Una nueva vulnerabilidad en el protocolo HTTP/2 ha puesto en jaque a empresas tecnológicas y proveedores de servicios de Internet en todo el mundo. Investigadores de Google y Cloudflare han revelado la existencia de un fallo crítico, bautizado como “MadeYouReset” (CVE-2025-25063), que ya está siendo aprovechado en ataques de denegación de servicio distribuida (DDoS) de gran escala.
La vulnerabilidad, que afecta a múltiples implementaciones del protocolo, explota la manera en que HTTP/2 gestiona los stream resets, permitiendo a un atacante amplificar el tráfico y agotar los recursos de servidores y aplicaciones en cuestión de segundos.
Cómo funciona MadeYouReset
El mecanismo detrás de este fallo es tan simple como devastador. HTTP/2, diseñado para mejorar la eficiencia en la web moderna, permite manejar múltiples solicitudes en paralelo mediante flujos (“streams”). Cuando un cliente cancela una solicitud, envía un reset frame que obliga al servidor a interrumpir el proceso asociado.
En el caso de MadeYouReset, un atacante envía grandes volúmenes de frames malformados que fuerzan al servidor a reiniciar continuamente estos flujos. El resultado es un consumo desproporcionado de CPU y memoria, que deriva en la caída del servicio incluso cuando el atacante dispone de un ancho de banda muy limitado.
En pruebas de laboratorio, Google demostró que un atacante podía multiplicar miles de veces el impacto real de su conexión, logrando un efecto desproporcionado frente a la infraestructura objetivo.
Un déjà vu de Rapid Reset
MadeYouReset guarda un inquietante parecido con otra vulnerabilidad previa: Rapid Reset (CVE-2023-44487), descubierta en 2023. Ambas explotan el mismo punto débil del protocolo: el abuso del mecanismo de stream reset.
La diferencia radica en la técnica: mientras Rapid Reset consistía en que los clientes enviaban directamente los resets, en MadeYouReset los atacantes engañan al servidor para que sea éste quien reinicie los flujos, utilizando frames especialmente diseñados.
Aunque muchas de las mitigaciones aplicadas tras Rapid Reset han limitado el alcance de MadeYouReset, aún existen implementaciones vulnerables, lo que abre la puerta a ataques de alto impacto.
Impacto en la infraestructura global
La vulnerabilidad afecta a una gran variedad de sistemas, desde servidores web empresariales hasta proveedores cloud y plataformas de contenidos. Dada su facilidad de explotación, la Agencia de Ciberseguridad de Estados Unidos (CISA) incluyó MadeYouReset en su catálogo de vulnerabilidades explotadas activamente, instando a la aplicación inmediata de parches.
El riesgo no es menor: los ataques DDoS se han convertido en una de las principales amenazas contra infraestructuras críticas. En este caso, la capacidad de amplificación y el bajo coste de ejecución convierten a MadeYouReset en un vector extremadamente atractivo para ciberdelincuentes y grupos de ransomware.
Cloudflare confirmó que sus clientes están protegidos gracias a las medidas que ya implementó contra Rapid Reset, pero advirtió que decenas de implementaciones HTTP/2 en uso hoy siguen siendo vulnerables si no se actualizan.
Medidas de mitigación
Expertos en seguridad recomiendan una combinación de acciones inmediatas y preventivas:
- Actualizar servidores y librerías HTTP/2 en cuanto los parches estén disponibles.
- Limitar el número de solicitudes por conexión, reduciendo así la superficie de ataque.
- Implementar soluciones avanzadas de mitigación DDoS, capaces de identificar patrones anómalos de tráfico.
- Deshabilitar temporalmente HTTP/2 en entornos críticos donde no sea esencial, como medida de último recurso.
Estas medidas son especialmente urgentes para proveedores de servicios cloud, grandes plataformas de e-commerce y organismos públicos, que suelen ser objetivos prioritarios en campañas de denegación de servicio.
Reflexión: eficiencia vs. seguridad
El caso MadeYouReset plantea de nuevo una tensión que Internet lleva arrastrando desde hace décadas: cómo equilibrar rendimiento y seguridad. HTTP/2 nació con el propósito de acelerar la carga de páginas y optimizar el consumo de recursos. Sin embargo, esa misma sofisticación técnica abre flancos que los atacantes pueden convertir en armas de gran alcance.
En un contexto marcado por el auge de la inteligencia artificial y la creciente dependencia de servicios digitales, cada vulnerabilidad en protocolos básicos se traduce en un riesgo para sectores enteros de la economía.
La lección es clara: ninguna innovación tecnológica puede descuidar la seguridad en su diseño y mantenimiento. La rapidez con la que la comunidad debe reaccionar ante estas amenazas es un recordatorio de la fragilidad de la infraestructura que sostiene la vida digital moderna.
Preguntas frecuentes (FAQ)
¿Qué es exactamente MadeYouReset?
Es una vulnerabilidad en HTTP/2 (CVE-2025-25063) que permite a atacantes forzar reinicios continuos de flujos (stream resets), provocando agotamiento de recursos y ataques DDoS masivos.
¿A quién afecta esta vulnerabilidad?
A servidores y aplicaciones que utilizan implementaciones vulnerables de HTTP/2, incluyendo servicios empresariales, proveedores en la nube y sitios web que no han aplicado las mitigaciones previas a Rapid Reset.
¿Cómo pueden protegerse las empresas?
Aplicando parches tan pronto como estén disponibles, limitando el número de solicitudes por conexión, utilizando soluciones de mitigación DDoS y, en casos críticos, deshabilitando temporalmente HTTP/2.
¿Por qué es tan grave esta amenaza?
Porque un atacante con recursos mínimos puede amplificar su impacto miles de veces, generando colapsos en infraestructuras críticas en cuestión de segundos, lo que la convierte en un vector de ataque atractivo y de bajo coste.
vía: una al dia y cloudflare
