Probablemente lo hayas experimentado: un sitio web de repente no responde, una página de inicio de sesión tarda demasiado o un servicio en línea se vuelve inaccesible. Si bien las interrupciones internas pueden ser la causa, a menudo se trata de un ataque de Denegación de Servicio Distribuido (DDoS) diseñado para abrumar el servicio desde el exterior. Los ataques DDoS interrumpen los servicios en línea inundándolos con tráfico, agotando la infraestructura y haciéndolos inaccesibles sin necesidad de violar sistemas. Ahora, DDoS se está empaquetando, marcando y vendiendo como un servicio en línea maduro, con un impacto significativo en el mundo real. **Cloudflare** informó haber bloqueado un ataque de 7.3 Tbps en 2025 y posteriormente mitigó un ataque de 31.4 Tbps en su informe de DDoS del cuarto trimestre de 2025. **Microsoft** también informó que **Azure** mitigó un ataque de 15.72 Tbps en octubre de 2025, atribuyéndolo a la botnet **Aisuru**. Detrás de estos incidentes, los vendedores clandestinos compiten por compradores con presentaciones cada vez más pulidas. El análisis reciente de investigadores de **Flare** destaca paneles de ataque, acceso a API, planes mensuales, opciones de reventa, soporte al cliente, capacidad respaldada por botnets, métodos para servidores de juegos y afirmaciones de bypass de **Cloudflare**. Una comparación de la actividad clandestina relacionada con DDoS de los primeros cinco meses de 2023 y 2026 revela la rápida evolución de estas ofertas. Lo que alguna vez apareció como scripts, tutoriales, herramientas filtradas y publicaciones dispersas en foros es ahora un producto repetible, más fácil de comprar y operar. ## ¿Qué es DDoS? Un ataque DDoS abruma un objetivo (sitio web, aplicación, red o servidor) con tráfico de numerosas fuentes. Los ataques pueden apuntar a la capacidad de la red o a recursos de la capa de aplicación como páginas de inicio de sesión y API. El objetivo principal es hacer que el servicio no esté disponible, sea inestable o sea costoso de mantener. DDoS-as-a-service reduce aún más la barrera de entrada. Los atacantes pueden pagar por el acceso a un panel web, elegir un objetivo y una duración, y aprovechar la botnet o la red de proxies de otra persona.  ## Análisis de Investigadores de Flare Los investigadores de **Flare** analizaron la actividad clandestina relacionada con DDoS de los primeros cinco meses de 2023 y 2026. Los datos curados revelaron tendencias significativas: | Tema | 2023 | 2026 | Cambio | |-----------------------------|-------|-------|---------------| | Volumen de registros | 4,403 | 4,964 | Ligero aumento | | Anuncios de servicios DDoS de alta señal | 38 | 364 | ~10x aumento | | Clústeres de anuncios únicos | 31 | 123 | ~4x aumento | | Actores únicos | 15 | 41 | ~3x aumento | | Fuentes observadas | 22 | 43 | ~2x aumento | *Nota: Esta investigación se centró en DoS distribuido (DDoS), excluyendo las ofertas de denegación de servicio de fuente única (DoS).* ## De Herramientas Dispersas a Servicios Empaquetados Las publicaciones de 2023 fueron más diversas, girando en torno a scripts, herramientas filtradas, tutoriales o anuncios genéricos de "servicio de botnet". Una publicación recurrente de 2023 promocionaba un "Servicio de Botnet L7 - L4", afirmando capacidades de Capa 3, Capa 4 y Capa 7, acceso opcional a API, pagos automáticos, altas ranuras de ataque, orientación a servidores de juegos y bypass de **Cloudflare**. El mismo texto apareció en múltiples fuentes, lo que sugiere reventa o marketing reciclado.  Las publicaciones más recientes de 2026 enfatizan el precio y las ofertas. Un anuncio de "SatelliteStress" describió el servicio como un estresador IP con un panel fácil de usar, acceso a API, soporte para servidores de juegos y planes mensuales a partir de 20 €. La publicación afirmaba una infraestructura "100% impulsada por botnets". "Areshun" ofrece un "Servicio DDoS Premium" con ataques de Capa 4 y Capa 7, monitoreo, integración de API, planes personalizados, soporte 24/7 y códigos de descuento promocionales.  "RebirthStress" se comercializa como un dispositivo de estrés IP y web impulsado por botnets, un centro gratuito de Capa 7, más de 400 ranuras, idoneidad para reventa y planes desde $15/mes. La tendencia es clara: las publicaciones de 2026 se centran en un producto, con vendedores compitiendo por clientes al empaquetar características como facilidad de uso, automatización, soporte, privacidad, capacidad de reventa y confiabilidad. ## El Lenguaje Técnico Se Convirtió en Parte del Argumento de Venta Los detalles técnicos no han desaparecido; se han convertido en parte del argumento de venta. Los anuncios en 2026 suelen combinar afirmaciones de Capa 4 y Capa 7 (soporte de ataques a nivel de red y de capa de aplicación) con términos como "panel", "API", "ranuras", "bypass", "monitoreo", "uptime" y "soporte". Un anuncio relacionado con THORCC afirmaba tener más de 7,000 bots activos de Capa 4 y promocionaba análisis de ancho de banda y estadísticas de vectores de ataque. Otra publicación presentó "pruebas de estrés profesionales" mientras afirmaba bypass de **Cloudflare** y **DDoS-Guard**, alta concurrencia y largas duraciones de ataque. Los vendedores pueden exagerar las capacidades, pero la consistencia del lenguaje de marketing proporciona inteligencia valiosa. Muestra que se anima a los compradores a valorar los paneles web, la automatización, las afirmaciones de bypass y la capacidad de lanzar o revender ataques con un esfuerzo mínimo, más allá del volumen bruto de tráfico. ## El Modelo de Negocio El precio de los ataques DDoS en 2026 es notablemente bajo.