← Alertas
Otro Activa

Vulnerabilidad HTTP/2 Bomb permite tumbar servidores NGINX, Apache e IIS de forma remota

Investigadores descubrieron una vulnerabilidad de denegación de servicio remota que afecta los servidores web más usados del mundo: NGINX, Apache, Microsoft IIS, Envoy y Cloudflare Pingora, en su configuración por defecto.

2026-06-03 · Monitoreo Telegram

Contexto

El 3 de junio de 2026, investigadores publicaron detalles de una vulnerabilidad bautizada como “HTTP/2 Bomb” que afecta a prácticamente todos los servidores web modernos en su configuración estándar —la que viene activa cuando se instalan sin ajustes adicionales.

HTTP/2 es el protocolo de comunicación que usan la mayoría de los sitios web modernos para transferir datos entre el servidor y el navegador del visitante. La vulnerabilidad permite que un atacante envíe una petición especialmente construida que consume todos los recursos del servidor y lo deja sin poder responder a ninguna solicitud legítima. Esto se llama un ataque de denegación de servicio —DoS por sus siglas en inglés— y el resultado es que el sitio o servicio deja de funcionar.

Los servidores afectados incluyen NGINX y Apache —que juntos alimentan más del 60% de los sitios web del mundo— así como Microsoft IIS, Envoy y Cloudflare Pingora.

Impacto potencial

Para personas

Si el sitio que intentas usar —tu banco en línea, una plataforma de pagos, una tienda— cae por este tipo de ataque, simplemente no podrás acceder. No hay fuga de datos personales, pero la interrupción puede impedir operaciones críticas en el momento menos conveniente.

Para organizaciones

Un ataque DoS exitoso contra el servidor web de una empresa puede significar:

Perspectiva GRC

La característica más preocupante de esta vulnerabilidad es que afecta la configuración por defecto. Esto significa que cualquier servidor instalado sin endurecimiento específico —lo que ocurre en la mayoría de instalaciones apresuradas o administradas por terceros— está expuesto.

El patrón de gobernanza que esto evidencia: muchas organizaciones no tienen visibilidad de los servidores web que operan en su nombre. Un proveedor de hosting, una agencia web o un desarrollador externo puede estar ejecutando NGINX en su configuración de fábrica sin que la empresa contratante lo sepa o lo audite.

Recomendaciones

Para personas

Como usuario, no puedes prevenir este tipo de ataque. Pero si un servicio que usas frecuentemente cae de forma repentina y sin explicación, vale la pena reportarlo directamente al proveedor y esperar su comunicado oficial antes de intentar alternativas no verificadas.

Para organizaciones

La pregunta que debes poder responder hoy: ¿quién administra los servidores donde corre tu sitio web o tus sistemas, y cuándo fue la última revisión de su configuración de seguridad?


Los ataques de denegación de servicio no roban datos. Pero interrumpen el negocio con la misma efectividad que un incendio. La pregunta que pocas organizaciones se hacen antes del incidente: ¿cuánto tiempo puede estar caído nuestro sitio antes de que el impacto sea grave? Esa cifra —el tiempo máximo de inactividad tolerable— debería estar escrita en algún lugar, asignada a alguien, y revisada periódicamente.