🚨 Chrome bajo ataque: Google lanza parche urgente por nuevo zero-day en el motor V8

Imagina abrir una página web… y sin hacer clic en nada, tu navegador queda comprometido.
Eso es exactamente lo que Google confirmó este 18 de noviembre de 2025: un nuevo zero-day en Chrome que ya estaba siendo explotado en ataques reales.

Si trabajas en TI —seas sysadmin, dev, soporte, ciberseguridad o técnico de campo—, esto te afecta directamente.

¿Qué pasó y por qué es tan grave?

Google lanzó una actualización de emergencia para corregir la vulnerabilidad CVE-2025-13223, un fallo de type confusion en el motor JavaScript V8.

Este tipo de vulnerabilidad permite a un atacante:

• corromper la memoria del navegador,

• lograr ejecución de código,

• comprometer el sistema del usuario,

• y todo… solo con visitar una página maliciosa.

Ni descargas, ni clics, ni confirmaciones.
Zero-click desde el navegador.

La vulnerabilidad fue reportada por Clément Lecigne, del equipo Google TAG, el 12 de noviembre. Google confirmó que el exploit ya estaba siendo usado en ataques dirigidos, aunque no dijo contra quién ni con qué fin.

Versión segura:

➡️ Chrome 142.0.7444.175 o superior
Si tienes algo anterior, estás expuesto.

¿Qué más corrigió Google?

Además del zero-day, Google parchó otro fallo similar en V8:

• CVE-2025-13224 — otro type confusion, detectado por su sistema automático Big Sleep.
  Este aún no se ha visto explotado, pero está en la misma zona crítica del motor.

Lo preocupante es que todos los zero-days de 2025 en Chrome han sido en V8, lo que confirma una tendencia:
los atacantes siguen apostando por vulnerabilidades en la ejecución de JavaScript y WebAssembly, porque ahí es donde está el “corazón” del navegador moderno.

Impacto global: por qué debes actualizar YA

Chrome tiene más de 3,000 millones de usuarios.
Un exploit de este tipo —RCE silencioso vía navegador— puede usarse para:

• espionaje dirigido,

• instalación de spyware,

• robo de credenciales,

• secuestro de sesiones,

• comprometer endpoints corporativos,

• saltar a otros sistemas mediante sincronización o extensiones.

Es uno de los vectores más peligrosos que existen.

¿Qué debes hacer como profesional de TI?

Aquí vienen las acciones prácticas:

1. Actualiza Chrome en todos los equipos (hoy mismo)

Especialmente en:

• estaciones de trabajo,

• laptops de personal administrativo,

• máquinas de desarrolladores,

• dispositivos de soporte técnico,

• navegadores usados para banca o sistemas críticos.

Si usas políticas de dominio (GPO, Intune, Jamf, etc.), fuerza el update.

2. Revisa navegadores derivados de Chromium

Porque también usan V8:

• Edge

• Brave

• Opera

• Vivaldi

Todos parchan después de Chrome.
Revisa versiones y fuerza la actualización.

3. Educa a tu equipo: “actualizar el navegador” NO es opcional

Muchos usuarios creen que Chrome se actualiza solo.
No siempre.
Y no siempre lo hace a tiempo.

Un buen mensaje interno puede evitar un compromiso.

4. Si administras sitios web, revisa tu postura de seguridad

Los ataques vía navegador suelen usar:

• páginas clonadas,

• anuncios maliciosos (malvertising),

• redireccionamientos,

• inyecciones en sitios vulnerables.

Un parche a Chrome no protege tus propios servicios.
Revisa WAFs, CSP, filtros y logs.

5. Documenta y registra el incidente

Incluye:

• CVE

• fecha

• impacto

• acciones tomadas

• sistemas afectados

Esto ayudará en auditorías, ISO 27001, SOC 2 o revisiones internas.

Conclusión

Google lanzó un parche de emergencia porque el exploit ya está en uso y es peligroso: un zero-day de ejecución de código solo al visitar una página.

Como profesional de TI, tu responsabilidad es clara:
actualizar, monitorear y asegurar que nadie en tu organización quede expuesto.