Si usas Google Chrome para trabajar, estudiar o simplemente navegar, esta noticia te toca directamente. Google lanzó una actualización de emergencia para corregir una nueva vulnerabilidad zero-day que ya estaba siendo explotada en ataques reales. Y sí, es la séptima de este tipo en lo que va del año.
Desde TecnetOne te contamos qué significa esto, qué tan grave es, cómo te afecta y qué debes hacer ahora mismo para mantener tu información segura.
¿Qué vulnerabilidad se corrigió esta vez?
La falla, identificada como CVE-2025-13223, fue reportada por Clément Lecigne, investigador del equipo de Google Threat Analysis Group (TAG). Si no te suena este grupo, debes saber que es uno de los equipos de élite de Google encargado de analizar ataques avanzados, especialmente los vinculados con:
- Campañas de espionaje
- Grupos patrocinados por gobiernos
- Software espía comercial
- Ataques dirigidos a periodistas, activistas, políticos y figuras de riesgo
Cuando Google TAG aparece en la ecuación, normalmente significa que la vulnerabilidad está siendo usada con fines muy específicos y altamente sofisticados.
En este caso, la falla es un problema de type confusion dentro de V8, el motor de JavaScript que hace funcionar Chrome. Es una vulnerabilidad crítica porque permite ejecutar código arbitrario, lo que significa que un atacante puede prácticamente controlar tu navegador y, desde ahí, comprometer tu equipo.
Y lo peor: Google confirmó que ya se estaba explotando antes de que el parche saliera.
Conoce más: Protección Anti-Rastreo en Google Chrome: ¿Qué es?
¿Por qué este zero-day es tan peligroso?
Los ataques que explotan fallas en el motor V8 son especialmente delicados por varias razones:
Permiten ejecutar código en tu máquina
Un atacante podría usar la vulnerabilidad para instalar spyware, robar tus cuentas o desplegar malware.
No requieren que instales nada
Solo necesitas abrir una página web diseñada para aprovechar la falla.
Se usan en ataques dirigidos
TAG ha identificado que vulnerabilidades similares se han usado contra:
- Periodistas
- Defensores de derechos humanos
- Políticos de oposición
- Empresarios
- Miembros de ONG
- Usuarios de alto riesgo
Son difíciles de detectar
Como ocurre en la mayoría de los zero-days, los atacantes los usan de forma silenciosa, sin generar alertas visibles para el usuario.
Por eso Google suele manejar este tipo de incidentes con absoluta discreción hasta que la mayoría de usuarios haya actualizado.
¿Qué versiones de Chrome corrigen la vulnerabilidad?
Google lanzó la actualización para:
- Windows: 142.0.7444.175 / .176
- Mac: 142.0.7444.176
- Linux: 142.0.7444.175
Aunque la distribución estable se despliega progresivamente, en pruebas realizadas por medios especializados, la actualización ya estaba disponible de inmediato al forzar la búsqueda manual.
Cómo actualizar Chrome ahora mismo
Aunque Chrome suele actualizarse solo, te recomiendo que lo hagas manualmente para asegurarte.
- Abre Chrome
- Ve a Menú (⋮)
- Selecciona Ayuda
- Haz clic en Acerca de Google Chrome
- Espera a que descargue los parches
- Pulsa Reiniciar
Listo. Estás protegido frente a esta falla en particular.
¿Por qué Google no da más detalles todavía?
Como ocurre siempre con vulnerabilidades activas, Google está limitando la información disponible.
Lo explica así:
“El acceso a los detalles del fallo permanecerá restringido hasta que la mayoría de usuarios haya actualizado.”
Esto se hace para evitar que otros actores maliciosos puedan replicar el ataque antes de que la comunidad esté actualizada.
Además, Google señala que si la vulnerabilidad afecta también a bibliotecas de terceros, la restricción se mantendrá hasta que esos proyectos publiquen sus propios parches.
Es un procedimiento habitual cuando se trata de zero-days ya explotados.
Chrome sigue siendo blanco frecuente de ataques zero-day
Este nuevo parche se suma a una larga lista de vulnerabilidades críticas corregidas recientemente.
Durante 2025, Google ya ha parchado otros seis zero-days activamente explotados, incluyendo:
- CVE-2025-10585 (julio)
- CVE-2025-6558 (septiembre)
- CVE-2025-4664 (mayo), que incluso permitía secuestrar cuentas
- CVE-2025-5419 (junio), otro fallo crítico en V8
- CVE-2025-2783 (marzo), reportada por Kaspersky
Y si retrocedemos un año, durante 2024 Google corrigió 10 zero-days adicionales, varios demostrados en concursos como Pwn2Own.
Chrome es, por volumen de uso, uno de los navegadores más atractivos para los atacantes. Si algo puede comprometer Chrome, puede comprometer a miles de millones de usuarios en horas.
¿Qué significa esto para ti y para tu empresa?
Desde TecnetOne queremos dejarte claro algo importante:
Actualizar Chrome ya no es opcional: es parte esencial de tu higiene digital.
Una vulnerabilidad como CVE-2025-13223 puede ser utilizada para:
- Inyectar spyware en tu equipo
- Robar tus contraseñas y credenciales corporativas
- Tomar control del navegador
- Robar sesiones activas (Google, Microsoft, redes sociales)
- Acceder a sistemas empresariales
- Comprometer endpoints poco protegidos
Esto afecta a usuarios individuales, empresas grandes, equipos remotos, dispositivos BYOD y organizaciones que dependen de la nube.
Títulos similares: Ataques con Software Espía explotan fallas en Apple y Chrome
¿Cómo protegerte más allá del parche?
Aquí tienes recomendaciones prácticas desde TecnetOne:
Actualiza Chrome en todos tus equipos
Incluyendo computadoras personales usadas para trabajo remoto.
Limpia extensiones sospechosas
Muchos ataques explotan vulnerabilidades combinadas con extensiones maliciosas.
Revisa: chrome://extensions
Activa protección adicional en endpoints
EDRs con análisis de comportamiento detectan intentos de explotación incluso en cero-days.
Mantén tus sistemas operativos al día
Un navegador parcheado en un sistema desactualizado sigue siendo vulnerable.
Si eres empresa aplica políticas de actualización automática
Chrome permite forzar actualizaciones vía políticas de grupo.
Capacita a tus equipos.
Muchos ataques combinan exploits técnicos con ingeniería social.
En resumen
Google acaba de corregir una vulnerabilidad crítica (CVE-2025-13223) que ya se estaba usando en ataques reales. Es el séptimo zero-day de Chrome en 2025, lo que subraya algo muy claro: los navegadores son hoy una de las principales superficies de ataque.
La solución inmediata es simple: actualiza Chrome ahora mismo.
La solución a largo plazo requiere fortalecer tu estrategia de ciberseguridad, y en TecnetOne podemos ayudarte a evaluar riesgos, reforzar tus sistemas y capacitar a tu equipo.
