MadeYouReset: nueva vulnerabilidad en HTTP/2 permite ataques DDoS masivos

Tiempo estimado de lectura: 1 minutos, 11 segundos

Investigadores de Google y Cloudflare han revelado una vulnerabilidad crítica en el protocolo HTTP/2, bautizada como “MadeYouReset” (CVE-2025-25063), que ya está siendo aprovechada para lanzar ataques DDoS a gran escala. La falla afecta a múltiples implementaciones del protocolo y se basa en la manipulación de stream resets, lo que permite a un atacante amplificar el tráfico y consumir de forma desproporcionada los recursos del servidor.

¿Cómo funciona MadeYouReset?

El ataque explota la gestión de flujos en HTTP/2, enviando múltiples solicitudes con reset frames que obligan al servidor a reiniciar procesos de manera continua. El resultado es un agotamiento rápido de CPU y memoria, abriendo la puerta a ataques distribuidos capaces de colapsar infraestructuras críticas en segundos.

Google explicó que, en pruebas de laboratorio, un atacante con un ancho de banda limitado fue capaz de generar un efecto de denegación de servicio con miles de veces más impacto del que su capacidad real permitiría.

Impacto en la infraestructura

La vulnerabilidad afecta a una amplia gama de servidores y servicios que utilizan HTTP/2, desde aplicaciones web empresariales hasta grandes proveedores en la nube. Dada su facilidad de explotación, la CISA ha incluido la falla en su catálogo de vulnerabilidades activamente explotadas, instando a una actualización inmediata.

Medidas de mitigación

Aplicar parches a servidores y librerías HTTP/2 tan pronto como estén disponibles.
Implementar límites de solicitudes por conexión, para reducir la superficie de ataque.
Desplegar sistemas de mitigación DDoS que monitoricen patrones anómalos de tráfico.
Considerar temporalmente deshabilitar HTTP/2 en entornos críticos donde no sea esencial.

Reflexión

MadeYouReset recuerda que, aunque HTTP/2 fue diseñado para optimizar el rendimiento de la web moderna, sus mecanismos de multiplexación y gestión de flujos también pueden convertirse en armas de gran alcance cuando no están correctamente protegidos. El equilibrio entre eficiencia y seguridad en protocolos de Internet vuelve a ponerse a prueba, obligando a proveedores y administradores a reaccionar con rapidez.

Más información

SecurityWeek – ‘MadeYouReset’ HTTP/2 Vulnerability Enables Massive DDoS Attacks
Cloudflare – Technical Analysis of MadeYouReset Attacks

La entrada MadeYouReset: nueva vulnerabilidad en HTTP/2 permite ataques DDoS masivos se publicó primero en Una Al Día.

Artículo de Hispasec publicado en https://unaaldia.hispasec.com/2025/08/madeyoureset-nueva-vulnerabilidad-en-http-2-permite-ataques-ddos-masivos.html?utm_source=rss&utm_medium=rss&utm_campaign=madeyoureset-nueva-vulnerabilidad-en-http-2-permite-ataques-ddos-masivos

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

MadeYouReset: nueva vulnerabilidad en HTTP/2 permite ataques DDoS masivos

¿Cómo funciona MadeYouReset?

Impacto en la infraestructura

Medidas de mitigación

Reflexión

Más información

Contenidos relacionados

SUPLANTAN A ENDESA CON EL OBJETIVO DE INSTALAR UN MALWARE EN tu DISPITIVO

Tablero a teclado: Hornar realidades VDI en respuesta a incidentes

El Comandante del Mando Conjunto de Operaciones Especiales asiste al ‘Japan Special Operations Forum 2025’ en Tokio

You missed

SUPLANTAN A ENDESA CON EL OBJETIVO DE INSTALAR UN MALWARE EN tu DISPITIVO

El día que Goodall vio a un chimpancé usar una herramienta y desafió la singularidad humana

Tablero a teclado: Hornar realidades VDI en respuesta a incidentes

“Visitar un sitio sospechoso es inofensivo si no introduzco datos” y otros mitos en ciberseguridad

Entradas recientes

¿Todas tus actividades de auditoría en un solo entorno?
Prueba AltonaSpain, el gestor de auditoría más completo

MadeYouReset: nueva vulnerabilidad en HTTP/2 permite ataques DDoS masivos

¿Cómo funciona MadeYouReset?

Impacto en la infraestructura

Medidas de mitigación

Reflexión

Más información

Contenidos relacionados

SUPLANTAN A ENDESA CON EL OBJETIVO DE INSTALAR UN MALWARE EN tu DISPITIVO

Tablero a teclado: Hornar realidades VDI en respuesta a incidentes

El Comandante del Mando Conjunto de Operaciones Especiales asiste al ‘Japan Special Operations Forum 2025’ en Tokio

You missed

SUPLANTAN A ENDESA CON EL OBJETIVO DE INSTALAR UN MALWARE EN tu DISPITIVO

El día que Goodall vio a un chimpancé usar una herramienta y desafió la singularidad humana

Tablero a teclado: Hornar realidades VDI en respuesta a incidentes

“Visitar un sitio sospechoso es inofensivo si no introduzco datos” y otros mitos en ciberseguridad

¿Todas tus actividades de auditoría en un solo entorno? Prueba AltonaSpain, el gestor de auditoría más completo

¿Todas tus actividades de auditoría en un solo entorno?
Prueba AltonaSpain, el gestor de auditoría más completo