Ignore los titulares sobre el «mayor ataque DDoS de la historia»: lo que importa es el efecto

Otro día, otro «mayor ataque DDoS de la historia».

‍

Has visto los titulares. Un proveedor de seguridad publica una nueva publicación. Las cifras son enormes. Los gráficos son dramáticos. Y en algún lugar de la mezcla está la frase «batir récords». ¿La conclusión implícita? Nos encargamos de algo enorme. Confía en nosotros, lo tenemos.

‍‍

Cloudflare es uno de los actores más visibles en lo que respecta a estas actualizaciones. Y para ser justos, dado su tamaño y alcance global, es probable que reciba más tráfico de DDoS que la mayoría. Sus informes permiten vislumbrar la magnitud de lo que está ocurriendo ahí fuera, y hace un buen trabajo al convertir la telemetría en historias digeribles. Pero esta es la cuestión: en 2025, el tamaño de un Ataque DDoS simplemente no es el titular que solía ser.

‍

Más grande es inevitable

El tamaño de los ataques está aumentando. No es una tendencia sorprendente, sino un reflejo de cómo ha evolucionado la infraestructura. Los dispositivos con 5G ahora pueden cargar a 10 Gbps. Las redes troncales de los operadores se están moviendo hacia un territorio de 400 Gbps. Las botnets tienen más ancho de banda y flexibilidad que nunca. Así que sí, los ataques son cada vez mayores. Pero no se debe necesariamente a que las amenazas sean cada vez más inteligentes. Lo que pasa es que las tuberías son más anchas.

‍

Mientras que un ataque de 300 Gbps solía parecer catastrófico, hoy es algo que se espera que manejen la mayoría de las redes grandes. Ya no se trata de noticias de última hora, sino de ruido de fondo que se espera.

‍

De lo que no se habla

Esta es una pregunta que no se responde con frecuencia: ¿Cuál fue el impacto en los usuarios reales? ¿Los sitios web mantuvieron su capacidad de respuesta? ¿Hubo retrasos en el inicio de sesión? ¿Se interrumpe la sesión? ¿Aumentaron el tiempo de espera o los reintentos del DNS? Porque cuando un ataque supera los niveles de varios terabits, aunque su sistema de mitigación funcione, es posible que las redes ascendentes (ISP, IXP y proveedores de transporte) ya estén bajo presión.

‍

Ese tipo de congestión puede tener efectos colaterales. No solo para el objetivo, sino también para los servicios vecinos que comparten las mismas rutas aguas arriba. No se trata de una falta de mitigación, sino de una limitación de la forma en que Internet está interconectada. Pero rara vez aparece en el resumen.‍

‍

A veces, no se trata del tamaño

Hay muchas situaciones en las que un ataque puede parecer enorme a primera vista (cientos de gigabits por segundo, picos de tráfico masivos, todos los ingredientes adecuados para un titular), pero el impacto real termina dependiendo del contexto, no de las cifras brutas.

‍

Un ejemplo común son las empresas regionales que atienden principalmente a un público local. Estas organizaciones pueden sufrir ataques de gran volumen que, a primera vista, parecen justificar una mitigación a gran escala basada en la nube. Y, en muchos casos, esa mitigación funciona según lo previsto: el tráfico se absorbe, los servicios permanecen en línea y los gráficos muestran una historia alentadora.

‍

Pero bajo el capó, las cosas aún pueden ir mal. Una vez que el ataque supera un determinado umbral, algunas plataformas de mitigación redirigen el tráfico de forma dinámica, lo que a veces empuja a los usuarios locales legítimos a buscar rutas fuera del país debido a las políticas globales de enrutamiento por transmisión automática. En el caso de las aplicaciones sensibles a la latencia, esa distancia adicional supone un retraso suficiente como para interrumpir las sesiones, ralentizar las respuestas y deteriorar la experiencia en general, aunque el ataque se haya mitigado «satisfactoriamente».

‍

Lo que a menudo se pasa por alto es que la mayor parte de tráfico malintencionado puede que ni siquiera sea local. Un gran porcentaje puede provenir de fuera del país o la región, mientras que la carga real en el país es mínima, tal vez solo unos pocos gigabits, dentro de los límites de la infraestructura local. Con una ingeniería de tráfico más inteligente (filtrando el tráfico extranjero en sentido ascendente y manteniendo estrechas las rutas nacionales), el problema podría haberse resuelto con muchas menos interrupciones.

‍

Es un buen recordatorio de que el tamaño no siempre se correlaciona con la gravedad. El origen del tráfico, la forma en que se enruta y la forma en que la mitigación interactúa con el comportamiento de las aplicaciones desempeñan un papel fundamental. A veces, la respuesta más eficaz es la que es más pequeña, sencilla y está mejor alineada con la arquitectura real que sustenta el servicio.

‍

‍La historia detrás de los gráficos

Para que quede claro, estas publicaciones «récord» tienen valor. Crean conciencia. Demuestran resiliencia. Y sí, tranquilizan a los clientes. Si opera una plataforma a gran escala, decirle a la gente que ha visto lo peor y que lo ha superado es parte de la generación de confianza.

‍

Pero también tiene un ritmo de marketing. Los vendedores no solo publican estadísticas, sino que dan forma a una historia. No es falso; es simplemente la forma en que la industria se comunica. Y algunas empresas son mejores narradoras de historias que otras. Sin embargo, el riesgo es que confundamos volumen con valor — y omite las preguntas más importantes sobre qué tan bien se contuvo el ataque, y si los usuarios estaban protegidos de extremo a extremo.

‍

Lo que realmente importa

Así que quizás sea hora de empezar a cambiar la conversación. En lugar de centrarnos en la magnitud de un ataque, preguntémonos: ¿se vio afectada la experiencia del usuario? ¿La mitigación se activó automáticamente y con la suficiente rapidez? ¿Hubo un efecto dominó en las redes vecinas? ¿Se mantuvieron los servicios críticos? ¿Hubo algún éxito sutil en el rendimiento que pasó desapercibido hasta más tarde?

‍

Estos son los tipos de preguntas que realmente preocupan a los equipos de operaciones. Porque cuando se ejecuta una infraestructura de producción, no se trata solo de la cantidad de tráfico que se bloqueó, sino de lo poco que se dio cuenta la gente.

‍

Reformulemos la narración

El panorama de los DDoS está en constante evolución. Eso no va a cambiar. Y sí, sigue siendo útil hacer un seguimiento de las tendencias y destacar las capacidades. Pero el volumen de un ataque ya no es la parte más importante de la historia. No en un mundo en el que el tamaño por sí solo no diga nada sobre el impacto descendente. Al fin y al cabo, la verdadera medida del éxito no es cuántos paquetes se han lanzado. Lo que importa es si los usuarios reales permanecieron conectados, respondieron y no se vieron afectados. Eso es algo más difícil de medir y una historia más difícil de contar. Pero es lo que importa.