google chrome sufre su sexta vulnerabilidad zero day en 2025

Google Chrome sufre su sexta vulnerabilidad zero-day en 2025

PorCarlos Ribeiro

Google ha lanzado a toda prisa una actualización de Chrome para solucionar una vulnerabilidad crítica que ya está siendo explotada activamente. Y van seis en lo que va de año. No es para tomárselo a broma: estamos hablando de la sexta vulnerabilidad zero-day que han tenido que parchear en Chrome en 2025, y apenas estamos en septiembre.

¿Qué ha pasado exactamente?

El equipo de Análisis de Amenazas de Google (TAG) detectó el 16 de septiembre esta nueva vulnerabilidad, catalogada como CVE-2025-10585. En términos sencillos, se trata de un problema de «confusión de tipos» en el motor JavaScript V8, que es el corazón que procesa todo el código JavaScript en Chrome.

Cuando hablo de «confusión de tipos», me refiero a un fallo de seguridad en la memoria que puede provocar comportamientos inesperados en el navegador. Y cuando digo «comportamientos inesperados», me refiero a que un atacante podría ejecutar código malicioso en tu ordenador. No es que Chrome se vaya a quedar congelado mientras ves vídeos de gatitos; hablamos de algo mucho más serio.

La mecánica del ataque

Lo preocupante de esta vulnerabilidad es que los atacantes pueden explotarla simplemente haciendo que visites una página web especialmente preparada. Una vez allí, el error en V8 les permite realizar operaciones de lectura y escritura arbitrarias de forma remota.

Para que lo entendamos todos: es como si dejaras la puerta de tu casa abierta y cualquiera pudiera entrar, revisar tus cajones y llevarse lo que quisiera. Solo que en este caso, la «casa» es tu ordenador y lo que se llevan pueden ser tus contraseñas, datos bancarios o cualquier otra información sensible.

El contexto más amplio

Google ha confirmado que esta vulnerabilidad ya está siendo explotada «en la naturaleza» (así llaman los de seguridad a los ataques reales). No han dado detalles específicos, pero el hecho de que fuera el equipo TAG quien la descubriera nos da una pista: probablemente estemos ante un ataque de algún proveedor de spyware comercial.

Y es que el equipo TAG tiene un historial impresionante destapando agujeros de seguridad utilizados por empresas que venden software de espionaje, muchas veces a gobiernos o entidades poco transparentes. No sería la primera vez que encuentran vulnerabilidades en Chrome explotadas por este tipo de actores.

No está solo

La actualización no solo corrige esta vulnerabilidad zero-day, sino que también resuelve otros tres problemas de seguridad:

  • Dos fallos de tipo «use-after-free» en los componentes Dawn y WebRTC, por los que Google ha pagado recompensas de 15.000$ y 10.000$ respectivamente.
  • Un desbordamiento de búfer en ANGLE (el motor gráfico), descubierto por un agente de IA llamado Big Sleep.

Este último punto me parece especialmente curioso. Google está utilizando IA para encontrar fallos de seguridad que los atacantes ya conocen y planean explotar. Es como poner a una IA a pensar como un criminal para adelantarse a sus movimientos. Fascinante y un poco inquietante a la vez.

¿Qué debes hacer?

Si usas Chrome (y estadísticamente, es probable que sea así), necesitas actualizar tu navegador lo antes posible. La nueva versión está disponible como 140.0.7339.185/.186 para Windows y macOS, y como 140.0.7339.185 para Linux.

Chrome suele actualizarse automáticamente, pero no está de más forzar la actualización manualmente. Solo tienes que ir a los tres puntos en la esquina superior derecha, seleccionar «Ayuda» y luego «Acerca de Google Chrome». El navegador buscará actualizaciones y las instalará si están disponibles.

Un problema recurrente

Este es el sexto zero-day que afecta a Chrome en lo que va de año. El quinto se parcheó hace apenas unas semanas. La frecuencia con la que aparecen estas vulnerabilidades críticas debería hacernos reflexionar sobre nuestra dependencia de los navegadores web para prácticamente todo lo que hacemos en línea.

No quiero sonar alarmista, pero cuando el navegador que usa más del 60% de los usuarios de internet sufre seis vulnerabilidades críticas en nueve meses, es momento de prestar atención. Y no, no estoy sugiriendo que abandones Chrome (yo mismo lo uso), sino que seas consciente de la importancia de mantenerlo actualizado.

La buena noticia es que Google está respondiendo con rapidez. La mala es que seguimos en esta carrera constante entre atacantes y defensores, y parece que no va a terminar pronto.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *