La infraestructura de Internet está frente a una nueva amenaza que ha prendido alarmas en el mundo tecnológico: “MadeYouReset” (CVE-2025-25063). Esta vulnerabilidad crítica en el protocolo HTTP/2, expuesta por Google y Cloudflare, ya está siendo utilizada en ataques de denegación de servicio distribuida (DDoS) a gran escala.
HTTP/2, un protocolo diseñado para optimizar la eficiencia en la web actual, se ha convertido en el objetivo de MadeYouReset. Este explota la función de “stream resets” para forzar a los servidores a reiniciar continuamente sus procesos de conexión mediante frames malformados, causando un consumo excesivo de CPU y memoria. Este ataque permite una amplificación del impacto, logrando un efecto devastador con un ancho de banda limitado.
Comparaciones con la vulnerabilidad Rapid Reset (CVE-2023-44487) son inevitables, ya que ambas utilizan el mismo punto débil. Sin embargo, MadeYouReset difiere en su metodología y alcance, demostrando que decenas de implementaciones siguen vulnerables.
El impacto de esta vulnerabilidad no se limita a sitios web, ya que HTTP/2 es crucial en servicios en la nube, aplicaciones corporativas y plataformas críticas, como comercio electrónico y servicios gubernamentales. La CISA de Estados Unidos ha incluido a MadeYouReset en su lista de vulnerabilidades críticas, enfatizando la urgencia de aplicar parches.
Actualmente, las empresas y administraciones están tomando medidas para mitigar el riesgoso escenario. Se recomiendan actualizaciones inmediatas, implementación de controles de tráfico, y en casos críticos, la desactivación temporal de HTTP/2.
El caso MadeYouReset plantea el eterno dilema entre innovación y seguridad. La velocidad de parches y la responsabilidad compartida entre desarrolladores, proveedores y usuarios finales se perfilan como las claves para evitar futuras crisis.
A corto plazo, es probable que los ataques se sofisticarán, con ciberdelincuentes combinando MadeYouReset con otras técnicas. Además, la presión regulatoria podría aumentar, demandando respuestas más rápidas. Mientras tanto, la evolución hacia HTTP/3 ofrece esperanzas de una mayor resistencia.
Este incidente sirve de recordatorio: nunca debe darse por seguro la estabilidad de los cimientos de Internet.
More information and references in Cloud News.
