Usuarios y administradores reportan que, después de instalar los paquetes acumulativos de septiembre y octubre para Windows 11 —KB5065789 (preview) y KB5066835—, las conexiones HTTP/2 hacia localhost (127.0.0.1) se interrumpen de forma aleatoria o fallan durante el establecimiento. La sintomatología más común incluye ERR_CONNECTION_RESET y ERR_HTTP2_PROTOCOL_ERROR en navegadores y clientes. Los informes se han multiplicado en foros de Microsoft, Stack Exchange y Reddit, y han sido corroborados por análisis de la comunidad técnica.
Qué está pasando: errores de HTTP/2 en 127.0.0.1
El problema aparece al intentar negociar HTTP/2 con servicios locales. La sesión no completa el handshake y el cliente corta el canal. Aunque se limita al loopback, su impacto es amplio: desde pruebas de APIs y debugging en localhost, hasta flujos de autenticación y verificación de postura que dependen de web endpoints locales.
Impacto en herramientas y servicios empresariales
Los fallos afectan a múltiples escenarios: depuración de aplicaciones web desde Visual Studio, autenticación de SSMS Entra ID, y componentes de Duo Desktop/Duo Prompt que utilizan callbacks HTTP locales. Un aviso de soporte de Duo señala que, en sistemas Windows 11 24H2/25H2 con estos parches, Duo Prompt puede no comunicarse con Duo Desktop, degradando funciones de Zero Trust como Trusted Endpoints, Device Health, Duo Passport y Verified Duo Push con Bluetooth.
Análisis técnico: posibles causas en la pila de red
Sin un boletín técnico oficial detallado, los indicios apuntan a cambios en el manejo de HTTP/2 sobre el interfaz de loopback en Windows. HTTP/2 introduce multiplexing a nivel de conexión y depende de ALPN para la negociación del protocolo. Ajustes en políticas de ALPN, en HTTP.sys o en validaciones del kernel pueden provocar resets prematuros, especialmente en flujos con múltiples streams concurrentes. Aunque el tráfico es local, el efecto colateral alcanza procesos críticos: SSO, cumplimiento de políticas y pipelines CI/CD.
Soluciones temporales y mitigación
Desactivar HTTP/2 en el sistema
Administradores han obtenido estabilidad deshabilitando HTTP/2 a nivel de sistema mediante registro: establecer EnableHttp2Tls=0 y EnableHttp2Cleartext=0 en HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters. Esto fuerza HTTP/1.1 en localhost y reduce los errores, aunque puede impactar rendimiento y funciones que esperan HTTP/2.
Firmas de Microsoft Defender y reversión de parches
Algunos equipos informan de mejoras tras actualizar las firmas de Microsoft Defender, presumiblemente por exclusiones o cambios en inspección de tráfico. Sin embargo, no es universal. La medida más consistente sigue siendo desinstalar KB5066835 y KB5065789 y reiniciar; tras el rollback, el loopback vuelve a aceptar HTTP/2 con normalidad, según la comunidad y portales técnicos como BornCity.
Recomendaciones para IT y desarrollo
Gobernanza de parches y observabilidad
En entornos corporativos, pausar temporalmente la distribución de estos parches vía WSUS/Intune, aplicar despliegues escalonados y reforzar la observabilidad de errores en localhost. Registre incidentes, recoja logs de red y de aplicaciones, y habilite trazas de HTTP/2 para aislar patrones. Siga de cerca avisos de Microsoft y de proveedores con dependencias locales (p. ej., Duo).
Contención a nivel de aplicación
Hasta contar con un hotfix, fuerce HTTP/1.1 donde sea viable: parámetros de ejecución (por ejemplo, –http1.1 en curl), opciones de SDK/framework o configuración en reverse proxies. Para servicios sensibles a latencia, evalúe el coste de desactivar HTTP/2 frente al downtime por errores de protocolo antes de aplicar cambios de registro.
Este incidente evidencia la sensibilidad de las cadenas de desarrollo y autenticación a modificaciones del stack de red del sistema operativo. Si observa ERR_CONNECTION_RESET o ERR_HTTP2_PROTOCOL_ERROR al conectar a 127.0.0.1 tras instalar KB5066835/KB5065789, adopte una de las mitigaciones temporales o considere revertir los parches, documente el impacto y pruebe futuras actualizaciones en anillos piloto. Mantener una gestión de parches prudente, telemetría robusta y planes de contingencia reducirá riesgos operativos y de ciberseguridad.
