Aquesta és la primera de tres publicacions en les quals analitzarem com han evolucionat aquestes amenaces i com impacten en les estratègies modernes de ciberseguretat. En aquest post, explorarem la situació actual del DDoS: com ha canviat el perfil de l'atac, les xifres més recents, les noves tècniques emprades, els sectors més impactats i quin tipus d'estratègies de defensa comencen a ser imprescindibles. Les properes entregues se centraran en els vectors de xarxa (L3/L4) i els atacs a la capa d'aplicació (L7), des d'una perspectiva més tècnica i detallada.
Comencem aquí: amb una radiografia clara de l'estat actual del DDoS, la seva evolució recent, el seu impacte global i les claus per respondre amb eficàcia en un entorn cada vegada més complex i ràpid.
Des de principis de segle, els atacs de denegació de servei distribuïda (DDoS) han evolucionat radicalment: des d'atacs bàsics per saturació, a ofensives coordinades d'alt nivell estratègic. El 2007, Estònia va ser víctima d'un dels primers ciberatacs de DDoS a escala nacional, marcant un abans i un després en la història de la ciberseguretat. Anys més tard, el 2016, una botnet formada per dispositius IoT compromesos va atacar Dyn, un proveïdor clau de serveis DNS, generant interrupcions generalitzades en plataformes globals com Twitter, PayPal, Amazon i Netflix.
L'escalada no es va aturar allà. GitHub (2018), AWS (2020), Azure (2021) i Google (2023) també van ser blancs d'atacs cada vegada més massius i complexos, assolint xifres rècord: centenars de milions de sol·licituds per segon o pics superiors als 3,3 Tbps (terabits per segon).
Però tot això va quedar eclipsat per un esdeveniment sense precedents el 2025. Cloudflare va aconseguir mitigar l'atac DDoS més gran mai registrat: 7,3 Tbps en tan sols 45 segons, generant més de 37 terabytes de trànsit malíós. Aquest atac, dirigit contra un important proveïdor d'allotjament web, va combinar múltiples vectors com UDP Floods, atacs per reflexió NTP i trànsit originat per variants de la botnet Mirai.
Aquest recorregut històric revela una transformació clau: els atacs DDoS ja no es mesuren únicament per volum, ara compta la velocitat d'execució, la intel·ligència dels vectors i la capacitat d'evasí. Aquest canvi de paradigma representa un punt d'inflexió per a tot l'ecosistema digital.
Els informes més recents de Cloudflare i Nexusguard confirmen aquesta nova realitat. Una nova era ha començat: els atacs DDoS ja no necessiten durar hores ni moure petabytes per enderrocar infraestructures senceres. Avui, uns pocs segons ben orquestrats són suficients per desestabilitzar aplicacions crítiques i deixar fora de combat fins i tot organitzacions amb defenses avançades.
L'inici de 2025 ens ha deixat clar que estem davant d'un escenari totalment nou i desafiador: els atacs de DDoS no només són més freqüents i potents, sinó també més breus i sofisticats, superant les capacitats dels mecanismes tradicionals de protecció i detecció.
Escalada d'amenaces i magnitud sense precedents
El primer trimestre de 2025 va deixar xifres alarmants que confirmen una transformació radical en el panorama d'amenaces DDoS. Cloudflare va mitigar 20,5 milions d'atacs, cosa que representa un augment del 358 % interanual i un 198 % respecte al trimestre anterior. Aquest volum és pràcticament equivalent al total bloquejat durant tot el 2024, cosa que evidencia una acceleració sense precedents en la freqüència d'atacs.
Entre els fets més rellevants hi ha una campanya prolongada de 18 dies amb múltiples vectors d'atac, que va generar més de 6,6 milions d'atacs dirigits directament contra la infraestructura de xarxa de Cloudflare. Aquesta ofensiva va incloure vectors com SYN floods, amplificació SSDP i atacs generats per botnets com Mirai. Els pics de major intensitat van assolir els 6,5 Tbps de trànsit i els 4.800 milions de paquets per segon, xifres que superen qualsevol rècord anterior i que, per la seva brevetat (35–45 segons), superen la capacitat de resposta manual.
En paral·lel, Nexusguard va informar d'un increment del 69 % en la mida mitjana dels atacs, que es va situar en 1,35 Gbps, i un 27 % més d'atacs per fragmentació UDP, una tècnica evasiva que explota la manera com els sistemes reconstrueixen paquets fragmentats. A més, es va registrar un creixement explosiu del 876 % en atacs DNS i una consolidació del HTTPS Flood com el vector dominant, responsable del 21 % dels atacs.
Tot i que els atacs hipervolumètrics es converteixen ràpidament en notícia, la veritat és que la gran majoria —més del 85 %— són de baix volum i alta freqüència. Aquest tipus d'ofensives busca eludir els mecanismes tradicionals de detecció i consumir recursos de manera silenciosa però constant. A més, el 89 % dels atacs dirigits a la capa de xarxa i el 75 % dels atacs HTTP finalitzen en menys de 10 minuts, amb molts que conclouen en només 35 segons. La curta durada d'aquests atacs dificulta qualsevol tipus de reacció manual eficaç, cosa que fa imprescindible comptar amb sistemes de defensa automatitzats, sempre actius i amb capacitat d'inspecció en temps real.
Característiques tècniques dels atacs DDoS actuals
Els atacs de denegació de servei distribuït (DDoS) han evolucionat cap a una forma d'agressió digital molt més precisa, automatitzada i devastadora. Ja no es tracta únicament de saturar ample de banda amb trànsit massiu durant hores, ja que els atacs actuals són més breus, més potents i difícils de detectar. Segons dades recents, el 89 % dels atacs a la capa de xarxa (L3/L4) i el 75 % dels atacs HTTP (L7) tenen una durada inferior als 10 minuts, i molts dels més disruptius només superen els 35 segons. La curta durada d'aquests atacs no redueix el seu impacte: en només uns segons, aquests atacs són capaços de col·lapsar routers, interrompre serveis essencials i saturar aplicacions afectant negativament l'experiència de l'usuari, cosa que pot arribar a generar greus impactes econòmics i danys reputacionals que poden prolongar-se durant diversos dies.
Aquest nou perfil d'atac —ràpid, automatitzat i multivectorial— anul·la l'eficàcia dels processos d'escalat manual, com l'activació sota demanda de scrubbing centers o la intervenció d'analistes especialitzats en aquest tipus d'atacs. A la pràctica, les organitzacions que no comptin amb sistemes de mitigació autònoms, sempre actius i amb inspecció profunda del trànsit xifrat, queden completament exposades.
Els atacants han perfeccionat l'ús de vectors clàssics i han incorporat noves tècniques evasives. Segons Cloudflare, els principals vectors d'atac a la capa de xarxa (L3/L4) durant el primer trimestre de 2025 van ser:
- SYN Flood (30,7 %): saturació de la cua de connexions TCP mitjançant paquets SYN falsificats, generant connexions semiobertes que esgoten els recursos del servidor.
- DNS Flood (18,5 %): enviament massiu de consultes DNS per sobrecarregar resolvers o servidors autoritatius.
- Botnets Mirai i variants (18,2 %): atacs generats des de dispositius IoT compromesos, amb patrons de trànsit distribuïts i altament paral·lelitzats.
A la capa d'aplicació (L7), més del 60 % dels atacs HTTP provenen de botnets conegudes, i s'ha observat un creixement sostingut de tècniques evasives com:
- Browsers falsos o headless: agents d'usuari que simulen navegadors legítims (com Chrome o Firefox) per eludir filtres basats en signatures
- Sol·licituds HTTP manipulades: headers anòmals, variacions d'URI i patrons de consulta dissenyats per evadir cachés i WAFs.
La sofisticació dels atacs es reflecteix també en l'auge de vectors menys comuns, però altament efectius, que exploten debilitats en protocols infrautilitzats o mal configurats:
- Amplificació CLDAP (increment del +3488 %): reflexió UDP que utilitza servidors LDAP sense connexió mal configurats (port 389) per enviar respostes amplificades a la víctima, saturant la seva xarxa amb trànsit excessiu.
- ESP Flood (IPSec) (increment del +2301 %): saturació mitjançant paquets encapsulats en el protocol ESP d'IPSec, aprofitant configuracions vulnerables per saturar la infraestructura i causar interrupcions.
- SYN-ACK Flood (increment del +1457 %): inundació amb respostes TCP falses, sense necessitat de completar el handshake.
- Atacs DNS directes (increment del +946 %): trànsit DNS maliciós sense reflexió, amb volum directe des de botnets.
- Mirai i variants (constant): dispositius IoT zombificats que continuen sent una font persistent d'atacs.
Aquests vectors presenten una alta capacitat d'evasió, ja que molts d'ells no generen patrons volumètrics evidents, cosa que dificulta la seva detecció per solucions tradicionals basades en thresholds o anàlisi superficial de trànsit. A més, la seva execució distribuïda i asincrònica permet fragmentar l'atac en múltiples fluxos petits, cosa que complica encara més la seva identificació.
L'evolució dels atacs DDoS cap a formes més breus, automatitzades i multivectorials exigeix un replantejament profund de les estratègies defensives. Ja no n'hi ha prou amb comptar amb capacitat d'amplada de banda o tallafocs perimetrals: es requereix una arquitectura de defensa basada en intel·ligència d'amenaces, detecció en temps real, inspecció de trànsit xifrat i mitigació autònoma a nivell global. La resiliència davant dels DDoS ja no és una opció tècnica, sinó un requisit operatiu.
D'altra banda, el trànsit DDoS HTTP analitzat mostra un patró preocupant: una gran majoria dels atacs s'originen des de sistemes autònoms (ASN) pertanyents a proveïdors legítims de serveis cloud i d'allotjament.
Aquest fenomen evidencia un abús sistemàtic d'entorns cloud mitjançant comptes compromesos, entorns de prova mal assegurats o configuracions per defecte. La facilitat d'escalat, l'anonimat relatiu i la disponibilitat global d'aquestes plataformes les converteixen en vectors ideals per llançar atacs distribuïts de gran volum.
Sectors més atacats
L'anàlisi sectorial del primer trimestre de 2025 revela un canvi substancial en les prioritats dels atacants DDoS, amb un enfocament cada cop més ampli i estratègic. El sector d'Apostes i Casinos encapçala el rànquing com la indústria més atacada, seguit per Telecomunicacions, Tecnologia i IT, i Videojocs, tots ells sectors amb alta exposició digital, serveis crítics en temps real i una forta dependència de disponibilitat contínua.
El més significatiu, però, és la presència destacada de sectors tradicionalment menys exposats a aquest tipus d'amenaces. Ciberseguretat, Aeroespacial i Aviació, i Manufactura, Enginyeria i Tecnologia Industrial es posicionen dins del top 10 d'indústries més atacades, cosa que indica una clara diversificació tàctica per part dels ciberdelinqüents.
Aquest patró suggereix que els atacants estan prioritzant objectius amb infraestructures crítiques, entorns operatius complexos i alts nivells d'interdependència digital, on fins i tot una interrupció breu pot generar efectes en cascada a nivell operatiu, financer i reputacional. A més, molts d'aquests sectors gestionen dades sensibles o sistemes de control industrial, cosa que els converteix en blancs atractius tant per a atacs de denegació de servei com per a campanyes de distracció o sabotatge encobert.
En aquest context, la protecció DDoS ja no pot considerar-se una mesura exclusiva per a sectors de consum massiu o serveis web, sinó una necessitat transversal per a qualsevol indústria amb actius digitals exposats o processos crítics connectats a Internet. Tot això també té implicacions directes en el marc de compliment regulatori europeu. Tant la Directiva NIS2 com el Reglament DORA exigeixen a les organitzacions —especialment aquelles classificades com a entitats essencials o importants— que implementin mesures tècniques i organitzatives adequades per garantir la resiliència operativa digital davant amenaces com aquests atacs DDoS.
Conclusions
El panorama actual ens ha deixat clar que no n'hi ha prou amb protegir les vores de la infraestructura: la defensa tradicional ha caducat. La velocitat, volatilitat i sofisticació dels atacs DDoS actuals exigeixen una transformació completa del model de ciberprotecció. Ja no serveix aixecar un centre de neteja o filtrar ports coneguts; ara es tracta de respondre en temps real, amb precisió i visibilitat total del trànsit xifrat.
La protecció moderna ha de basar-se en cinc principis essencials:
- Comptar amb mitigació autònoma i instantània, que redueixi o elimini qualsevol necessitat d'intervenció humana davant d'un incident i actuï en mil·lisegons.
- Desplegar una protecció always-on i multicapa, on tallafocs de xarxa, DNS segur, WAF, mitigació de capa 7 i telemetria global treballin de forma coordinada.
- Incorporar detecció basada en comportament, que permeti identificar patrons anòmals fins i tot quan no es detecta un increment de volum.
- Executar simulacres i proves internes de pressió, perquè un equip que no ha entrenat en condicions reals difícilment podrà reaccionar davant d'un atac efectiu.
- Establir aliances actives amb proveïdors de xarxa i núvol, facilitant la neutralització de l'atac des de l'origen, abans que arribi al perímetre.
A la propera entrega analitzarem en detall com aquesta evolució del DDoS es manifesta a les capes de xarxa (L3/L4), explorant els vectors més utilitzats i com anticipar-se amb mecanismes de detecció eficaços.
