Ya hay una solución, pero ¿cuándo ha detenido a los hackers?
Google lanzó actualizaciones de seguridad para el navegador Chrome para corregir una vulnerabilidad peligrosa para la cual ya existe un exploit funcional. El problema se rastrea bajo el número CVE-2025-6554 y se clasifica como un error de tipo «Type Confusion» en el motor V8, responsable de ejecutar JavaScript y WebAssembly.
Según la Base de Datos Nacional de Vulnerabilidades de EE.UU. (NVD), esta brecha permitía a atacantes remotos obtener acceso arbitrario de lectura y escritura de datos mediante una página HTML especialmente diseñada. Los errores de tipo «Type Confusion» se consideran particularmente graves, ya que permiten provocar comportamientos impredecibles en el software, lo que puede llevar a la ejecución de código arbitrario o al fallo de las aplicaciones.
La situación representa un peligro especial debido a que se trata de una vulnerabilidad de día cero: los hackers comenzaron a explotarla activamente antes de que se lanzara la corrección. En tales casos, los atacantes pueden instalar software espía, descargar archivos maliciosos de forma encubierta o ejecutar código malicioso en el dispositivo del usuario; a veces, basta con abrir un sitio web infectado.
La vulnerabilidad fue descubierta y reportada el 25 de junio de 2025 por un miembro del equipo Threat Analysis Group (TAG) de Google. Este equipo se encarga de investigar amenazas cibernéticas graves, incluidas campañas de phishing, exploits sin interacción del usuario e intentos de eludir el aislamiento del navegador. El hecho de que TAG haya detectado el problema indica indirectamente que la vulnerabilidad podría haberse utilizado en ataques dirigidos, posiblemente relacionados con operaciones de inteligencia o de espionaje comercial.
Google señaló que el 26 de junio ya había implementado un cambio correctivo de configuración, que se distribuyó rápidamente a través del canal de actualizaciones estable en todas las plataformas. Esto significa que, por el momento, la amenaza no afecta a la mayoría de los usuarios de manera masiva, pero su eliminación sigue siendo extremadamente urgente, especialmente para quienes trabajan con información confidencial o sistemas críticos.
Google no reveló detalles adicionales sobre el exploit en sí ni sobre quién podría haberlo utilizado, pero confirmó que existe un esquema malicioso funcional que está en circulación.
CVE-2025-6554 ya se ha convertido en la cuarta vulnerabilidad de día cero en el navegador Chrome en lo que va de 2025. Anteriormente, los especialistas eliminaron otras amenazas similares con los números CVE-2025-2783, CVE-2025-4664 y CVE-2025-5419.
Para protegerse contra posibles ataques, se recomienda actualizar el navegador a las siguientes versiones: 138.0.7204.96 o 138.0.7204.97 para Windows, 138.0.7204.92 o 138.0.7204.93 para macOS y 138.0.7204.96 para Linux. Puede verificar la versión instalada en la sección de configuración del navegador, en «Ayuda» — «Acerca de Google Chrome», donde la actualización se iniciará automáticamente si es necesario.
Los usuarios de otros navegadores basados en Chromium, como Microsoft Edge, Brave, Yandex, Opera y Vivaldi, también deben estar atentos a las actualizaciones correspondientes y aplicarlas rápidamente.