Google ha desplegado una actualización de emergencia para Chrome que corrige dos vulnerabilidades de alta gravedad que ya están siendo explotadas en estado “zero‑day”. En su aviso oficial, la compañía reconoce que existen pruebas de explotación activa de ambas fallas y ha lanzado parches para las versiones estables de escritorio en Windows, macOS y Linux.
Una de las fallas proviene de una escritura fuera de límites en Skia, la librería de código abierto encargada del renderizado 2D en múltiples proyectos, incluido Chromium. Este tipo de errores —conocidos como out‑of‑bounds write— pueden provocar que el navegador se bloquee o, en el peor de los casos, permitir la ejecución de código arbitrario si un atacante logra manipular la memoria afectada. Skia es un componente crítico en la cadena de renderizado, por lo que cualquier defecto en su manejo de objetos gráficos puede tener implicaciones serias para la seguridad del navegador. Más información sobre la naturaleza técnica de este tipo de debilidades está disponible en la descripción del CWE correspondiente en MITRE, y en la página del propio proyecto Skia en skia.org.
La otra vulnerabilidad afecta al motor V8, responsable de ejecutar JavaScript y WebAssembly. Google la describe como un problema de implementación inadecuada en V8 que podría explotarse para comprometer la seguridad de la ejecución de código en el navegador. V8 es la pieza que interpreta y optimiza el código web que la mayoría de las páginas y aplicaciones modernas utilizan; por eso, fallos en su lógica pueden abrir puertas muy valiosas para atacantes persistentes. El proyecto V8 mantiene documentación y recursos en v8.dev.
Google no ha publicado detalles técnicos exhaustivos sobre los incidentes concretos de explotación, aduciendo que restringe el acceso a la información sensible hasta que la mayor parte de los usuarios haya recibido el parche o cuando bibliotecas de terceros que comparten la misma vulnerabilidad también hayan sido corregidas. Esa práctica busca impedir que más atacantes creen exploits antes de que los equipos y usuarios se actualicen.
Las versiones con el parche ya publicadas para el canal estable son 146.0.7680.75 en Windows, 146.0.7680.76 en macOS y 146.0.7680.75 en Linux. Google distribuyó la actualización de forma urgente y, aunque advierte que el despliegue completo puede tardar días o semanas en alcanzar a todos los usuarios, algunos análisis y comprobaciones —como las realizadas por medios especializados— han detectado el parche disponible inmediatamente en varios equipos.
Si usas Chrome, lo más práctico y seguro es actualizar cuanto antes y reiniciar el navegador. Puedes forzar la comprobación de actualizaciones desde el menú de Chrome o dejar que la propia configuración de actualizaciones automáticas haga el trabajo e instale el parche en el próximo inicio del navegador. Tener las actualizaciones automáticas activadas reduce el tiempo en el que un navegador vulnerable permanece expuesto.
Es importante recordar que muchos navegadores basados en Chromium comparten componentes como Skia y V8. Eso significa que, cuando se descubre un fallo en esos elementos, otras implementaciones que los incorporan pueden verse afectadas también y necesitarán publicar sus propios parches. Por eso conviene prestar atención a las actualizaciones de los navegadores alternativos y a los avisos de seguridad de sus desarrolladores.
Este par de correcciones se suma a otros “zero‑days” arreglados por Google en lo que va de año. A principios de febrero ya se había corregido otra vulnerabilidad explotada activamente relacionada con la implementación de valores de características tipográficas en CSS. En 2025 la compañía cerró ocho fallas zero‑day explotadas en entornos reales, muchas de ellas reportadas por su Threat Analysis Group (TAG), el equipo interno que rastrea y analiza amenazas sofisticadas. Para consultar el aviso de Google sobre las actualizaciones de Chrome puedes ver el comunicado oficial en el blog de lanzamientos de Chromium en chromereleases.googleblog.com.
El ecosistema de caza de errores también sigue activo: Google informó recientemente de pagos millonarios a investigadores que reportaron vulnerabilidades a través de su programa de recompensas. Si te interesa cómo funcionan las iniciativas de bug bounty y dónde reportar fallos, la página oficial del programa está en bughunters.google.com.
¿Qué pueden hacer los usuarios además de actualizar? Mantener el sistema operativo y las aplicaciones al día reduce la superficie de ataque; evitar abrir enlaces o archivos desconocidos y no permitir instalaciones de orígenes no verificados disminuye el riesgo de caer en técnicas de explotación que comienzan fuera del navegador. Para entornos corporativos, medidas como la aplicación centralizada de parches, el uso de herramientas de gestión de endpoints y la segmentación de redes ayudan a contener posibles intrusiones. Medios de divulgación y de seguridad como BleepingComputer suelen cubrir este tipo de alertas con rapidez y pueden servir para seguir la evolución del incidente.
En resumen, se trata de dos fallos serios y explotados activamente que han recibido una corrección urgente. La recomendación principal es actualizar Chrome cuanto antes y mantener activas las actualizaciones automáticas, porque en seguridad muchas veces la diferencia entre estar expuesto o protegido es simplemente aceptar e instalar un parche a tiempo.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...