Investigadores de seguridad han puesto de manifiesto una vulnerabilidad fundamental en el protocolo HTTP/1.1 que podría permitir el secuestro de millones de sitios web. Esta amenaza, que ha persistido por más de seis años a pesar de los esfuerzos de mitigación, subraya que la infraestructura web sigue siendo vulnerable a ataques de desincronización HTTP.
Origen del Problema y Ataques de Desincronización
La investigación más reciente de la firma de ciberseguridad PortSwigger revela que el diseño de HTTP/1.1 es intrínsecamente defectuoso. Su principal debilidad radica en la ambigüedad que permite a los atacantes manipular los límites entre las solicitudes, lo que da lugar a los peligrosos ataques de contrabando de solicitudes (HTTP Smuggling).
Estos ataques aprovechan las diferencias en la forma en que los distintos servidores y sistemas proxy interpretan las solicitudes HTTP. Esto permite a los actores maliciosos inyectar peticiones ocultas que, aunque parecen legítimas para los sistemas de seguridad, ejecutan acciones dañinas en los servidores backend. A lo largo de los últimos seis años, PortSwigger ha demostrado cómo estos métodos han comprometido a decenas de millones de sitios web, evadiendo constantemente las medidas de seguridad implementadas por los proveedores.
La Solución: Migración a Protocolos Modernos
PortSwigger ha lanzado una iniciativa denominada «HTTP/1.1 Must Die: The Desync Endgame» para instar a las organizaciones a abandonar el protocolo vulnerable. La investigación destaca que si bien HTTP/2 y las versiones posteriores eliminan esta ambigüedad, no basta con activarlas en los servidores de borde (edge servers).
La clave para una mitigación efectiva es implementar HTTP/2 también en las conexiones upstream (entre los reverse proxies y los servidores de origen), ya que es ahí donde persisten la mayoría de las vulnerabilidades.
Recomendaciones y Herramientas
Para las organizaciones que aún dependen de HTTP/1.1, los investigadores ofrecen una serie de recomendaciones prácticas:
- Habilitar el soporte para HTTP/2 upstream lo antes posible.
- Implementar funciones de normalización y validación de solicitudes en los sistemas front-end.
- Considerar la desactivación de la reutilización de conexiones upstream.
- Consultar activamente con los proveedores sobre sus planes de soporte para HTTP/2.
La comunidad de ciberseguridad ha desarrollado herramientas de código abierto como HTTP Request Smuggler v3.0 y HTTP Hacker, que permiten a las organizaciones identificar y protegerse de estas amenazas mediante análisis de seguridad periódicos.
Esta vulnerabilidad afecta a una amplia gama de infraestructuras web, desde sitios individuales hasta grandes proveedores de CDN. Esto subraya la urgencia de que toda la industria adopte protocolos HTTP modernos para garantizar la seguridad web a nivel global.
