La infraestructura de Internet enfrenta una nueva amenaza que despierta gran preocupación entre empresas tecnológicas, organismos públicos y proveedores de servicios en la nube. «MadeYouReset» (CVE-2025-25063) es un fallo crítico en el protocolo HTTP/2, descubierto por investigadores de Google y Cloudflare, que ya se está utilizando en ataques de denegación de servicio distribuida (DDoS) a gran escala.
HTTP/2, ampliamente adoptado por su capacidad para mejorar la eficiencia en la web, se convierte ahora en una fuente de inquietud. MadeYouReset explota la función de «stream resets», permitiendo a los atacantes enviar frames malformados de forma masiva, llevando a los servidores a reiniciar constantemente las conexiones. Con un consumo desproporcionado de CPU y memoria, el impacto puede ser devastador, incluso con un ancho de banda limitado, los atacantes logran amplificar su efecto miles de veces.
Esta situación recuerda a la vulnerabilidad «Rapid Reset» (CVE-2023-44487), donde tanto MadeYouReset como su antecesor explotan el mecanismo de reset en flujos HTTP/2. Aunque las mitigaciones de Rapid Reset han ayudado a contener parcialmente este nuevo fallo, muchas implementaciones siguen siendo vulnerables.
El impacto de MadeYouReset no se limita a páginas web; también afecta a servicios en la nube, aplicaciones corporativas y plataformas críticas de comercio electrónico y banca. La Agencia de Ciberseguridad de EE. UU. (CISA) ha incluido instantáneamente a MadeYouReset en su catálogo de vulnerabilidades activamente explotadas, subrayando la urgencia de aplicar parches.
Ejemplos de ataques muestran que un atacante con 10 Mbps de ancho de banda podría generar congestiones masivas, y en pruebas controladas, Google demostró que la amplificación podría superar en miles de veces la capacidad inicial del atacante. Esto hace que cualquier punto que utilice HTTP/2 se convierta en un posible objetivo.
Para mitigar esta amenaza, se recomienda aplicar actualizaciones y parches inmediatos a las librerías HTTP/2 vulnerables, implementar controles de tráfico, y desplegar soluciones avanzadas de mitigación de DDoS. En entornos críticos, algunos expertos sugieren desactivar temporalmente HTTP/2 hasta asegurar que los sistemas están bien protegidos.
El dilema entre innovación y seguridad vuelve a surgir. Aunque HTTP/2 nació para mejorar la experiencia del usuario, sus complejidades abren puertas a atacantes. La resiliencia de Internet depende tanto de la innovación como de una rápida capacidad de respuesta ante fallos críticos.
Se anticipa que los ataques se volverán más sofisticados, podrían surgir presiones regulatorias más estrictas y una evolución hacia HTTP/3, que aunque no es inmune, se espera que reduzca la superficie de ataque frente a estas técnicas.
MadeYouReset destaca la necesidad de nunca dar por seguras las bases de la red global, recordando que la seguridad de Internet es un esfuerzo constante y colectivo.
