En noviembre de 2025 se detectó un asalto digital que volvió a poner en evidencia la capacidad de daño de las grandes botnets: un ataque DDoS impulsado por el enjambre conocido como AISURU o Kimwolf alcanzó un pico de tráfico de más de 31 Tbps y, aunque su duración fue breve —apenas 35 segundos—, bastó para romper récords y obligar a automatismos de mitigación a entrar en acción.
No se trató de un pulso aislado sino de una serie de campañas cada vez más volumétricas y sofisticadas. Según el informe público de Cloudflare sobre la actividad en el cuarto trimestre de 2025, este tipo de incidentes forman parte de un patrón: oleadas de peticiones HTTP y paquetes por segundo cuyo tamaño y frecuencia han escalado rápidamente en el último año. El propio análisis de Cloudflare documenta ataques con tasas medias en algunas campañas del orden de varios billones de paquetes por segundo y picos de decenas de terabits por segundo, cifras que antes se veían como prácticamente inimaginables. Más información y datos del informe pueden consultarse en el blog de Cloudflare: DDoS Threat Report Q4 2025.
El motor detrás de buena parte de esa fuerza bruta no son centros de servidores sofisticados, sino dispositivos cotidianos que han sido secuestrados: AISURU/Kimwolf ha logrado incorporar a su red a más de dos millones de móviles y aparatos con Android, con especial incidencia en cajas de TV Android de marcas económicas. Muchos de esos equipos actuaban como “nodos residenciales” que reenviaban tráfico malicioso desde direcciones IP domésticas, lo que complica su detección y facilita que los ataques parezcan salir de usuarios legítimos.
La amenaza se amplificó por un ecosistema comercial opaco. Investigaciones vinculadas a este fenómeno han señalado a redes de proxies residenciales y a empresas que comercializan servicios de salida ("residential proxies") como facilitadoras: sus SDKs y aplicaciones troceadas permitieron que dispositivos fueran enrolados a gran escala sin el consentimiento de los propietarios. Frente a esto, gigantes como Google intervinieron para desactivar partes de esa infraestructura y colaborar en acciones técnicas y legales destinadas a cortar la comunicación entre los controladores y los dispositivos infectados.
Para entender la magnitud del problema conviene mirar los números agregados: 2025 fue un año en el que la actividad DDoS se disparó. Cloudflare contabilizó decenas de millones de ataques mitigados a lo largo del año, con un crecimiento anual que más que duplicó el conteo respecto al año anterior, y con una concentración notable de incidentes en el último trimestre. El informe también muestra que la mayoría de las agresiones se originaron a nivel de red —los llamados ataques de capa de red— y que sectores como telecomunicaciones, proveedores de servicios y software estuvieron entre los más golpeados. Puede consultarse el análisis de tendencias y cifras en el radar y el informe de Cloudflare: Cloudflare Radar y el reporte completo.
En paralelo, medios especializados han venido contando historias concretas sobre cómo pequeños aparatos en los hogares se convierten en piezas de gigantescas botnets. Un repaso sobre el riesgo que representan los televisores y cajas de streaming Android se puede leer en una pieza de investigación publicada en KrebsOnSecurity, que documenta cómo dispositivos baratos y mal gestionados se transforman en multiplicadores de tráfico malicioso: Is your Android TV streaming box part of a botnet?.
¿Qué pueden y deben hacer las organizaciones y los usuarios? Para empresas y operadores que dependen de la disponibilidad continua, la lección es clara: la defensa tradicional en cajitas locales o centros de depuración bajo demanda puede no ser suficiente contra ataques hipervolumétricos que se miden en terabits y en miles de millones de paquetes por segundo. Las soluciones basadas en la nube y las redes de distribución global con capacidad de absorción y mitigación automática se han convertido en una pieza crítica del rompecabezas defensivo. Al mismo tiempo, en el plano del usuario final, la higiene digital básica —evitar instalaciones de aplicaciones no verificadas, actualizar firmware, y optar por hardware con soporte reputado— reduce la superficie de ataque y la probabilidad de que un dispositivo termine en una botnet.
Además, operadores y fabricantes deben tomar medidas proactivas: aplicar mecanismos de verificación en cadenas de suministro de software, restringir privilegios de apps, ofrecer actualizaciones sencillas y forzar parches de seguridad en equipos con funciones de red. Los proveedores de servicios que gestionan tráfico masivo deben revisar sus acuerdos, capacidades de escalado y coordinación con socios de seguridad para responder a picos repentinos de tráfico.
El panorama del 2025 demuestra que los ataques DDoS dejan de ser meros episodios de molestia y se convierten en instrumentos que pueden afectar la economía digital a gran escala. La combinación de dispositivos inseguros, mercados que monetizan proxies residenciales y herramientas automatizadas para generar tráfico malicioso ha elevado el umbral de lo que las organizaciones deben anticipar. La respuesta pasa por modernizar defensas, colaboración público-privada y mejorar la robustez de los equipos conectados en nuestros hogares.
Si quieres profundizar en cifras, técnicas de mitigación y recomendaciones concretas para diferentes tipos de organizaciones, el informe de Cloudflare es un buen punto de partida y el artículo de KrebsOnSecurity ayuda a comprender cómo los dispositivos domésticos alimentan estas amenazas: Cloudflare Q4 2025 DDoS report y KrebsOnSecurity sobre Android TV y botnets.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...