Elimina HTTP/1.1. O te atrapará

Hace seis años, los especialistas de PortSwigger descubrieron por primera vez una vulnerabilidad fundamental en el protocolo HTTP/1.1, relacionada con los ataques de desincronización de solicitudes HTTP (HTTP Request Smuggling). A pesar de que este problema se conoce desde 2019, sigue sin resolverse y continúa representando una amenaza: los atacantes pueden modificar o inyectar solicitudes a nivel de infraestructura, obteniendo acceso a datos y control sobre aplicaciones web.

El peligro de esta falla radica en un problema estructural del protocolo HTTP/1.1: su arquitectura permite ambigüedades en los límites entre solicitudes consecutivas. Los atacantes aprovechan esto para crear situaciones en las que el servidor y el proxy interpretan los datos recibidos de forma diferente. En la práctica, esto significa que una solicitud maliciosa puede "esconderse" dentro de una legítima, superar las comprobaciones de seguridad y ejecutar acciones previstas por el atacante. Estos ataques son especialmente eficaces cuando se utilizan redes CDN y proxies inversos, donde las diferencias en la lógica de procesamiento son especialmente marcadas.

PortSwigger destaca que, a pesar de los extensos esfuerzos de protección iniciados en 2019 tras la revelación inicial de la vulnerabilidad, el problema sigue vigente. En seis años se han implementado docenas de medidas de protección, pero ninguna ha logrado eliminar por completo la posibilidad de evasión. La última serie de pruebas demostró que incluso los principales proveedores de CDN todavía permiten la desincronización cuando se utiliza HTTP/1.1 entre el proxy y el servidor de origen.

Resulta especialmente preocupante que incluso la migración a HTTP/2 —una versión más moderna del protocolo en la que se ha eliminado la principal ambigüedad en la estructura de las solicitudes— a menudo resulte incompleta. Muchas empresas habilitan HTTP/2 solo en los servidores de borde, dejando HTTP/1.1 como canal de comunicación entre el proxy y el servidor, donde permanece el punto de entrada para los ataques. Es precisamente en esta zona donde se concentra el mayor riesgo.

En respuesta a la continua ignorancia del problema, los investigadores de PortSwigger lanzaron una iniciativa con el contundente nombre de «HTTP/1.1 Must Die», en la que abogan por el abandono total del protocolo obsoleto. Los autores enfatizan que mientras HTTP/1.1 permanezca en cualquier parte de la infraestructura, el riesgo de una completa compromisión de las aplicaciones seguirá presente.

Las recomendaciones incluyen no solo la activación obligatoria de soporte para HTTP/2 en todos los niveles, incluidas las conexiones internas, sino también la implementación de mecanismos de validación y normalización de solicitudes en el lado del cliente, así como la desactivación del reuso de conexiones entre componentes de infraestructura. En los casos en que una migración completa no sea posible, se aconseja a los desarrolladores escanear regularmente sus sistemas utilizando herramientas abiertas como HTTP Request Smuggler versión 3.0 y HTTP Hacker, diseñadas para detectar este tipo de problemas.

La investigación vuelve a poner en duda la solidez del panorama web actual, en el que millones de sitios —desde blogs hasta la infraestructura de empresas del Fortune 500— siguen utilizando un protocolo inseguro. Y aunque HTTP/2 y HTTP/3 ofrecen una alternativa fiable, la lentitud en la migración convierte cada vulnerabilidad en una potencial catástrofe.