Los ataques DDoS, las amenazas más frecuentes a infraestructuras críticas

El estudio sobre la evolución de los ataques de denegación de servicio distribuido (DDoS) de Netscout, realizado a partir de la supervisión de más de 8 millones de ataques DDoS en el mundo durante los seis primeros meses de 2025 (de ellos más de 3,2 millones en EMEA), muestra una evolución de este tipo de amenazas, que ha hecho que se hayan convertido en armas de precisión con influencia geopolítica capaces de desestabilizar infraestructuras consideradas críticas.

Grupos de atacantes, como NoName057(16), se encargaron de la orquestación de cientos de ataques coordinados cada mes, dirigidos sobre todo a los sectores de comunicaciones, transporte, energía y defensa. Es decir, a infraestructuras críticas. Los servicios de DDOS por encargo han acercado las herramientas de ataque, lo que permite que ciberdelincuentes novatos puedan realizar campañas de ataque sin tener prácticamente conocimientos para hacerlo.

La automatización impulsada por IA, los ataques multivectoriales y las técnicas de bombardeo intensivo de este tipo de ataques plantean dificultades a las defensas tradicionales. Esto, sumado a las redes de bots que se dedican a realizar ataques DDoS comprometieron durante el periodo estudiado decenas de miles de dispositivos de IoT, servidores y routers, lanzando ataques sostenidos y ocasionando perturbaciones de gran impacto.

Cada uno de estos elementos ya es peligroso de forma independiente, pero combinados han generado un riesgo elevado para las organizaciones y redes de proveedores de servicios de todo el mundo. Netscout observó más de 50 ataques superiores a un terabit por segundo (Tbps)y múltiples ataques de Gigapaquetes por segundo (Gpps) en la primera mitad de 2025. Entre ellos. un ataque de 3,12 Tbps en Países Bajos y uno de 1,5 Gpps en Estados Unidos

Los acontecimientos geopolíticos desencadenaron ataques DDoS sin precedentes. Entre ellos, el conflicto entre la India y Pakistán, que provocó que grupos de hacktivistas atacaran al Gobierno indio y al sector financiero en mayo. Además, el conflicto entre Irán e Israel generó más de 15 000 ataques contra Irán y 279 contra Israel en junio.

Los ataques impulsados por botnets son cada vez más sofisticados. En marzo se produjeron más de 880 ataques DDoS impulsados por bots al día, con un pico de 1600 incidentes, y la duración de los ataques aumentó hasta una media de 18 minutos.

En el periodo estudiado por Netscout, aparecieron nuevos actores maliciosos. Como DieNet, que aprovechando la infraestructura de DDoS de alquiler, orquestó más de 60 ataques desde marzo, mientras que Keymous+ lanzó 73 ataques en 28 sectores industriales de 23 países.

El grupo más activo siguió siendo el mencionado NoName057(16), recientemente dessarticuladoo, y con más de 475 ataques solo en marzo, un 337 % más que el siguiente grupo más activo. Sus miembros atacaron sitios web gubernamentales en España, Taiwán y Ucrania.

Richard Hummel, Director de inteligencia de amenazas de NetScout, ha recordado que «a medida que los grupos hacktivistas aprovechan una mayor automatización, infraestructura compartida y tácticas en evolución, las organizaciones deben reconocer que las defensas tradicionales ya no son suficientes. La integración de asistentes de IA y el uso de grandes modelos de lenguaje (LLM), como WormGPT y FraudGPT, aumentan esa preocupación. Y, aunque la reciente desarticulación de NoName057(16) logró reducir temporalmente las actividades de la red de bots DDoS del grupo, no se garantiza que no vuelva a convertirse en la principal amenaza hacktivista DDoS en el futuro. Las organizaciones necesitan defensas DDoS probadas y basadas en inteligencia que puedan hacer frente a los sofisticados ataques que vemos hoy en día«.