El exploit HTTP/2 Bomb tumba NGINX, Apache e IIS en segundos — El PoC ya está en GitHub

Una vulnerabilidad recién divulgada en implementaciones de servidores HTTP/2 — apodada "HTTP/2 Bomb" y registrada como CVE-2026-49975 — permite a un atacante derribar NGINX, Apache HTTP Server, Microsoft IIS, Envoy y Cloudflare Pingora en cuestión de segundos, utilizando un solo sistema con una conexión estándar de 100 Mbps a Internet. La firma de seguridad Calif, que descubrió la falla usando OpenAI Codex, publicó los detalles el 2 de junio de 2026. Scripts públicos de Python como proof-of-concept aparecieron en GitHub el mismo día.

La vulnerabilidad es significativa porque HTTP/2 es el protocolo predeterminado para los servidores web modernos — no una característica opcional que los administradores suelen desactivar. Cualquier servidor que acepte conexiones HTTPS sobre HTTP/2 con configuración predeterminada está potencialmente expuesto.

Cómo funciona el ataque

La HTTP/2 Bomb encadena dos técnicas que existen individualmente en la literatura de investigación pero que no se habían combinado previamente en un exploit funcional. La primera es una variación de una bomba de compresión HPACK — un método de enviar cabeceras que se descomprimen a tamaños masivos, consumiendo memoria desproporcionada en el servidor receptor. La segunda es una retención estilo Slowloris: retrasar deliberadamente la conexión para que la memoria descomprimida del servidor no pueda liberarse.

Juntas, estas dos técnicas explotan un comportamiento específico en cómo las implementaciones del servidor HTTP/2 asignan y liberan memoria durante el procesamiento de cabeceras. Al enviar cabeceras comprimidas manipuladas y luego mantener la conexión abierta sin completar la solicitud, un atacante provoca un agotamiento rápido y progresivo de la memoria en el servidor. A diferencia de los ataques DDoS volumétricos que requieren un ancho de banda masivo, este exploit funciona con un rendimiento mínimo — los investigadores de Calif demostraron caídas utilizando solo 100 Mbps desde una sola máquina.

Qué está parcheado, qué no

Hasta el 6 de junio, dos proyectos importantes de servidores han lanzado correcciones. NGINX abordó la vulnerabilidad en la versión 1.29.8. Apache HTTP Server la parcheó en mod_http2 versión 2.0.41, donde el CVE se asigna formalmente como CVE-2026-49975. Se informa que HAProxy es inherentemente resistente a este exploit, o se puede configurar para bloquearlo.

Microsoft IIS, Envoy y Cloudflare Pingora no habían lanzado parches confirmados al 2 de junio, cuando se produjo la divulgación inicial. Envoy rastrea un problema relacionado como CVE-2026-47774. Los administradores que ejecuten estos servidores deben monitorear de cerca los avisos de los proveedores.

Opciones de mitigación

Para organizaciones que no pueden actualizar NGINX o Apache de inmediato, Calif recomienda tres opciones provisionales. Primero, aislar los servidores expuestos detrás de un proxy inverso, un firewall de aplicaciones web (WAF) o un balanceador de carga de capa 7 con protección HTTP/2 habilitada — HAProxy, configurado adecuadamente, puede absorber el ataque. Segundo, deshabilitar HTTP/2 a nivel de servidor; esto es perjudicial para el rendimiento pero elimina la superficie de ataque. Tercero, aplicar limitación de tasa (rate limiting) en el procesamiento de cabeceras en la capa de ingreso.

Deshabilitar HTTP/2 en todo el servidor tiene un costo real de rendimiento — el protocolo existe porque HTTP/1.1 es significativamente más lento para la mayoría del tráfico web — por lo que debe tratarse como una medida temporal, no como una mitigación permanente.

El ángulo de OpenAI Codex

La divulgación de Calif señala que CVE-2026-49975 fue descubierto utilizando OpenAI Codex como herramienta de análisis durante una revisión dirigida de implementaciones de servidores HTTP/2. El hallazgo se suma a un patrón creciente de investigación de vulnerabilidades asistida por IA: el mismo modelo Claude Opus 4.8 encontró el error de doble gasto de Zcash Halo2 divulgado la semana pasada, y varios CVE recientes en proyectos de código abierto ampliamente implementados han atribuido el descubrimiento a herramientas de revisión de código de IA.

Esto no es una observación pasiva — es una dinámica de carrera armamentista. Las mismas herramientas disponibles para los investigadores defensivos están disponibles para los actores ofensivos. Las organizaciones que ejecutan servidores HTTP/2 deben considerar la disponibilidad pública del código PoC como una escalada significativa del riesgo de exposición y priorizar el parcheo en consecuencia.