Durante el tercer trimestre del año, mientras la inteligencia artificial dominaba el debate público, Internet vivió un fenómeno sin precedentes: el tráfico de ataques DDoS dirigido a empresas de IA generativa aumentó hasta 347% mes contra mes.
Ese salto abrupto no solo marcó un punto de inflexión en la relación entre IA y ciberamenazas; fue también la primera señal visible de un trimestre que redefiniría la escala global de los ataques digitales.
De acuerdo con el Reporte de DDoS y Tendencias de Cloudflare del Q3 de 2025, la conversación pública sobre IA se volvió combustible para los picos más agresivos de ataques HTTP DDoS contra servicios de IA que Cloudflare haya observado.
La señal más contundente llegó de la mano de Aisuru, un botnet que afectó hasta a 4 millones de dispositivos, responsable del mayor ataque DDoS contra firmas de IA jamás vista: un ataque hipervolumétrico de 29.7 Tbps lanzado en septiembre. Ese momento no fue aislado; representó el ritmo de un trimestre que empujó al límite la resiliencia global de Internet.
Ataques hipervolumétricos, la nueva regla de los cibercriminales
En solo tres meses, Cloudflare mitigó 8.3 millones de ataques DDoS, el equivalente a 3,780 ataques por hora, mientras 2025 ya acumula 36.2 millones, es decir, 170% más que todo lo registrado en 2024 con un trimestre aún por delante. Con estos números, el Q3 2025 dejó claro que los ataques hipervolumétricos ya no son excepciones: son la nueva normalidad.
Aisuru fue, sin duda, el símbolo de este nuevo escenario. Sus ataques superaron 1 Tbps y 1,000 millones de paquetes por segundo con una frecuencia diaria, aumentando 54% trimestre contra trimestre y alcanzando un promedio de 14 ataques hipervolumétricos por día. El botnet no solo apuntó contra operadores de telecomunicaciones, plataformas de gaming, servicios financieros y proveedores de hosting.
A este comportamiento se añade un factor inquietante: partes de Aisuru están disponibles como botnets de alquiler, lo que democratiza la capacidad de generar caos digital. Por unos cuantos cientos o miles de dólares, cualquier individuo con intenciones maliciosas puede saturar infraestructura crítica nacional, interrumpir millones de conexiones y afectar servicios esenciales.
La tendencia general del trimestre reforzó esa narrativa. Aunque los ataques HTTP disminuyeron 41% respecto al trimestre previo, los ataques a nivel de red crecieron 87% QoQ y ya representan 71% de todos los ataques del periodo. Esta preferencia por agresiones más pesadas y difíciles de contener se refleja también en su velocidad: 89% de los ataques a nivel de red y 71% de los HTTP terminaron en menos de 10 minutos, demasiado rápido para cualquier intervención manual o solución bajo demanda, pero capaces de generar interrupciones operativas que se extienden mucho más allá de su duración.
Los factores geopolíticos que impulsan los ataques
Además de los avances técnicos, la geopolítica mostró una influencia directa en la actividad DDoS. Las tensiones entre EU y China por aranceles a vehículos eléctricos, exportaciones de minerales raros y disputas de ciberseguridad impulsaron ataques contra sectores clave. El de Minería, Minerales y Metales escaló 24 posiciones en el ranking global, mientras que el de Automotriz vivió el salto más pronunciado de todo el trimestre, avanzando 62 lugares hasta convertirse en la sexta industria más atacada del mundo.
El sector de la inteligencia artificial, por su parte, tuvo un protagonismo doble: no solo sufrió el incremento del 347% en ataques HTTP DDoS, sino que reflejó la tensión creciente entre percepción pública, regulación emergente y explotación oportunista por parte de atacantes. En un trimestre marcado por el debate sobre ética algorítmica y riesgos operativos, los adversarios digitales utilizaron el momento como vector para lanzar algunas de las campañas más agresivas del año.
En conclusión, el trimestre evidenció que las defensas tradicionales ya no son suficientes. Los ataques actuales —rápidos, automatizados e hipervolumétricos— se mueven a una escala que supera la capacidad de cualquier solución on-premise o basada en activación manual. En un entorno donde las agresiones más peligrosas pueden durar solo segundos, la resiliencia depende de sistemas autónomos, globales y distribuidos capaces de mitigar en tiempo real.
