Visité un sitio y abandoné una sesión: un error crítico en Chrome convierte cualquier página en una espía
Un titular discreto resultó ser la clave para acceder a sus datos personales.
Google lanzó una actualización de seguridad urgente para el navegador Chrome, corrigiendo cuatro vulnerabilidades, incluida una para la que ya existe un exploit funcional. Se trata de la vulnerabilidad CVE-2025-4664, cuya esencia es una verificación insuficiente de las políticas de seguridad en el componente Loader, lo que permite a los atacantes acceder a datos confidenciales de otras fuentes mediante una página HTML especialmente diseñada.
Según el experto en seguridad Vsevolod Kokorin (@slonser_), quien fue el primero en informar del problema en la red social X* el 5 de mayo de 2025, el error está relacionado con la forma en que Chrome maneja los encabezados Link en las subsolicitudes a recursos. A diferencia de otros navegadores, Chrome interpreta el encabezado Link incluso en dichas solicitudes, lo que permite al atacante establecer la política referrer-policy con el valor unsafe-url y así “extraer” la URL completa junto con los parámetros de la solicitud.
Como explicó Kokorin, los parámetros de la solicitud pueden contener información críticamente importante, como tokens de autorización de un solo uso, claves API o identificadores temporales de sesión. Estos datos pueden luego ser transmitidos de forma encubierta a un servidor externo mediante, por ejemplo, una etiqueta de imagen que apunte a un recurso de terceros. Como resultado, es posible secuestrar cuentas o llevar a cabo otros ataques que dependan de la fuga de contexto de la solicitud.
Aunque por ahora no hay confirmación de que la vulnerabilidad haya sido explotada activamente en ataques reales, ya existe un exploit de prueba de concepto (PoC), por lo que Google ha reconocido oficialmente su explotación real. Esto convierte a esta vulnerabilidad en la segunda del año en curso después de CVE-2025-2783, que también fue observada en ataques antes de ser corregida.
Para evitar posibles riesgos, Google recomienda actualizar Chrome lo antes posible a las versiones 136.0.7103.113 o 136.0.7103.114 en Windows y macOS, y a la versión 136.0.7103.113 en Linux. También se debe tener en cuenta que la vulnerabilidad afecta a otros navegadores basados en Chromium —como Microsoft Edge, Brave, Opera y Vivaldi—. Los usuarios de estos navegadores deben instalar los parches en cuanto estén disponibles.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!