Google ha lanzado una actualización de seguridad para Chrome que corrige 74 vulnerabilidades, incluida la crítica CVE-2026-11645 (CVSS 8.8) en el motor JavaScript V8, que ya está siendo explotada por atacantes. La vulnerabilidad permite a un atacante remoto ejecutar código arbitrario dentro de la sandbox del navegador mediante una página HTML especialmente diseñada. Todos los usuarios de Chrome y de navegadores basados en Chromium deben actualizarse de inmediato a la versión 149.0.7827.102/.103.
Análisis técnico de CVE-2026-11645
Según la descripción en la base de datos NVD, la vulnerabilidad es un error de acceso fuera de los límites de memoria (out-of-bounds read and write) en V8, el motor de JavaScript y WebAssembly utilizado en Google Chrome. El fallo afecta a todas las versiones de Chrome anteriores a la 149.0.7827.103.
El vector de ataque es de red: para su explotación basta con conseguir que la víctima abra una página HTML maliciosa. Esto puede lograrse mediante un enlace de phishing, publicidad maliciosa o la comprometración de un recurso web legítimo. Los errores de tipo out-of-bounds read/write en V8 son especialmente peligrosos, ya que el motor procesa código JavaScript en cada página visitada, y la posibilidad de leer y escribir simultáneamente fuera del búfer asignado abre la puerta a la ejecución completa de código arbitrario.
Es importante tener en cuenta que, aunque NVD indica que la ejecución de código se produce «dentro de la sandbox» (inside a sandbox), esto no implica seguridad total. La sandbox de Chrome es una barrera importante, pero combinada con una vulnerabilidad adicional de salida de la sandbox (sandbox escape), el atacante puede obtener control total sobre el sistema. Google, tal como se indica en el boletín oficial de seguridad, ha confirmado la existencia de un exploit activo en la naturaleza, pero se ha abstenido de publicar detalles hasta que la mayoría de los usuarios hayan actualizado.
La vulnerabilidad fue descubierta por un investigador bajo el seudónimo «303f06e3» y, según Google, fue reportada el 27 de abril de 2026. Por la divulgación responsable, el investigador, según se informa, recibió una recompensa de $55 000, cifra que refleja la criticidad del hallazgo y el hecho de su explotación activa.
Quinto zero-day de Chrome en 2026
CVE-2026-11645 se convirtió en la quinta vulnerabilidad zero-day en Chrome que Google ha corregido desde principios de 2026. Anteriormente se habían solucionado:
Esta dinámica —cinco zero-day explotados en el primer semestre— indica un interés sostenido de los atacantes por las vulnerabilidades de navegador como vector de acceso inicial. El motor V8 sigue siendo un objetivo prioritario: su compleja arquitectura de compilación JIT crea una amplia superficie de ataque, y la presencia masiva de Chrome convierte cada una de estas vulnerabilidades en potencialmente masiva.
Evaluación del impacto
La magnitud de la amenaza viene determinada por la cuota dominante de Chrome en el mercado de navegadores. No solo están en riesgo los usuarios de Chrome, sino todos los que utilizan navegadores basados en Chromium: Microsoft Edge, Brave, Opera, Vivaldi y otros. Para estos navegadores, los parches correspondientes pueden publicarse con retraso, lo que crea una ventana de vulnerabilidad.
Las entornos corporativos están expuestos a un riesgo especialmente alto, ya que la actualización de los navegadores puede retrasarse debido a las políticas de gestión de configuraciones, así como los usuarios que no tienen activadas las actualizaciones automáticas. Dado que para la explotación basta con seguir un enlace, la vulnerabilidad es ideal para ataques de phishing dirigidos a empleados de organizaciones.
Recomendaciones para la mitigación
La actualización debe aplicarse de inmediato, ya que la explotación está confirmada. Versiones objetivo:
- Windows y macOS: Chrome 149.0.7827.102 o 149.0.7827.103
- Linux: Chrome 149.0.7827.102
Para comprobar y actualizar: abra el menú de Chrome → Ayuda → Información de Google Chrome. El navegador descargará la actualización automáticamente y, a continuación, será necesario un reinicio. En entornos corporativos se recomienda distribuir la actualización de forma forzada mediante sistemas de gestión de configuraciones y restringir temporalmente el acceso a recursos web externos desde los sistemas en los que no sea posible aplicar el parche con rapidez.
Los usuarios de navegadores basados en Chromium deben estar atentos a la publicación de actualizaciones por parte de los proveedores correspondientes y aplicarlas en cuanto estén disponibles.
Dada la explotación activa confirmada de CVE-2026-11645 y el vector de ataque trivial a través de una página web maliciosa, la actualización de Chrome a la versión 149.0.7827.102/.103 debe realizarse en cuestión de horas, no de días. Para las organizaciones que gestionan un parque de estaciones de trabajo, la prioridad de este parche es máxima: verifique el alcance de la actualización a través de la consola de administración y asegúrese de que ningún sistema permanezca en una versión vulnerable.
