Google ha lanzado una actualización de seguridad para Chrome que corrige dos fallos críticos que, según la propia compañía, ya están siendo aprovechados por atacantes en entornos reales. Se trata de dos vulnerabilidades de alta gravedad que afectan a componentes fundamentales del navegador: la librería gráfica Skia y el motor JavaScript/WebAssembly V8.
El primero de los fallos, registrado como CVE-2026-3909, corresponde a un error de escritura fuera de los límites en Skia, la biblioteca 2D que Chrome utiliza para dibujar gráficos. En términos sencillos, un atacante puede crear una página HTML manipulada de forma que el navegador intente leer o escribir memoria fuera del área prevista, lo que puede provocar comportamientos inesperados o facilitar que código malicioso interfiera con la ejecución normal del navegador.
El segundo problema, CVE-2026-3910, afecta a V8 y ha sido descrito como una implementación inapropiada que permite a un atacante ejecutar código arbitrario dentro del entorno confinado del navegador mediante una página web preparada para tal fin. En pocas palabras, esto significa que un exploit bien diseñado podría sortear las barreras de seguridad que normalmente aíslan el código de la página del sistema del usuario.
Ambas vulnerabilidades tienen una puntuación CVSS alta (8.8) y, según Google, fueron detectadas internamente y reportadas el 10 de marzo de 2026. La compañía ha confirmado que existen exploits activos para estos fallos en la naturaleza, pero, como es habitual en estos casos, no ha compartido detalles técnicos sobre su funcionamiento o quién podría estar detrás de los abusos para evitar que más actores maliciosos los repliquen. Puede consultarse la nota oficial de Google sobre la actualización en su blog de versiones de Chrome: Stable Channel Update for Desktop.
Esta intervención llega semanas después de otra corrección de gravedad similar en el componente CSS del navegador, identificada como CVE-2026-2441, lo que eleva a tres el número de cero-días activamente explotados que Google ha parcheado desde el inicio del año. Ese patrón subraya que los navegadores siguen siendo un objetivo prioritario para actores que buscan comprometer dispositivos a través de simples visitas a páginas web manipuladas.
Para protegerse, Google recomienda actualizar Chrome a las versiones 146.0.7680.75/76 en Windows y macOS, y a 146.0.7680.75 en Linux. La forma más rápida de comprobar si ya dispone del parche es abrir Chrome, ir a Más > Ayuda > Información de Google Chrome y permitir que el navegador se reinicie después de descargar la actualización. La página de ayuda oficial de Google explica este proceso con más detalle: Cómo actualizar Google Chrome.
Si utiliza navegadores construidos sobre Chromium, como Microsoft Edge, Brave, Opera o Vivaldi, es recomendable estar atento a sus propias actualizaciones: muchas de las correcciones para Chromium se incorporan después en esos proyectos, pero los tiempos de despliegue pueden variar entre proveedores. Mantener el navegador actualizado es la medida más eficaz y sencilla contra este tipo de amenazas.
Además de aplicar la actualización cuanto antes, conviene mantener buenas prácticas básicas que reducen el riesgo: evitar hacer clic en enlaces sospechosos, no visitar sitios de procedencia dudosa, limitar las extensiones instaladas a las estrictamente necesarias y mantener el sistema operativo y el software de seguridad al día. Aunque no siempre prácticas perfectas, estas medidas ayudan a mitigar la exposición mientras los fabricantes lanzan parches.
Que Google haya tenido que corregir ya varios cero-días en poco tiempo es un recordatorio de que el panorama de amenazas evoluciona con rapidez. Actualizar ahora y reiniciar el navegador puede ser la diferencia entre pasar un día normal y lidiar con un incidente de seguridad. Mantener una mentalidad proactiva frente a las actualizaciones y la higiene digital sigue siendo la mejor defensa.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...