. La cifra de finales de septiembre de 2025 es de 22,2 Tbps. Puede que cuando leas esto, se haya superado con creces. Pero si echamos la vista atrás, podemos mencionar los más populares en los últimos años.
Si el récord de principios de 2025 estaba en 3,12 Tbps, Microsoft sufrió en noviembre de 2021 un ataque DDoS en su infraestructura Azure que alcanzó un pico de 3,47 Tbps. Y otra de las plataformas de Microsoft, el repositorio GitHub, fue atacado en febrero de 2018 alcanzando un pico de 1,35 Tbps de tráfico malicioso. Google tampoco se libra. Su infraestructura en la nube Google Cloud padeció en 2017 un ataque DDoS con picos de 2,54 Tbps.
Y si Cloudflare ha protagonizado el ataque DDoS más reciente, no es el único. El proveedor de hosting europeo OVH sufrió en 2016 una ofensiva por parte de la botnet Mirai, generando picos de 1,1 Tbps. Una botnet que, como la antes mencionada Aisuru, se nutre también de cámaras, routers y demás dispositivos secuestrados.
Por qué existen las redes botnet
Si los ataques DDoS como los protagonizados por la botnet Aisuru se han vuelto tan habituales en los últimos años, y cada vez son más potentes, es debido a la existencia de las redes botnet. Un ataque DDoS necesita realizar muchas solicitudes simultáneas y repetidas para sobrecargar la red o servidor atacado. Y no es necesaria una máquina potente. Importa más la cantidad de dispositivos que la potencia de los mismos. Por eso las principales víctimas son routers, cámaras, termostatos y demás aparatos conectados. Ordenadores diminutos, siempre conectados a Internet y que tienen en común que son vulnerables. No siempre, pero con demasiada frecuencia.
En el caso que nos ocupa, la culpa recae, en origen, sobre los fabricantes de los dispositivos secuestrados. Y, en último lugar, sobre los propios usuarios. En primer lugar, el sector de la electrónica vive un momento dorado en el que millones de hogares cuentan con dispositivos conectados para automatizar tareas como el control de la temperatura o la vigilancia. El problema de serie es que estos aparatos suelen primar la funcionalidad y la competitividad de precios por encima de la seguridad.
Dispositivos IoT vulnerables o poco seguros
Los cibercriminales aprovechan que estos aparatos no cuentan con medidas de seguridad, o son muy laxas. Y que el usuario desconoce que tiene que o puede cambiar la contraseña de serie. El resultado es que, con relativa frecuencia, millones de estos aparatos acaban engrosando las redes zombi o redes botnet.
En este sentido, en los próximos años, la Unión Europea obligará a los fabricantes a que sus dispositivos sean más seguros. Una serie de medidas para proteger al consumidor incluyen la obligación de facilitar actualizaciones de seguridad durante cierto tiempo y de ofrecer unos mínimos de seguridad que hoy apenas se cumplen.
Esto no impide que ocurran infecciones de malware más elaboradas, pero sí se lo pone más difícil a los cibercriminales. Entre los más de 300.000 dispositivos de la botnet Aisuru antes mencionada, hay routers de varios fabricantes. Y en uno de los fabricantes, se infectaron por un servidor propio. Es decir, los atacantes infectaron un servidor de actualización de firmware del router. Y el router, al actualizarse, se infectó. Culpa del fabricante que, de rebote, afecta al usuario.
Cómo se protege Internet de los ataques DDoS
Los ataques DDoS pueden ir dirigidos a cualquier servidor o dispositivo conectado, pero por lo general, las principales víctimas son servidores de aplicaciones, páginas web, servicios y plataformas online. En este sentido, el usuario de esas apps, webs y servicios poco puede hacer. La responsabilidad recae en los proveedores de los servicios. Así, las empresas que ofrecen almacenamiento en la nube y demás servicios de esta índole, cuentan con protocolos y herramientas para combatir los ataques DDoS.
Sin ir más lejos, Telefónica cuenta con protección AntiDDOS para empresas. “Nuestro servicio AntiDDoS te ayudará a detectarlos y mitigarlos antes de que lleguen a tu red corporativa, y conseguir así altos niveles de servicio gracias a la tranquilidad de contar con una protección integral contra múltiples vulnerabilidades y amenazas digitales”.
Entre las muchas medidas y herramientas para prevenir y protegerse de ataques DDoS, existen las redes distribuidas y los balanceadores de carga, que distribuyen el tráfico entre varios servidores en vez de concentrarlo en un único punto. También es importante el monitoreo en tiempo real, para detectar patrones anómalos y picos inusuales. En los últimos años, esta vigilancia constante se complementa con el uso de inteligencia artificial para detectar esos patrones. Y, finalmente, se pueden aplicar reglas y bloqueos para filtrar solicitudes de tráfico por ubicación geográfica o IP, limitar el número de solicitudes por segundo, redirigir el tráfico malicioso hacia una ruta nula mediante blackhole routing, etc.
Qué puedes hacer para protegerte tú
Ante un ataque DDoS, como usuario particular, poco puedes hacer, salvo que los servidores vuelvan a la normalidad. Algo que puede durar minutos u horas. Y si tienes una página web o tu negocio depende de Internet, puedes contratar empresas que ofrezcan infraestructura en la nube con las herramientas antes mencionadas. Así, en vez de ser tú quien se encargue de la seguridad de tus servidores, será esa empresa la que vele por ti las 24 horas.
Como usuario doméstico, lo que debe preocuparte es que tus dispositivos conectados acaben secuestrados y engrosen las filas de las redes botnet como la botnet Aisuru protagonista de este 2025. En este sentido, las precauciones y hábitos de seguridad deben ser algo habitual, especialmente si tienes un hogar inteligente con dispositivos IoT. Pero las precauciones deben extenderse a todos tus aparatos y dispositivos conectados. Aquí van algunas precauciones y consejos:
- Mantener actualizados firmware, aplicaciones, navegadores web y sistemas operativos
- El firmware de tu router lo actualiza tu proveedor de Internet de manera automática
- Limita los accesos a la configuración de tu router
- Movistar ofrece la app Smart WiFi para configurar tu conexión de forma segura
- Si es posible, cambia las contraseñas por defecto de los dispositivos IoT
- Conecta los dispositivos IoT a redes separadas (red de invitados) para minimizar daños
- No descargues nada de fuentes no fiables o desconocidas
- Configura los permisos de acceso de aplicaciones en ordenador y dispositivos móviles
- Utiliza contraseñas complejas y no las repitas
- Si puedes, activa la autenticación en dos pasos en tus servicios online
Para quienes quieran tomarse la seguridad con más seriedad, hay más consejos que pueden aplicar en su día a día para reducir la exposición a infecciones por malware y secuestros para botnets. Por ejemplo, puedes escanear tu red en busca de dispositivos conectados o actividad anómala con herramientas como Wireshark.
Si te ha gustado este artículo y quieres recibir más contenido sobre innovación y tecnología directamente en tu correo, suscríbete a nuestra newsletter y mantente siempre actualizado. No somos de los que llenan tu bandeja, solo compartimos los lunes.
