X-twitter

“MadeYouReset”: la vulnerabilidad en HTTP/2 que dispara el riesgo de DDoS masivos en la red global

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

La infraestructura de Internet se enfrenta a una nueva amenaza que está generando gran preocupación entre empresas tecnológicas, organismos públicos y proveedores de servicios cloud en todo el mundo. Se trata de “MadeYouReset” (CVE-2025-25063), una vulnerabilidad crítica en el protocolo HTTP/2 revelada por investigadores de Google y Cloudflare, que ya está siendo utilizada en ataques de denegación de servicio distribuida (DDoS) a gran escala.

El descubrimiento de MadeYouReset recuerda que incluso los protocolos más utilizados y aparentemente robustos pueden convertirse en un talón de Aquiles cuando la innovación no va acompañada de medidas de seguridad sólidas.

¿Qué es MadeYouReset y por qué preocupa?

HTTP/2, adoptado masivamente en la última década, fue diseñado para mejorar la eficiencia en la web moderna: permite multiplexar solicitudes, acelerar la carga de páginas y optimizar el uso del ancho de banda. Pero esa misma sofisticación se ha convertido en una puerta de entrada para un nuevo tipo de ataque.

MadeYouReset aprovecha la función de “stream resets”, un mecanismo que permite cancelar solicitudes en curso. Los atacantes han descubierto cómo enviar frames malformados de manera masiva, obligando al servidor a reiniciar continuamente los procesos de conexión.

El resultado es devastador: un consumo desproporcionado de CPU y memoria que puede colapsar un servicio en segundos. Lo más alarmante es que, incluso con un ancho de banda limitado, los atacantes logran amplificar su impacto miles de veces, obteniendo una relación coste-efecto nunca vista.

Comparación con Rapid Reset: viejos fantasmas que regresan

El caso recuerda a la vulnerabilidad Rapid Reset (CVE-2023-44487), descubierta dos años antes. Ambas se centran en el mismo punto débil: el abuso del mecanismo de reset en flujos HTTP/2.

  • Rapid Reset (2023): los clientes enviaban directamente solicitudes de reset de forma continua.
  • MadeYouReset (2025): los atacantes engañan al servidor con frames diseñados específicamente para que sea éste quien reinicie los flujos.

Aunque las mitigaciones aplicadas tras Rapid Reset han servido para contener parcialmente este nuevo fallo, decenas de implementaciones siguen siendo vulnerables, especialmente en sistemas no actualizados o librerías obsoletas.

Impacto en empresas, cloud y administraciones

El efecto de MadeYouReset no se limita a páginas web. HTTP/2 es utilizado en:

  • Servicios en la nube (AWS, Google Cloud, Microsoft Azure).
  • Aplicaciones corporativas que integran APIs basadas en HTTP/2.
  • Plataformas críticas de comercio electrónico, banca online o servicios gubernamentales.

La CISA (Agencia de Ciberseguridad de EE.UU.) incluyó de inmediato a MadeYouReset en su catálogo de vulnerabilidades explotadas activamente. El mensaje fue claro: la urgencia de aplicar parches no admite demora.

El riesgo es que infraestructuras críticas —desde sistemas de salud hasta operadores de telecomunicaciones— podrían convertirse en objetivos de alto valor para campañas coordinadas de ciberataques.

Ejemplos de ataques y magnitud del problema

Si bien las cifras de impacto real aún están en proceso de cuantificación, los expertos ya advierten de escenarios inquietantes:

  • Un atacante con apenas 10 Mbps de ancho de banda podría provocar congestiones equivalentes a cientos de gigabits por segundo.
  • En pruebas controladas, Google demostró que la amplificación podía superar en miles de veces la capacidad inicial del atacante.
  • Dado que HTTP/2 es omnipresente, los puntos de ataque son innumerables: desde servidores web medianos hasta los grandes hiperescalares que soportan buena parte del tráfico global.

Medidas de mitigación: ¿qué se puede hacer?

Los expertos recomiendan actuar en varios frentes de forma simultánea:

1. Actualizaciones y parches inmediatos

Aplicar las correcciones que los proveedores de software están liberando para librerías HTTP/2 vulnerables. Cloudflare informó que su framework Pingora en versiones previas a h2 0.4.11 era susceptible y recomendó actualizar con urgencia.

2. Controles de tráfico y limitación de conexiones

Implementar límites en el número de resets permitidos por conexión y configurar sistemas para detectar patrones de abuso.

3. Mitigación avanzada de DDoS

El despliegue de soluciones de detección temprana y filtrado es clave. Cloudflare y Google señalaron que sus clientes ya cuentan con protecciones derivadas de medidas contra Rapid Reset.

4. Plan B: desactivar HTTP/2 en entornos críticos

En sectores donde la disponibilidad es vital, algunos expertos recomiendan deshabilitar temporalmente HTTP/2 hasta garantizar que los sistemas están protegidos.

Una lección sobre Internet: velocidad contra seguridad

La historia de MadeYouReset vuelve a poner sobre la mesa el dilema clásico: ¿debe la innovación sacrificar seguridad en favor de rendimiento?

HTTP/2 nació para mejorar la experiencia del usuario, pero sus complejidades abren puertas inesperadas a los atacantes. En este contexto, la resiliencia de Internet depende tanto de la innovación como de la capacidad de respuesta ante fallos críticos.

Expertos de la Universidad de Tel Aviv, que colaboraron en el hallazgo, advirtieron que las vulnerabilidades de diseño en protocolos fundamentales son inevitables, y la clave estará en la rapidez de parcheo y en la responsabilidad compartida entre desarrolladores, proveedores y usuarios finales.

Perspectivas a corto plazo

  • Ataques más sofisticados: los ciberdelincuentes podrían combinar MadeYouReset con otras técnicas de amplificación.
  • Mayor presión regulatoria: organismos como la UE o EE.UU. podrían exigir tiempos de respuesta más estrictos para parches críticos.
  • Evolución hacia HTTP/3: aunque HTTP/3, basado en QUIC, no es inmune, se espera que su arquitectura reduzca la superficie de ataque frente a estas técnicas.

En definitiva, MadeYouReset será recordado como un episodio más en la evolución de la seguridad de Internet, pero también como una advertencia: los cimientos de la red global no pueden darse nunca por seguros.

Preguntas frecuentes (FAQ)

¿Qué diferencia hay entre MadeYouReset y Rapid Reset?
Ambos ataques explotan el mecanismo de reset en HTTP/2, pero MadeYouReset engaña al servidor con frames malformados para que reinicie los flujos, mientras Rapid Reset consistía en resets enviados directamente por el cliente.

¿Qué sistemas son más vulnerables?
Aquellos que ejecuten implementaciones de HTTP/2 sin los parches aplicados. Esto incluye servidores empresariales, librerías de código abierto y algunos servicios cloud que todavía no han actualizado.

¿Qué impacto económico puede tener esta vulnerabilidad?
Los ataques DDoS generan pérdidas millonarias por caídas de servicio, interrupción de operaciones críticas y gastos en mitigación. En casos de gran escala, el impacto puede superar los cientos de millones de euros.

¿Puede prevenirse completamente este ataque?
No al 100 %. Sin embargo, aplicar parches, limitar resets, usar mitigación DDoS avanzada y vigilar el tráfico en tiempo real reduce drásticamente el riesgo de explotación.

vía: MadeYouReset en OpenSecurity

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Antonio

Escribiendo sobre robótica, cloud computing, inteligencia artificial, y tecnología en general.

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Referéndum en Taiwán sobre energía nuclear moviliza a líderes de la cadena de NVIDIA ante una crisis energética

NVIDIA concentra el 27 % de los ingresos de SK hynix en 2025 y consolida su dominio en el mercado HBM

El 90 % de los desarrolladores de videojuegos ya utiliza IA en sus flujos de trabajo, según Google Cloud

China obliga a sus centros de datos a usar chips nacionales para reducir la dependencia de EE.UU.

×