INCIBE publicó en julio de 2025 un análisis técnico detallado de los ataques DDoS contra infraestructuras empresariales. El punto de partida es un incidente concreto: en mayo de 2025, el sitio KrebsOnSecurity sufrió un ataque masivo de aproximadamente 6,3 Tbps. Duró unos 40-45 segundos.
La magnitud superó en diez veces al ataque de Mirai de 2016, que ya fue considerado un hito en la historia de la ciberseguridad. Aquel alcanzó 623 Gbps. Este, 6.300 Gbps.
KrebsOnSecurity estaba protegido por Google Project Shield. Google confirmó que fue el mayor ataque que su infraestructura había sufrido nunca. Y el responsable es un botnet IoT llamado Aisuru.
6,3 Tbps en 45 segundos
KrebsOnSecurity es un sitio de periodismo de ciberseguridad dirigido por Brian Krebs. Un sitio de un solo periodista. Y aun así, alguien decidió lanzarle el ataque DDoS más potente registrado hasta la fecha.
Si un sitio protegido por la infraestructura de Google recibe el mayor ataque de su historia, piensa en lo que puede recibir una empresa española mediana sin protección dedicada.
6,3 Tbps
El ataque contra KrebsOnSecurity duró 45 segundos y alcanzó 6,3 Tbps de tráfico. Diseñado como demostración de un nuevo botnet IoT llamado Aisuru. El atacante estaba probando la capacidad del botnet, no intentando tumbar el sitio permanentemente.
El ataque duró 45 segundos. Fue una demostración, no un ataque sostenido. El atacante estaba probando la capacidad del botnet, no intentando tumbar el sitio permanentemente. Esto es lo que lo hace relevante: alguien tiene un arma nueva y quiere que se sepa.
Aisuru: el botnet IoT que cambia las reglas
Aisuru es un botnet compuesto por dispositivos IoT comprometidos. Cámaras IP, routers domésticos, dispositivos inteligentes. Cosas que la gente instala y olvida. Sin actualizar, sin contraseñas cambiadas, sin monitorización.
Cada uno de esos dispositivos es un soldado en un ejército que su propietario no sabe que tiene. Tu router de casa puede estar participando en un ataque contra una empresa sin que tú lo sepas. Y el de tu oficina. Y el de tu almacén.
La diferencia con Mirai (2016) es notable. En menos de una década, la capacidad ofensiva se ha multiplicado por diez. La velocidad a la que crece la capacidad ofensiva supera a la velocidad a la que las empresas actualizan sus defensas.
Esto tiene una implicación directa: lo que hoy parece una protección suficiente puede quedarse corta en meses, no en años. Las soluciones de mitigación DDoS que se contrataron hace dos años pueden no estar preparadas para lo que viene.
Tu empresa en el punto de mira
Los ataques DDoS no van solo contra grandes corporaciones. Van contra la infraestructura de red de cualquier organización que tenga presencia online. Tiendas virtuales, plataformas de reservas, portales de clientes, APIs de servicios. Si tu negocio depende de que un servidor responda, eres un objetivo potencial.
Las empresas españolas tienen una superficie de ataque creciente. Más servicios online, más APIs, más integraciones con terceros, más dispositivos IoT en oficinas y almacenes. Cada punto de conexión es una puerta que un botnet puede empujar.
Y no necesitas ser objetivo directo. Los ataques DDoS se usan como distracción mientras se ejecutan otras operaciones: robo de credenciales, movimiento lateral en la red, exfiltración de datos. Si tu equipo de seguridad está ocupado mitigando un ataque DDoS, no está mirando lo que pasa dentro.
Los costes de un ataque DDoS van más allá del tiempo de caída. Pérdida de ingresos directos, daño reputacional, costes de recuperación, posibles reclamaciones de clientes por incumplimiento de SLA. En sectores como el e-commerce o los servicios financieros, una hora de caída puede suponer decenas de miles de euros.
NIS2 y los ataques DDoS: lo que cambia
NIS2 clasifica sectores como entidades esenciales e importantes. Entre las obligaciones específicas está la gestión de incidentes y la continuidad del servicio.
Un ataque DDoS que tumba tu servicio durante horas no es solo un problema técnico. Es un incidente de seguridad que hay que notificar, documentar y gestionar según protocolos. Y si no tienes esos protocolos definidos, no estás cumpliendo con NIS2.
Las multas por incumplimiento de NIS2 alcanzan los 10 millones de euros o el 2% de la facturación global. No de la facturación en España. De la facturación global de la organización.
10M EUR / 2%
Sanciones máximas por incumplimiento de NIS2: 10 millones de euros o el 2% de la facturación global anual, lo que sea mayor. NIS2 entra en vigor en España en 2026.
NIS2 entra en vigor en España en 2026. Las empresas que se clasifiquen como entidades esenciales o importantes tendrán que demostrar que tienen medidas de gestión de incidentes operativas y probadas. No basta con tener un documento. Hay que poder ejecutarlo bajo presión.
Cómo proteger tu infraestructura
Tres medidas concretas que deberías tener implementadas antes de que termine el trimestre:
1. Protección DDoS dedicada. Cloudflare, AWS Shield, Azure DDoS Protection, o equivalentes. No confíes en el firewall del hosting. Un firewall tradicional no está diseñado para absorber 6 Tbps de tráfico. Necesitas una capa de mitigación que absorba el volumen antes de que llegue a tu infraestructura.
2. Plan de respuesta a incidentes documentado y probado. Si te atacan, no es el momento de decidir quién llama a quién. El plan tiene que estar escrito, distribuido y ensayado. Cada persona del equipo de infraestructura tiene que saber cuál es su rol cuando el monitor se pone rojo.
3. Auditoría de superficie de ataque. Cuántos servicios expuestos tienes. Cuántos dispositivos IoT en tu red corporativa. Cuántas dependencias de terceros. Cada uno de esos puntos es una superficie que un atacante puede usar, directa o indirectamente.
Estas tres medidas son el mínimo. Si tu empresa está en el ámbito de NIS2, además necesitas documentarlo todo, establecer tiempos de notificación y designar responsables. La auditoría de infraestructura y el pentesting periódico son la forma de verificar que lo que crees que está protegido realmente lo está.
Pentesting + Auditoría de infraestructura
¿Sabes cuántos servicios expuestos tiene tu empresa?
Realizamos auditorías de superficie de ataque y pentesting para identificar puntos de entrada antes de que alguien los encuentre por ti. Incluye análisis de infraestructura, servicios expuestos y dispositivos IoT en red corporativa.
Hablar con un experto →Tu equipo necesita formacion en IA segura
El EU AI Act exige alfabetizacion IA para toda la plantilla desde agosto 2026. Nuestros cursos cubren compliance, agentes IA y gobernanza. FUNDAE puede subvencionar el 100% del coste.
