- Una vulnerabilidad crítica en Chrome permitía la evasión del sandbox y ejecución de código.
- La falla afectaba tanto a Chrome como a otros navegadores basados en Chromium.
- Google y CISA emitieron alertas y lanzaron parches urgentes para mitigar el riesgo.
- Es fundamental actualizar el navegador para protegerse de amenazas activas.
Una nueva vulnerabilidad crítica en Google Chrome ha puesto en alerta a millones de usuarios a nivel mundial. Esta brecha de seguridad, calificada de alta severidad, fue localizada en el motor gráfico ANGLE y en componentes de la GPU del navegador. Su descubrimiento ha desencadenado una ola de actualizaciones urgentes y advertencias por parte de entidades como Google y la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA).
La amenaza no afecta exclusivamente a Chrome en ordenadores, sino también a otros navegadores populares basados en Chromium, como Microsoft Edge, Opera, Brave o Vivaldi. Por ello, el impacto de esta vulnerabilidad resulta particularmente preocupante por su capacidad de afectar a un ecosistema digital extremadamente amplio.
Ataques activos y explotación de la vulnerabilidad
La vulnerabilidad, denominada CVE-2025-6558, permitía a los atacantes escapar del aislamiento del sandbox simplemente a través de una página web manipulada o un archivo HTML específicamente diseñado. Esto suponía que, con tan solo visitar un sitio web malicioso, el atacante pudiera ejecutar código no autorizado e incluso acceder a información sensible del sistema objetivo.
Investigadores del Grupo de Análisis de Amenazas de Google, entre ellos Clément Lecigne y Vlad Stolyarov, detectaron estos fallos y notificaron a la compañía a finales de junio. Poco después, diversas fuentes de ciberseguridad confirmaron que la vulnerabilidad estaba siendo explotada de manera activa, lo que ha motivado una reacción inmediata por parte de la propia Google y entidades reguladoras.
El fallo afecta principalmente a la validación de datos que realiza el motor ANGLE, encargado de la aceleración gráfica del navegador. En caso de que el usuario abriese un archivo HTML malicioso, el atacante podía aprovechar esta debilidad para romper las barreras de protección del navegador y realizar acciones potencialmente dañinas.
Actualizaciones de emergencia y navegadores afectados
Google ha reaccionado con rapidez lanzando actualizaciones de emergencia para todas las versiones de Chrome en Windows, macOS, Linux y Android. Las versiones 138.0.7204.157 y 138.0.7204.158 ya se encuentran disponibles para los sistemas de escritorio, mientras que los usuarios de Android también han recibido el parche a través de la Play Store.
Además, la naturaleza de esta vulnerabilidad implica que otros navegadores derivados de Chromium también se ven afectados. Microsoft Edge, Opera, Brave y Vivaldi han comenzado a distribuir sus propias actualizaciones, por lo que se recomienda a los usuarios comprobar manualmente si están utilizando la última versión de su navegador.
Según la CISA, la explotación activa de la brecha ha llevado a establecer una fecha límite de remediación para el 12 de agosto, exigiendo a todas las organizaciones pertinentes la actualización inmediata de sus sistemas. Aquellos que no puedan aplicar los parches a tiempo deberían considerar incluso la suspensión temporal del uso de navegadores afectados hasta disponer de una solución segura.
Otras vulnerabilidades resueltas y su impacto
Junto a la corrección del escape del sandbox, Google ha aprovechado la actualización para abordar otras vulnerabilidades graves. Entre ellas destacan:
- CVE-2025-7656: fallo de desbordamiento de enteros en el motor JavaScript V8, reportado por el investigador Shaheen Fazim y premiado con una recompensa significativa por su hallazgo.
- CVE-2025-7657: vulnerabilidad de uso después de liberar (use-after-free) en WebRTC, también explotable mediante páginas HTML maliciosas.
La presencia de estas amenazas evidencia la constante presión a la que se ven sometidos los navegadores modernos, con un aumento del 61% en el registro de vulnerabilidades respecto al año anterior. El motor JavaScript V8, piedra angular de Chrome y otros navegadores Chromium, recibe por ello especial atención en los programas de recompensas por parte de Google, que incentiva la rápida detección y notificación de nuevos fallos.
Recomendaciones para los usuarios y administradores
Los expertos en ciberseguridad insisten en que, ante este tipo de riesgos, es crucial aplicar sin demora las actualizaciones disponibles. El proceso para comprobar si tu navegador Chrome está actualizado es sencillo: basta con ir al menú de los tres puntos en la esquina superior derecha, seleccionar Ayuda > Información de Google Chrome y esperar a que se muestre la versión actual. En caso de detectar una versión nueva, la instalación será automática tras reiniciar el navegador.
Otra recomendación es prestar especial atención también si utilizas navegadores como Edge, Opera, Brave o Vivaldi, ya que su base de código es compartida y pueden verse afectados por brechas de seguridad similares. Las actualizaciones suelen llegar con un breve desfase respecto a Chrome, por lo que es aconsejable revisar periódicamente la información oficial de cada proveedor.
Es fundamental evitar la descarga de archivos sospechosos o navegar por enlaces de dudosa procedencia. Aunque en este caso particular el ataque podía activarse sin interacción por parte del usuario, mantener buenas prácticas digitales y estar informado de las últimas amenazas ayuda a reducir las posibilidades de convertirse en víctima de un ciberataque.
La rápida reacción de Google y la colaboración con investigadores y organismos oficiales han permitido contener una debilidad potencialmente devastadora. Esta situación deja en evidencia la importancia de mantener los programas actualizados y de mantener una vigilancia constante en materia de ciberseguridad, especialmente en herramientas de uso cotidiano como los navegadores web.