Google ha publicado una actualización de seguridad fuera de ciclo para Google Chrome con el objetivo de mitigar una nueva vulnerabilidad zero‑day que ya está siendo utilizada en ataques dirigidos. Se trata del octavo exploit de día cero corregido en Chrome desde el inicio de 2025, una cifra que confirma el papel central del navegador como vector de ataque prioritario para actores maliciosos.
Actualización de seguridad de Chrome: versiones afectadas y despliegue
Las correcciones están disponibles para las principales plataformas de escritorio y se distribuyen mediante el canal estable de Chrome en las siguientes versiones:
Windows: Chrome 143.0.7499.109
macOS: Chrome 143.0.7499.110
Linux: Chrome 143.0.7499.109
Google indica que el despliegue gradual ya ha comenzado y que la mayoría de usuarios recibirán el parche automáticamente en los próximos días. Sin embargo, al tratarse de una vulnerabilidad zero‑day ya explotada, se recomienda comprobar manualmente la versión del navegador y forzar la actualización, especialmente en entornos corporativos y equipos que manejan información sensible.
Zero‑day sin CVE público: una vulnerabilidad aún “bajo coordinación”
Un aspecto singular de este incidente es la ausencia de un identificador CVE público. De momento, Google rastrea la falla mediante el identificador interno 466192044 y la ha catalogado como “under coordination”. Esta etiqueta indica que el proveedor está coordinando con otros fabricantes y equipos de respuesta para definir el alcance, la atribución y el momento adecuado para publicar los detalles técnicos.
Por ahora no se ha revelado quién descubrió el fallo, cuándo se notificó ni qué componente exacto del navegador fue comprometido en origen. La única información oficial disponible es que la vulnerabilidad se considera de alta criticidad, lo que sugiere un impacto relevante en la confidencialidad y/o integridad de los datos del usuario.
LibANGLE, Metal y el riesgo de desbordamiento de búfer
Según la información publicada en el bug tracker de Chromium, el problema se relaciona con LibANGLE, una biblioteca de código abierto que actúa como capa de traducción entre OpenGL ES y otros APIs gráficos como Direct3D, Vulkan y Metal. Chrome depende intensivamente de esta capa de abstracción para garantizar un comportamiento gráfico coherente en distintas plataformas.
El incidente apunta a un desbordamiento de búfer en el renderizador basado en Metal provocado por una validación incorrecta del tamaño de determinados búferes. Este tipo de fallo de gestión de memoria puede derivar en:
- memory corruption (corrupción de memoria) en procesos del navegador;
- filtración potencial de información sensible en memoria;
- ejecución de código arbitrario en el contexto del proceso de renderizado.
Los desbordamientos de búfer siguen siendo una de las vulnerabilidades más peligrosas. En un navegador moderno, un atacante puede aprovechar estos fallos para eludir el sandbox y encadenar el exploit con otros errores hasta obtener acceso al sistema operativo.
Vulnerabilidades típicas en Chrome: type confusion y use‑after‑free
Especialistas en ciberseguridad señalan que la explotación de este zero‑day podría estar estrechamente relacionada con familias de errores como type confusion y use‑after‑free, habituales tanto en el motor JavaScript V8 como en módulos gráficos complejos. Estos patrones de vulnerabilidad llevan años siendo uno de los objetivos preferentes de los desarrolladores de exploits en navegadores.
En la práctica, muchos ataques avanzados contra Chrome combinan varios de estos fallos para lograr:
- ejecución remota de código en el proceso de renderizado;
- escape del sandbox y escalado de privilegios;
- instalación de spyware o robo de credenciales y tokens de sesión.
Mientras el parche se despliega globalmente, Google limita de forma deliberada la información técnica pública para dificultar la creación de exploits por parte de otros actores que aún no dispongan de cadenas de ataque operativas.
Ocho vulnerabilidades zero‑day de Chrome en 2025: contexto y tendencia
Con este incidente, Chrome acumula ocho vulnerabilidades zero‑day corregidas desde comienzos de 2025. A modo de referencia, durante todo 2024 se solucionaron diez zero‑days en el navegador, algunos de ellos exhibidos en competiciones de hacking como Pwn2Own y otros detectados en ataques reales de alta precisión.
Este ritmo demuestra una tendencia sostenida: los navegadores web siguen siendo uno de los objetivos preferentes para atacantes estatales y grupos criminales. La combinación de una base de código extremadamente compleja, una superficie de ataque enorme (renderizado, JavaScript, extensiones, sandbox, integración con el sistema) y el acceso directo a datos sensibles los convierte en piezas clave en campañas de intrusión.
Recomendaciones de ciberseguridad para usuarios y empresas
Buenas prácticas técnicas con Google Chrome
Hasta que se publiquen más detalles sobre el zero‑day, la medida más efectiva de mitigación es actualizar Chrome de inmediato a la última versión disponible en todos los equipos donde esté instalado, incluyendo servidores de administración y puestos de alto riesgo.
- Activar y verificar las actualizaciones automáticas de Chrome.
- Comprobar periódicamente el número de versión en Menú > Ayuda > Información de Google Chrome.
- Utilizar herramientas de gestión centralizada de parches en entornos de dominio.
- Restringir extensiones y complementos a fuentes verificadas y con mantenimiento activo.
- Aplicar segmentación de red y estaciones de trabajo separadas para cuentas con privilegios elevados o funciones críticas (finanzas, legal, TI).
Gestión del factor humano y defensa en profundidad
La frecuencia de vulnerabilidades zero‑day en navegadores subraya que la seguridad debe entenderse como un proceso continuo, no como una acción puntual. Además de parchear con rapidez, resulta esencial invertir en:
- formación periódica en higiene digital, phishing y fraude por ingeniería social;
- implementación de autenticación multifactor (MFA) en servicios críticos accesibles vía navegador;
- uso de soluciones de protección de endpoints y filtrado web capaces de detectar comportamientos anómalos.
La aparición de un nuevo zero‑day en Google Chrome es un recordatorio claro de que los atacantes no dejan de innovar. Mantener el navegador actualizado, aplicar buenas prácticas de configuración y combinar la tecnología con la formación de usuarios permite reducir de forma significativa el impacto de este tipo de fallos, incluso cuando los exploits se descubren antes que la solución oficial.
