Google ha publicado una actualización de seguridad de emergencia para Google Chrome que corrige la vulnerabilidad de día cero CVE-2025-13223, valorada con 8,8 sobre 10 en la escala CVSS. El fallo ya estaba siendo explotado activamente en ataques reales, lo que lo convierte en la séptima vulnerabilidad 0-day de Chrome detectada en 2025 mientras era utilizada en el mundo real.
Vulnerabilidad 0-day CVE-2025-13223 en Chrome: contexto e impacto
Según la información publicada en la National Vulnerability Database (NVD) de NIST, CVE-2025-13223 es un fallo de tipo type confusion en el motor JavaScript V8 y en la implementación de WebAssembly. La vulnerabilidad afecta a todas las versiones del navegador anteriores a Chrome 142.0.7444.175 y puede ser explotada de forma remota mediante una página HTML especialmente manipulada.
Un error de type confusion implica que el motor del navegador interpreta un objeto en memoria como si fuera de un tipo distinto al real. En este caso, el fallo permite provocar un heap corruption (corrupción de la memoria dinámica), que abre la puerta a la ejecución de código arbitrario en el contexto del proceso de Chrome o, como mínimo, a provocar bloqueos y denegaciones de servicio.
En un escenario de ataque típico, un usuario visita un sitio web malicioso o comprometido, que aprovecha la vulnerabilidad para ejecutar código sin su conocimiento. Combinado con otros fallos –por ejemplo, un bypass de sandbox o una escalada de privilegios en el sistema operativo– este tipo de vulnerabilidades puede integrarse en exploits de cadena utilizados en campañas de ciberespionaje y ataques dirigidos.
Cómo explota CVE-2025-13223 el motor V8 y WebAssembly
Qué es un error de type confusion en V8
El motor V8, responsable de ejecutar JavaScript en Chrome, aplica técnicas avanzadas de optimización en tiempo de ejecución (JIT, just-in-time compilation). Para maximizar el rendimiento, el motor realiza suposiciones sobre los tipos de objetos y estructuras de datos. Cuando esas suposiciones son incorrectas, se produce un type confusion: el motor trata datos en memoria como si fueran de un tipo distinto, lo que permite leer o escribir fuera de los límites previstos.
En CVE-2025-13223, esta condición se combina con la capa de WebAssembly, una tecnología diseñada para ejecutar código casi nativo en el navegador. Esta combinación amplía la superficie de ataque y facilita la creación de primitivas de lectura/escritura arbitraria en memoria, un paso clave para construir un exploit fiable.
Los fallos de type confusion en motores JavaScript son un objetivo recurrente para los atacantes porque, una vez explotados, permiten un control muy granular sobre la memoria del proceso del navegador. A partir de ahí, los grupos avanzados pueden desarrollar exploits estables que funcionen en múltiples versiones y plataformas, especialmente valiosos en ataques dirigidos contra empresas, gobiernos y organizaciones de alto perfil.
Google TAG: descubrimiento de la vulnerabilidad y posibles objetivos
La vulnerabilidad fue reportada por Clement Lecigne, investigador del equipo Google Threat Analysis Group (TAG), una unidad especializada en el seguimiento de operaciones de grupos vinculados a estados nación y actores avanzados.
Google ha confirmado que CVE-2025-13223 ya estaba siendo utilizada en operaciones reales antes de la publicación del parche. En incidentes anteriores analizados por TAG, vulnerabilidades 0-day similares se han empleado en campañas de espionaje contra periodistas, activistas, opositores políticos y organizaciones de derechos humanos. Aunque los detalles concretos de la explotación actual (países afectados, infraestructura, cadena completa de explotación) no se han hecho públicos todavía, es habitual que se retrase esta información para reducir el riesgo mientras los usuarios actualizan sus sistemas.
Versiones de Google Chrome corregidas y cómo verificar la actualización
El parche que mitiga la vulnerabilidad CVE-2025-13223 está incluido en las siguientes versiones de Chrome:
Windows: Chrome 142.0.7444.175 y 142.0.7444.176
macOS: Chrome 142.0.7444.176
Linux: Chrome 142.0.7444.175
Aunque Chrome se actualiza de forma automática por defecto, ante una vulnerabilidad 0-day activamente explotada es recomendable comprobar manualmente la versión. Para ello, acceda a: Menú → Ayuda → Información de Google Chrome y espere a que finalice la comprobación e instalación de actualizaciones.
En entornos corporativos con un gran número de estaciones de trabajo, es fundamental utilizar herramientas de gestión centralizada de parches (GPO, MDM, soluciones de gestión de endpoints) para reducir al mínimo la ventana de exposición. La experiencia en incidentes previos muestra que la diferencia entre actualizar en horas o en semanas puede determinar si una organización pasa a formar parte de la lista de víctimas.
Incremento de vulnerabilidades 0-day en navegadores: tendencia y recomendaciones
De acuerdo con los datos publicados por Google, CVE-2025-13223 es ya la séptima vulnerabilidad de día cero en Chrome en 2025 confirmada como explotada en ataques. En todo 2024 se cerraron diez fallos 0-day en el navegador, algunos demostrados en competiciones de seguridad como Pwn2Own y otros descubiertos directamente en el análisis de incidentes.
Este aumento refleja dos tendencias paralelas. Por un lado, los navegadores web siguen siendo uno de los vectores de ataque principales para grupos de cibercrimen y ciberespionaje, por su posición central en el acceso a servicios corporativos y personales. Por otro, la comunidad de seguridad –incluidos fabricantes, investigadores independientes y equipos como Google TAG– ha mejorado significativamente en la detección temprana y respuesta rápida ante exploits 0-day.
Para usuarios y empresas, la conclusión operativa es clara: la rapidez en la instalación de actualizaciones de seguridad es crítica. Incluso los exploits más sofisticados pierden gran parte de su valor en cuanto el parche se despliega de forma masiva. Mantener activadas las actualizaciones automáticas, evitar versiones obsoletas, inventariar el software utilizado y formar a los usuarios en la detección de sitios y enlaces sospechosos son medidas esenciales.
Ante casos como CVE-2025-13223, conviene asumir que los navegadores seguirán siendo un objetivo prioritario. Reducir al máximo el tiempo entre la publicación del parche y su despliegue, endurecer la configuración de seguridad del navegador y combinarla con soluciones de protección del endpoint son pasos decisivos para disminuir la probabilidad de verse afectado por la próxima vulnerabilidad 0-day.
