google paga 250 000 por una grave vulnerabilidad en chrome

Google paga 250.000$ por una grave vulnerabilidad en Chrome

PorCarlos Ribeiro

Que un gigante tecnológico como Google desembolse una cifra tan considerable por una sola vulnerabilidad debería hacernos levantar las cejas. Y es que no estamos ante un simple fallo: hablamos de una vulnerabilidad crítica que permite escapar del sandbox de Chrome y ejecutar comandos en el sistema.

¿Qué ha ocurrido exactamente?

Un investigador conocido como ‘Micky’ ha recibido la mayor recompensa posible que Google ofrece por vulnerabilidades en Chrome: 250.000 dólares. El fallo, catalogado como CVE-2025-4609, fue reportado el pasado 22 de abril y corregido a mediados de mayo con la actualización a Chrome 136.

La vulnerabilidad afecta al sistema Mojo de Chrome, el mecanismo de comunicación entre procesos del navegador. Google la ha clasificado como de «alta gravedad», y no es para menos: permite escapar del entorno seguro (sandbox) que normalmente mantiene aisladas las páginas web del sistema operativo.

El sandbox de Chrome: la primera línea de defensa

Para entender la gravedad, hay que comprender que el sandbox es precisamente lo que evita que una página maliciosa pueda hacer daño real a tu ordenador. Es como si cada pestaña del navegador viviera en su propia burbuja aislada.

Cuando una vulnerabilidad logra «escapar» de esa burbuja, las consecuencias pueden ser devastadoras: desde el robo de datos personales hasta la instalación de malware en tu sistema.

Una demostración alarmantemente efectiva

Lo que ha impresionado a Google no es solo el descubrimiento de la vulnerabilidad, sino la calidad del reporte y la demostración práctica. El investigador desarrolló una prueba de concepto (PoC) que lograba escapar del sandbox y ejecutar comandos en el sistema —en concreto, abría la calculadora del sistema como demostración— con una tasa de éxito del 70-80%.

Es un porcentaje preocupantemente alto para este tipo de exploits. La buena noticia es que, como suele ocurrir con estas vulnerabilidades, su explotación típicamente requiere que la víctima visite una página web maliciosa diseñada específicamente para aprovechar el fallo.

No todos los fallos son iguales

Google ha dejado claro que no cualquier vulnerabilidad recibe el máximo premio. Para obtener los 250.000 dólares, se necesita:

  • Un fallo que permita escapar del sandbox
  • Un reporte de alta calidad
  • Una demostración funcional de ejecución remota de código
  • Un buen análisis técnico

En este caso, Google describió el CVE-2025-4609 como «un error de lógica muy complejo y un informe de alta calidad con un exploit funcional, con buen análisis y demostración de escape del sandbox».

El negocio de la seguridad

Aunque 250.000 dólares puedan parecer una fortuna, la realidad es que para Google representa una inversión mínima comparada con el coste que podría suponer un zero-day de estas características en manos de actores maliciosos.

La compañía reveló a principios de este año que pagó un total de 12 millones de dólares a través de sus programas de recompensas por fallos durante 2024, siendo la mayor recompensa individual hasta ese momento de 110.000 dólares.

Este caso demuestra que el mercado de las vulnerabilidades sigue siendo extremadamente activo, y que encontrar fallos críticos en software ampliamente utilizado puede ser increíblemente lucrativo (y para las empresas, pagar por ellos resulta mucho más económico que sufrir las consecuencias).

La carrera entre parches y exploits

Cada vez que se descubre una vulnerabilidad de este calibre comienza una carrera: los desarrolladores intentan lanzar un parche antes de que los ciberdelincuentes puedan crear exploits funcionales. En este caso, Google actuó con relativa rapidez, corrigiendo el fallo en menos de un mes.

Sin embargo, como bien sabemos quienes seguimos el mundo de la ciberseguridad, no todos los usuarios actualizan sus navegadores inmediatamente. Esto crea una ventana de oportunidad para los atacantes, que pueden aprovechar vulnerabilidades ya parcheadas pero que siguen presentes en sistemas no actualizados.

Por eso siempre insisto: mantén tu navegador actualizado. Puede parecer una molestia menor, pero es una de las medidas de seguridad más efectivas que puedes tomar. Y como hemos visto con esta vulnerabilidad de 250.000 dólares, los riesgos son demasiado grandes como para ignorarlos.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *