La llaman HTTP/2 Bomb y hace lo que promete el nombre: deja sin memoria a un servidor web en cuestión de segundos. El fallo, registrado como CVE-2026-49975, afecta a la configuración HTTP/2 por defecto de los servidores más usados de internet: Apache httpd, nginx, Microsoft IIS, Envoy y Cloudflare Pingora.
Cómo funciona
El ataque junta dos técnicas que llevaban una década siendo públicas por separado. La primera es una bomba de compresión sobre HPACK, el esquema de compresión de cabeceras de HTTP/2. Un solo byte enviado por el atacante se traduce en una cabecera completa reservada en el servidor, y eso se repite miles de veces dentro de una misma petición. Las ratios de amplificación llegan a 5.700:1 en Envoy y a 4.000:1 en Apache httpd.
La segunda pieza es un truco al estilo Slowloris sobre el control de flujo de HTTP/2. El cliente anuncia una ventana de flujo de cero bytes, de modo que el servidor nunca llega a liberar la memoria que ya ha reservado. El resultado es memoria que entra y no sale.
Combinadas, las cifras asustan. En las pruebas de los investigadores un único cliente agotó 32 GB de RAM en unos 10 segundos contra Envoy 1.37.2, en unos 18 segundos contra Apache httpd 2.4.67 y en unos 45 segundos contra nginx 1.29.7. En IIS sobre Windows Server 2025 se consumieron 64 GB en torno a 45 segundos. Un ordenador doméstico con una conexión de 100 Mbps basta para dejar inaccesible un servidor vulnerable.
A quién afecta
A cualquier servidor con HTTP/2 activado y sin parchear. Una búsqueda en Shodan localizó más de 880.000 sitios que sirven HTTP/2 con alguno de estos servidores. Muchos están detrás de un CDN, lo que complica bastante el ataque, pero los que exponen directamente el servidor de origen son objetivo directo.
La gravedad es alta. No hay robo de datos ni ejecución de código, pero sí una caída total del servicio provocada por un único atacante no autenticado, sin interacción de nadie y con un coste de red ridículo.
Quién la descubrió
El hallazgo es de la firma de seguridad ofensiva Calif. Lo curioso del caso es que las dos mitades del ataque ya eran conocidas; lo nuevo fue darse cuenta de que se componen entre sí. Según los propios investigadores, la combinación la encontró el modelo Codex al leer el código de los servidores y ver que ambos problemas encajaban, algo que en una década nadie había juntado contra estos servidores.
Mitigación y parches
Si gestionas servidores web, revisa la versión y actualiza:
- nginx: corregido en 1.29.8, que añade la directiva
max_headerscon un límite por defecto de 1000 cabeceras por petición. - Apache httpd: el parche está en
mod_http22.0.41, disponible en las releases independientes del módulo y en la rama de desarrollo de httpd.
En el momento de la divulgación, IIS, Envoy y Pingora no tenían parche disponible. Para esos casos conviene limitar cabeceras y memoria por conexión en el balanceador o WAF que tengas delante, o servir detrás de un CDN que ya filtre el patrón. Hay un PoC público en GitHub, así que la ventana para parchear se cierra rápido.