Por Mid 
MadeYouReset: nueva vulnerabilidad en HTTP/2 permite ataques DDoS masivos
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Media
Conclusiones clave
- La vulnerabilidad “MadeYouReset” (CVE-2025-25063) afecta a múltiples implementaciones del protocolo HTTP/2, permitiendo ataques DDoS masivos.
- El ataque se basa en la manipulación de stream resets, llevando al servidor a reiniciar procesos continuamente.
- Se han reportado impactos significativos en recursos de CPU y memoria, permitiendo a atacantes con ancho de banda limitado causar altos niveles de interrupción.
- Es fundamental aplicar parches de seguridad y considerar restricciones en el uso de HTTP/2 en entornos críticos.
- Es necesario equilibrar la eficiencia del protocolo HTTP/2 con medidas de seguridad robustas para prevenir estos vectores de ataque.
Índice
Funcionamiento de MadeYouReset
El mecanismo del ataque consiste en aprovechar la gestión de flujos en HTTP/2. Esto se realiza mediante el envío de múltiples solicitudes que contienen reset frames, lo que obliga al servidor a reiniciar procesos de manera constante. Como resultado, se produce un rápido agotamiento de los recursos de CPU y memoria, facilitando ataques distribuidos que pueden paralizar infraestructuras críticas en cuestión de segundos. Google ha señalado que, en pruebas controladas, un atacante con ancho de banda limitado pudo generar una denegación de servicio que tuvo miles de veces más impacto del que su capacidad real permitiría.
Impacto en la infraestructura
Esta vulnerabilidad tiene un efecto significativo en una amplia variedad de servidores y servicios que emplean HTTP/2, abarcando desde aplicaciones web empresariales hasta grandes proveedores de servicios en la nube. Debido a la sencillez con que se puede explotar, la CISA ha añadido esta falla a su lista de vulnerabilidades que están siendo activamente aprovechadas, instando a que se apliquen actualizaciones de inmediato.
Medidas de mitigación
Es esencial aplicar parches a los servidores y bibliotecas de HTTP/2 tan pronto como estén disponibles. Además, se recomienda implementar límites en el número de solicitudes por conexión, como medida para reducir la superficie de ataque. También es importante desplegar sistemas de mitigación DDoS que sean capaces de monitorear patrones anómalos de tráfico. En entornos críticos donde HTTP/2 no sea crucial, considerar la posibilidad de deshabilitar temporalmente su uso puede ser una estrategia útil.
Reflexión
La vulnerabilidad de MadeYouReset subraya que, a pesar de que HTTP/2 fue diseñado para mejorar el rendimiento en la web moderna, sus mecanismos de multiplexión y gestión de flujos pueden transformarse en herramientas peligrosas si carecen de la protección adecuada. Este escenario plantea desafíos en el equilibrio entre eficiencia y seguridad en los protocolos de Internet, lo que exige una rápida reacción por parte de proveedores y administradores ante esta situación crítica.