Google lanza actualización urgente de Chrome por vulnerabilidad grave explotada activamente

Google publicó una actualización de emergencia para Chrome tras confirmar la explotación activa de una vulnerabilidad de alta severidad que aún no ha sido descrita públicamente. El fallo —identificado internamente como issue 466192044— está siendo aprovechado en ataques reales, motivo por el cual la compañía mantiene bajo reserva los detalles técnicos y el CVE correspondiente para evitar una ola de exploits derivados.

Una vulnerabilidad crítica bajo silencio estratégico

La nueva versión de Chrome corrige tres fallos de seguridad; uno de ellos, el ya mencionado 466192044, cuenta con un exploit funcional utilizado “in the wild” y clasificado con severidad alta por el equipo de Chromium.
Google ha decidido aplazar la publicación del componente afectado, el vector de ataque y la descripción técnica del bug para impedir que otros actores maliciosos analicen el parche, repliquen el exploit o desarrollen variantes encadenadas.

Este tipo de reserva temporal se ha vuelto una práctica común cuando existe explotación activa, y sugiere que Google continúa coordinando la investigación con socios del ecosistema de seguridad.

2025: otro año marcado por zero-days en Chrome

Con este parche, Chrome llega a ocho vulnerabilidades zero-day explotadas o validadas como explotables en lo que va de 2025.
Entre las más relevantes del año destacan CVE-2025-2783, CVE-2025-6558 y CVE-2025-13223, principalmente asociadas a evasión de sandbox y corrupción de memoria mediante HTML malicioso.

En varios casos, bastaba con visitar una página comprometida para que el exploit se activara, un patrón que apunta a campañas de alto perfil. Equipos como Google Threat Analysis Group y firmas como Kaspersky han vinculado incidentes similares a actores APT y proveedores de spyware mercenario.

Actualización disponible: versiones afectadas y parches incluidos

La actualización eleva Chrome a:

• 143.0.7499.109/.110 en Windows y macOS

• 143.0.7499.109 en Linux

Estas versiones incluyen la corrección del fallo explotado activamente y otros dos bugs de severidad media:

• un use-after-free en el gestor de contraseñas

• un problema de implementación en la barra de herramientas

Google pide a todos los usuarios ir a “Más > Ayuda > Acerca de Google Chrome” y reiniciar el navegador para confirmar que el parche se instaló.

Los navegadores basados en Chromium —Microsoft Edge, Brave, Opera, Vivaldi— deberán integrar sus propias actualizaciones en cuanto las correcciones lleguen a sus ramas de desarrollo.

Riesgos e impacto para organizaciones de TI

La confirmación de explotación activa convierte este incidente en una actualización crítica para organizaciones, particularmente aquellas que gestionan información sensible o entornos con políticas estrictas de cumplimiento.

En campañas previas, vulnerabilidades similares han sido utilizadas para romper el sandbox, desplegar spyware, obtener persistencia y ejecutar operaciones de espionaje.
Para reducir el riesgo, los equipos de TI deberían:

• incluir el parche en su ciclo de actualizaciones de emergencia

• verificar inventarios de navegadores Chromium en todos los endpoints

• aplicar hardening para limitar la ejecución de contenido no confiable

• reforzar la capacitación de usuarios frente a enlaces o sitios desconocidos

Muchos exploits recientes se disparan simplemente al cargar una página manipulada, sin requerir interacción adicional.

Opinión: Chrome y la señal de alarma en el ecosistema de navegadores

El hecho de que Chrome acumule ya ocho zero-days explotados en un solo año refuerza una tendencia preocupante: los navegadores web se han convertido en objetivos prioritarios para actores avanzados. La combinación de JavaScript, WebAssembly, GPU, extensiones y millones de usuarios hace que cualquier bug crítico tenga un valor operativo enorme para el cibercrimen y el espionaje.

La decisión de Google de ocultar temporalmente detalles del issue 466192044 plantea un equilibrio complejo entre transparencia y seguridad. Para la comunidad técnica, el reto será analizar el parche sin facilitar rutas de explotación, al tiempo que se exige mayor robustez en el navegador más usado del mundo.