El navegador web es, a día de hoy, la puerta por la que entramos al mundo de internet. En él, nuestra vida, nuestras contraseñas y nuestros datos están expuestos constantemente, y eso es algo que los hackers y ciberdelincuentes intentan aprovechar cuando hay una vulnerabilidad. Google Chrome es, por estadística, el objetivo prioritario de estos ataques, dado que es el navegador que más se usa.
Esta misma semana, el gigante tecnológico ha hecho saltar todas las alarmas al emitir un boletín de seguridad con el que no contábamos. Y cuando una empresa de este calibre lanza un parche fuera de su calendario habitual de actualizaciones, es porque el peligro es real.
Google ha anunciado a través de un comunicado oficial en su web de seguridad que ha detectado y corregido dos vulnerabilidades críticas de día cero que ya están siendo explotadas activamente por los piratas informáticos. Si estás leyendo esto desde Chrome, tu máxima prioridad antes de cerrar esta pestaña debería ser comprobar la versión de tu navegador.
Dos agujeros de seguridad
Un fallo de día cero o zero day significa que los ciberdelincuentes han descubierto la vulnerabilidad y han comenzado a utilizarla en ataques reales antes de que el propio fabricante del software tuviera tiempo de crear una solución (es decir, han tenido cero días de margen para reaccionar).
Según la información técnica detallada por la compañía californiana, la actualización de emergencia viene a tapar dos brechas catalogadas de alta gravedad:
- CVE-2026-3909: Esta primera vulnerabilidad radica en Skia, la biblioteca de gráficos 2D de código abierto que Chrome utiliza para renderizar el contenido visual de las webs y los elementos de la interfaz de usuario. El fallo permite una escritura fuera de límites. En la práctica, esto quiere decir que un atacante que, en remoto, logre dirigir a la víctima a una web maliciosa podría aprovechar este error para colapsar el navegador o, lo que es infinitamente peor, tomar el control del dispositivo, ya sea ordenador, tablet o móvil.
- CVE-2026-3910: El segundo agujero se ha localizado en el motor V8, el encargado de procesar el código JavaScript y WebAssembly en Chrome. El fallo se describe como una implementación inapropiada.
El nuevo parche de seguridad de Chrome ya está disponible para todos los usuarios
El mérito de los ingenieros de Google es innegable, ya que detectaron ambos fallos y lograron programar y desplegar los parches de corrección en un tiempo récord, menos de 48 horas después de haber recibido los reportes. El problema es que este tiempo es suficiente para que los delincuentes hagan de las suyas.
Por qué Google no da todos los detalles
Aunque la compañía admite tener constancia de que existen exploits o programas creados para aprovechar estas vulnerabilidades circulando por internet, su política es mantener un hermetismo absoluto sobre cómo se están llevando a cabo estos ataques.
En su propio comunicado, Google advierte: «El acceso a los detalles de los errores y a los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios hayan actualizado con la corrección». Y es lógico, ya que si publican el código exacto del fallo, miles de hackers intentarían replicar el ataque contra los ordenadores de aquellos usuarios que aún no han actualizado su navegador. Eso sí, el parche podría tardar días en llegar a todos, pero la actualización ya está plenamente operativa y disponible en los servidores para forzar su descarga.
Cómo forzar la actualización
Las nuevas versiones seguras que ya se están distribuyendo en el canal estable son la 146.0.7680.75 para Windows y Linux, y la 146.0.7680.76 para los sistemas macOS de Apple. Normalmente, Chrome se actualiza solo al cerrarlo y volverlo a abrir, pero para forzarlo manualmente, solo tienes que ir al menú de los tres puntos (arriba a la derecha), seleccionar «Ayuda» y luego «Información de Google Chrome». El navegador buscará el parche, lo instalará y te pedirá reiniciar.
Fuente: Google Chrome Releases | adslzone
