INCIBE va publicar el juliol de 2025 una analisi tecnic detallada dels atacs DDoS contra infraestructures empresarials. El punt de partida es un incident concret: el maig de 2025, el lloc KrebsOnSecurity va patir un atac massiu d'aproximadament 6,3 Tbps. Va durar uns 40-45 segons.
La magnitud va superar deu vegades l'atac de Mirai de 2016, que ja es va considerar un fita en la historia de la ciberseguretat. Aquell va assolir 623 Gbps. Aquest, 6.300 Gbps.
KrebsOnSecurity estava protegit per Google Project Shield. Google va confirmar que va ser el major atac que la seva infraestructura havia patit mai. I el responsable es un botnet IoT anomenat Aisuru.
6,3 Tbps en 45 segons
KrebsOnSecurity es un lloc de periodisme de ciberseguretat dirigit per Brian Krebs. Un lloc d'un sol periodista. I tot i aixo, algu va decidir llancar-li l'atac DDoS mes potent registrat fins a la data.
Si un lloc protegit per la infraestructura de Google rep el major atac de la seva historia, pensa en el que pot rebre una empresa espanyola mitjana sense proteccio dedicada.
6,3 Tbps
L'atac contra KrebsOnSecurity va durar 45 segons i va assolir 6,3 Tbps de trafic. Dissenyat com a demostracio d'un nou botnet IoT anomenat Aisuru. L'atacant estava provant la capacitat del botnet, no intentant tombar el lloc permanentment.
L'atac va durar 45 segons. Va ser una demostracio, no un atac sostingut. L'atacant estava provant la capacitat del botnet, no intentant tombar el lloc permanentment. Aixo es el que el fa rellevant: algu te una arma nova i vol que se sàpiga.
Aisuru: el botnet IoT que canvia les regles
Aisuru es un botnet compost per dispositius IoT compromesos. Cameres IP, routers domesticos, dispositius intel·ligents. Coses que la gent instala i oblida. Sense actualitzar, sense contrasenyes canviades, sense monitoritzacio.
Cada un d'aquests dispositius es un soldat en un exercit que el seu propietari no sap que te. El teu router de casa pot estar participant en un atac contra una empresa sense que tu ho sàpigues. I el de la teva oficina. I el del teu magatzem.
La diferencia amb Mirai (2016) es notable. En menys d'una decada, la capacitat ofensiva s'ha multiplicat per deu. La velocitat amb que creix la capacitat ofensiva supera la velocitat amb que les empreses actualitzen les seves defenses.
Aixo te una implicacio directa: el que avui sembla una proteccio suficient pot quedar curta en mesos, no en anys. Les solucions de mitigacio DDoS que es van contractar fa dos anys potser no estan preparades per al que ve.
La teva empresa al punt de mira
Els atacs DDoS no van nomes contra grans corporacions. Van contra la infraestructura de xarxa de qualsevol organitzacio que tingui presencia online. Botigues virtuals, plataformes de reserves, portals de clients, APIs de serveis. Si el teu negoci depen que un servidor respongui, ets un objectiu potencial.
Les empreses espanyoles tenen una superficie d'atac creixent. Mes serveis online, mes APIs, mes integracions amb tercers, mes dispositius IoT a oficines i magatzems. Cada punt de conexio es una porta que un botnet pot empentar.
I no necessites ser objectiu directe. Els atacs DDoS s'usen com a distraccio mentre s'executen altres operacions: robatori de credencials, moviment lateral a la xarxa, exfiltracio de dades. Si el teu equip de seguretat esta ocupat mitigant un atac DDoS, no esta mirant el que pasa a dins.
Els costos d'un atac DDoS van mes enlla del temps de caiguda. Perdua d'ingressos directes, dany reputacional, costos de recuperacio, possibles reclamacions de clients per incompliment de SLA. En sectors com l'e-commerce o els serveis financers, una hora de caiguda pot suposar desenes de milers d'euros.
NIS2 i els atacs DDoS: el que canvia
NIS2 classifica sectors com a entitats essencials i importants. Entre les obligacions especifices hi ha la gestio d'incidents i la continuïtat del servei.
Un atac DDoS que tomba el teu servei durant hores no es nomes un problema tecnic. Es un incident de seguretat que cal notificar, documentar i gestionar segons protocols. I si no tens aquests protocols definits, no estas complint amb NIS2.
Les multes per incompliment de NIS2 assoleixen els 10 milions d'euros o el 2% de la facturacio global. No de la facturacio a Espanya. De la facturacio global de l'organitzacio.
10M EUR / 2%
Sancions maximes per incompliment de NIS2: 10 milions d'euros o el 2% de la facturacio global anual, el que sigui major. NIS2 entra en vigor a Espanya el 2026.
NIS2 entra en vigor a Espanya el 2026. Les empreses que es classifiquin com a entitats essencials o importants hauran de demostrar que tenen mesures de gestio d'incidents operatives i provades. No n'hi ha prou amb tenir un document. Cal poder executar-lo sota pressio.
Com protegir la teva infraestructura
Tres mesures concretes que hauries de tenir implementades abans no acabi el trimestre:
1. Proteccio DDoS dedicada. Cloudflare, AWS Shield, Azure DDoS Protection, o equivalents. No confiis en el firewall del hosting. Un firewall tradicional no esta dissenyat per absorvir 6 Tbps de trafic. Necessites una capa de mitigacio que absorveixi el volum abans no arribi a la teva infraestructura.
2. Pla de resposta a incidents documentat i provat. Si t'ataquen, no es el moment de decidir qui truca a qui. El pla ha d'estar escrit, distribuit i assajat. Cada persona de l'equip d'infraestructura ha de saber quin es el seu rol quan el monitor es posa vermell.
3. Auditoria de superficie d'atac. Quants serveis exposats tens. Quants dispositius IoT a la teva xarxa corporativa. Quantes dependencies de tercers. Cadascun d'aquests punts es una superficie que un atacant pot usar, directa o indirectament.
Aquestes tres mesures son el minim. Si la teva empresa esta a l'ambit de NIS2, a mes necessites documentar-ho tot, establir temps de notificacio i designar responsables. L'auditoria d'infraestructura i el pentesting periodic son la forma de verificar que el que creus que esta protegit realment ho esta.
Pentesting + Auditoria d'infraestructura
Saps quants serveis exposats te la teva empresa?
Realitzem auditories de superficie d'atac i pentesting per identificar punts d'entrada abans que algu els trobi per tu. Inclou analisi d'infraestructura, serveis exposats i dispositius IoT a la xarxa corporativa.
Parlar amb un expert →El teu equip necessita formacio en IA segura
L'EU AI Act exigeix alfabetitzacio IA per a tota la plantilla des d'agost 2026. Els nostres cursos cobreixen compliance, agents IA i governanca. FUNDAE pot subvencionar el 100% del cost.
