Si usas Google Chrome para trabajar, estudiar o simplemente navegar, esta noticia te toca directamente. Google lanzó una actualización de emergencia para corregir una nueva vulnerabilidad zero-day que ya estaba siendo explotada en ataques reales. Y sí, es la séptima de este tipo en lo que va del año.
Desde TecnetOne te contamos qué significa esto, qué tan grave es, cómo te afecta y qué debes hacer ahora mismo para mantener tu información segura.
La falla, identificada como CVE-2025-13223, fue reportada por Clément Lecigne, investigador del equipo de Google Threat Analysis Group (TAG). Si no te suena este grupo, debes saber que es uno de los equipos de élite de Google encargado de analizar ataques avanzados, especialmente los vinculados con:
Cuando Google TAG aparece en la ecuación, normalmente significa que la vulnerabilidad está siendo usada con fines muy específicos y altamente sofisticados.
En este caso, la falla es un problema de type confusion dentro de V8, el motor de JavaScript que hace funcionar Chrome. Es una vulnerabilidad crítica porque permite ejecutar código arbitrario, lo que significa que un atacante puede prácticamente controlar tu navegador y, desde ahí, comprometer tu equipo.
Y lo peor: Google confirmó que ya se estaba explotando antes de que el parche saliera.
Conoce más: Protección Anti-Rastreo en Google Chrome: ¿Qué es?
Los ataques que explotan fallas en el motor V8 son especialmente delicados por varias razones:
Un atacante podría usar la vulnerabilidad para instalar spyware, robar tus cuentas o desplegar malware.
Solo necesitas abrir una página web diseñada para aprovechar la falla.
TAG ha identificado que vulnerabilidades similares se han usado contra:
Como ocurre en la mayoría de los zero-days, los atacantes los usan de forma silenciosa, sin generar alertas visibles para el usuario.
Por eso Google suele manejar este tipo de incidentes con absoluta discreción hasta que la mayoría de usuarios haya actualizado.
Google lanzó la actualización para:
Aunque la distribución estable se despliega progresivamente, en pruebas realizadas por medios especializados, la actualización ya estaba disponible de inmediato al forzar la búsqueda manual.
Aunque Chrome suele actualizarse solo, te recomiendo que lo hagas manualmente para asegurarte.
Listo. Estás protegido frente a esta falla en particular.
Como ocurre siempre con vulnerabilidades activas, Google está limitando la información disponible.
Lo explica así:
“El acceso a los detalles del fallo permanecerá restringido hasta que la mayoría de usuarios haya actualizado.”
Esto se hace para evitar que otros actores maliciosos puedan replicar el ataque antes de que la comunidad esté actualizada.
Además, Google señala que si la vulnerabilidad afecta también a bibliotecas de terceros, la restricción se mantendrá hasta que esos proyectos publiquen sus propios parches.
Es un procedimiento habitual cuando se trata de zero-days ya explotados.
Este nuevo parche se suma a una larga lista de vulnerabilidades críticas corregidas recientemente.
Durante 2025, Google ya ha parchado otros seis zero-days activamente explotados, incluyendo:
Y si retrocedemos un año, durante 2024 Google corrigió 10 zero-days adicionales, varios demostrados en concursos como Pwn2Own.
Chrome es, por volumen de uso, uno de los navegadores más atractivos para los atacantes. Si algo puede comprometer Chrome, puede comprometer a miles de millones de usuarios en horas.
Desde TecnetOne queremos dejarte claro algo importante:
Una vulnerabilidad como CVE-2025-13223 puede ser utilizada para:
Esto afecta a usuarios individuales, empresas grandes, equipos remotos, dispositivos BYOD y organizaciones que dependen de la nube.
Títulos similares: Ataques con Software Espía explotan fallas en Apple y Chrome
Aquí tienes recomendaciones prácticas desde TecnetOne:
Actualiza Chrome en todos tus equipos
Incluyendo computadoras personales usadas para trabajo remoto.
Limpia extensiones sospechosas
Muchos ataques explotan vulnerabilidades combinadas con extensiones maliciosas.
Revisa: chrome://extensions
Activa protección adicional en endpoints
EDRs con análisis de comportamiento detectan intentos de explotación incluso en cero-days.
Mantén tus sistemas operativos al día
Un navegador parcheado en un sistema desactualizado sigue siendo vulnerable.
Si eres empresa aplica políticas de actualización automática
Chrome permite forzar actualizaciones vía políticas de grupo.
Capacita a tus equipos.
Muchos ataques combinan exploits técnicos con ingeniería social.
Google acaba de corregir una vulnerabilidad crítica (CVE-2025-13223) que ya se estaba usando en ataques reales. Es el séptimo zero-day de Chrome en 2025, lo que subraya algo muy claro: los navegadores son hoy una de las principales superficies de ataque.
La solución inmediata es simple: actualiza Chrome ahora mismo.
La solución a largo plazo requiere fortalecer tu estrategia de ciberseguridad, y en TecnetOne podemos ayudarte a evaluar riesgos, reforzar tus sistemas y capacitar a tu equipo.