Google acaba de lanzar una nueva actualización de seguridad para Chrome, abordando seis vulnerabilidades en total. Lo más preocupante es que una de ellas, catalogada como CVE-2025-6558, ya estaba siendo explotada activamente por atacantes.
Esta falla fue descubierta por el equipo del Threat Analysis Group (TAG) de Google el pasado 23 de junio, y recibió una calificación de severidad alta: 8.8 sobre 10 según el sistema CVSS. ¿La razón? Permitía a los atacantes escapar del sandbox del navegador, una de las principales capas de defensa de Chrome.
El problema se origina por una validación deficiente de entradas no confiables en componentes como ANGLE y la GPU, afectando a las versiones anteriores a la 138.0.7204.157. Un atacante podría aprovechar esta debilidad creando una página HTML especialmente diseñada para ejecutar código fuera del entorno seguro del navegador.
En pocas palabras: si usas Chrome y no lo has actualizado, es momento de hacerlo. Esta vulnerabilidad puede permitir a un atacante tener acceso a tu sistema a través de una simple visita a una web maliciosa.
ANGLE (Almost Native Graphics Layer Engine) es una tecnología de código abierto que usa Chrome para manejar gráficos. Básicamente, actúa como una capa de traducción que convierte las instrucciones de OpenGL ES en otras APIs como Direct3D, Metal, Vulkan o OpenGL, dependiendo del sistema operativo.
El problema es que ANGLE se encarga de procesar comandos gráficos que provienen de sitios web (como los que usan WebGL), lo que significa que recibe información directamente de fuentes externas y no confiables. Y cuando una parte crítica como esta tiene errores, las consecuencias pueden ser serias.
La falla identificada como CVE-2025-6558 permite a un atacante remoto crear una página HTML especialmente diseñada para ejecutar código malicioso directamente dentro del proceso de la GPU del navegador. Eso por sí solo ya es un riesgo, pero lo que realmente alarma es que podría utilizarse para escapar del sandbox de Chrome.
En términos simples, eso significa que el atacante podría romper la burbuja de seguridad del navegador y potencialmente acceder a partes más profundas del sistema operativo. Algo que ningún usuario quiere que suceda.
Como suele ocurrir con vulnerabilidades graves que ya están siendo explotadas, Google ha optado por no divulgar los detalles técnicos completos hasta que una gran parte de los usuarios haya actualizado sus navegadores.
“El acceso a los detalles de errores y enlaces puede mantenerse restringido hasta que la mayoría de los usuarios estén actualizados con una corrección”, explicó la compañía en su boletín de seguridad.
También advirtieron que si el problema afecta a bibliotecas de terceros (que podrían ser utilizadas por otros navegadores o proyectos), seguirán limitando el acceso a la información técnica hasta que esos también estén corregidos.
El sandbox es uno de los mecanismos más importantes que Chrome utiliza para proteger a los usuarios. Funciona como una especie de caja de seguridad: cada sitio web que visitas se ejecuta en un entorno separado del sistema operativo. Esto evita que, si una página está comprometida, pueda afectar tu computadora o robar información directamente. Cuando una vulnerabilidad como CVE-2025-6558 permite romper esa caja de aislamiento, la seguridad del sistema completo corre peligro.
La buena noticia es que Google ya lanzó un parche para solucionar este problema, disponible en las versiones 138.0.7204.157 y .158 de Chrome (según el sistema operativo que uses).
Abre una nueva pestaña y escribe: chrome://settings/help
Chrome buscará automáticamente si hay actualizaciones disponibles.
Si aparece una nueva versión, deja que se descargue.
Reinicia el navegador para completar la instalación.
Este proceso solo toma unos minutos y es crucial para mantener tu sistema protegido frente a esta y otras posibles amenazas.
Conoce más sobre: Gestión de Parches: ¿Por qué es esencial en la seguridad informática?
La última actualización de seguridad de Google Chrome no solo soluciona la crítica vulnerabilidad CVE-2025-6558, que ya está siendo explotada activamente, sino que también incluye parches para cinco fallos adicionales.
Entre ellos se encuentra CVE-2025-7656, una vulnerabilidad de alta gravedad en el motor V8 (el motor JavaScript de Chrome), y CVE-2025-7657, un problema del tipo use-after-free en WebRTC. Afortunadamente, ninguno de estos cinco casos ha sido detectado en ataques reales hasta el momento, pero corregirlos a tiempo ayuda a prevenir futuras explotaciones.
Con esta nueva actualización, CVE-2025-6558 se convierte en la quinta vulnerabilidad activamente explotada que Google ha tenido que corregir en lo que va del año. El ritmo de descubrimiento y explotación muestra que los atacantes están más activos que nunca, y que Chrome (aunque seguro) no es inmune a las amenazas emergentes.
Marzo: Google corrigió CVE-2025-2783, una grave falla de sandbox escape descubierta por investigadores de Kaspersky. Esta vulnerabilidad fue usada en ataques de espionaje dirigidos a agencias gubernamentales y medios de comunicación en Rusia. En este caso, los atacantes lograron entregar malware sofisticado tras romper las defensas del navegador.
Mayo: llegó el turno de CVE-2025-4664, otra vulnerabilidad de día cero que permitía el secuestro de cuentas de usuario. El impacto potencial era significativo, especialmente si los atacantes lograban combinarla con técnicas de ingeniería social o phishing.
Junio: se abordó CVE-2025-5419, una falla grave relacionada con lectura y escritura fuera de límites en el motor V8. Fue reportada por Benoît Sevens y Clément Lecigne, del equipo de análisis de amenazas de Google (TAG).
Julio (principios del mes): se solucionó CVE-2025-6554, otra vulnerabilidad crítica en el motor V8, descubierta por investigadores del grupo GTAG, parte del ecosistema de seguridad de Google.
Aunque pueda parecer alarmante ver tantas vulnerabilidades en un solo año, lo importante aquí es el enfoque proactivo de Google. El equipo de Chrome está constantemente corrigiendo fallas antes de que puedan causar daño a gran escala.
El hecho de que solo cinco de estas vulnerabilidades hayan sido explotadas activamente también demuestra la efectividad de los programas de detección, divulgación responsable y parches rápidos. Aun así, el mensaje es claro: mantener tu navegador actualizado es clave para tu seguridad digital.