Estado de Internet: crítico. Akamai detecta superbotnets que han convertido los ataques DDoS en una maquinaria barata y despiadada
Detalles preocupantes del nuevo informe "State of the Internet"
Akamai publicó el informe anual Estado de Internet sobre aplicaciones, API y ataques DDoS y registró un cambio notable en la táctica de los atacantes. La conclusión principal se reduce a una: los ataques se han vuelto más sistemáticos, baratos de escalar y están estrechamente vinculados con la infraestructura mediante la cual las empresas aumentan sus servicios digitales e introducen IA. En el centro de esa presión se encuentran las API. Hasta hace poco muchas empresas las consideraban un elemento secundario de la protección, pero ahora las API con mayor frecuencia se convierten en la principal puerta de entrada.
Los investigadores señalan que los atacantes cada vez menos apuestan por campañas únicas y ruidosas para obtener notoriedad o efecto reputacional. Con mucha más frecuencia la acción se construye como una operación bien afinada, donde se combinan abuso de las API, ataques a aplicaciones web e impacto DDoS en la capa 7 del modelo OSI, es decir, a nivel de la propia aplicación. Este enfoque permite no solo perjudicar la disponibilidad de los servicios, sino también aumentar los costes de infraestructura de la víctima. Cuanto más invierte un negocio en IA y automatización digital, más dispuestos están los atacantes a golpear las interfaces y servicios en los que todo eso se apoya.
Las estadísticas del nuevo informe muestran que ya no se trata de picos aislados. En los últimos dos años el número de ataques DDoS de nivel L7 aumentó un 104%. La cantidad de ataques a aplicaciones web entre 2023 y 2025 creció un 73%. El número medio de ataques diarios a las API en un año se disparó un 113%. Akamai también presenta los resultados de una encuesta a organizaciones: el 87% de los participantes informó que en 2025 se enfrentó al menos a un incidente relacionado con la seguridad de las API. Ese conjunto de cifras demuestra que las API dejaron de ser un tema técnico reducido para desarrolladores y se han convertido en un frente completo de defensa.
Según Akamai, la lógica de los ataques también está cambiando. Los atacantes cada vez más intentan no solo vulnerar la protección y robar datos, sino degradar el funcionamiento de los servicios, ralentizar las aplicaciones, provocar el aumento de gastos en recursos computacionales y aprovechar la automatización con IA en su propio beneficio. Para los atacantes ese modelo es conveniente por varias razones. Primero, la automatización abarata la preparación. Segundo, los escenarios listos permiten repetir con rapidez las mismas acciones en distintos objetivos. Tercero, un ataque a las API y a las aplicaciones web a menudo produce un efecto financiero notable incluso sin una intrusión clásica que genere titulares.
El informe subraya además otro problema: la seguridad de las aplicaciones y la seguridad de las API en la práctica ya no pueden considerarse por separado. En muchas empresas estas áreas todavía se gestionan como dos tareas distintas, con herramientas, equipos y ámbitos de visibilidad diferentes. En ese esquema aparecen inevitables brechas de control. Para el atacante, esas zonas ciegas se convierten en puntos de entrada oportunos, porque en un ataque real la aplicación web y la API normalmente se usan como un único vector.
El documento incluye también varias observaciones adicionales que ayudan a entender hacia dónde se desplaza el riesgo. Una de ellas está relacionada con la llamada programación acelerada, cuando el código se escribe en modo acelerado, a menudo apoyándose activamente en herramientas de IA y sin disciplina de ingeniería completa. Según Akamai, ese enfoque cada vez introduce en producción nuevas vulnerabilidades y errores de configuración que no se revisan adecuadamente antes del lanzamiento. Dicho de otro modo, las empresas aceleran el desarrollo y reducen el margen de seguridad, y los atacantes luego explotan precisamente esas interfaces sacadas apresuradamente al entorno productivo.
Un bloque separado del informe trata la actividad DDoS relacionada con hacktivistas. Akamai señala que los grupos con motivación política siguen incrementando la presión en el contexto del cambiante panorama internacional y de la creciente disponibilidad de botnets de alquiler. Esa infraestructura cada vez se parece menos a las redes caseras de dispositivos infectados de años anteriores. En el mercado se consolidan modelos de DDoS por encargo y DDoS como servicio, donde la potencia necesaria se puede obtener como un servicio. Cuanto más sencillo es el acceso a ese alquiler, más baja es la barrera de entrada para nuevos participantes.
El crecimiento de los ataques de nivel L7 en un 104% lo vinculan directamente con esa mayor disponibilidad. A los atacantes les resulta cada vez más fácil conseguir un botnet a través de servicios bajo demanda y complementarlo con escenarios de ataque potenciados por IA. Como resultado, se simplifica la elección del objetivo, disminuye el coste de la operación y se acelera el lanzamiento de campañas contra las API y las aplicaciones web. En el informe se mencionan por separado superbotnets como Aisuru y Kimwolf. Estas redes desarrollan una arquitectura que en su momento se hizo muy conocida gracias a Mirai, y ahora sirven de base para ecosistemas de DDoS como servicio. Además, esa infraestructura la usan no solo grupos delictivos cibernéticos, sino también hacktivistas.
Akamai también llama la atención sobre un contexto económico más amplio. El ataque moderno en Internet cada vez se construye como un modelo de negocio en el que prima la eficiencia. Si antes el atacante debía invertir recursos considerables en una preparación manual compleja, ahora parte de las tareas se automatiza y las herramientas necesarias se pueden alquilar. Por eso el ataque se vuelve no solo escalable, sino también previsiblemente repetible. Para los defensores esa evolución es especialmente molesta, porque ya no se trata de operaciones complejas y poco frecuentes, sino de un flujo de campañas baratas y rápidas que se pueden lanzar una y otra vez.
El nuevo informe incluye no solo estadísticas generales, sino también un análisis de tendencias regionales, una evaluación de la economía de los ataques modernos en Internet y una columna de un autor invitado sobre la protección frente a las nuevas amenazas relacionadas con sistemas de IA agentes. Por IA agentes se suelen entender sistemas que no solo responden a una petición, sino que son capaces de ejecutar cadenas de acciones, recurrir a herramientas e interactuar con servicios externos. Para la defensa ese modelo es especialmente sensible, porque el agente casi siempre se apoya en las API, de modo que una vulnerabilidad o un error en la interfaz afecta de inmediato a una cadena de automatización más amplia.
La serie de informes Estado de Internet sale ya por duodécimo año. Akamai construye tradicionalmente sus conclusiones a partir de los datos que la empresa observa a través de su propia infraestructura global de protección, que procesa una parte significativa del tráfico web mundial. En la versión actual del documento el principal énfasis se ha desplazado hacia la combinación de aplicaciones, API, DDoS e IA. En esencia, el informe refleja una realidad bastante dura: las empresas aceleran la transformación digital y los atacantes logran adaptarse a la nueva arquitectura casi sin demora. Y si las API se han convertido en la base de los servicios de IA, la protección de la IA en la práctica con frecuencia comienza precisamente por proteger las API.