Los atacantes están comprometiendo sistemas simplemente atrayendo a las víctimas a páginas web maliciosas. Las empresas deben forzar la actualización de sus navegadores de inmediato.
Los usuarios de Internet se enfrentan a una amenaza crítica de ejecución remota de código. Hoy, 13 de marzo de 2026, se informa que Google ha lanzado una actualización de seguridad de máxima prioridad para su navegador Chrome tras confirmar que dos vulnerabilidades de zero-day de alta severidad ya están siendo explotadas de forma activa en la naturaleza (in the wild).
El equipo de seguridad interno de la propia compañía descubrió y reportó estas brechas críticas el pasado 10 de marzo. Para frenar las intrusiones, Google ha desplegado una solución en su canal estable, elevando el navegador a las versiones 146.0.7680.75/76 para Windows y macOS, y a la versión 146.0.7680.75 para sistemas Linux.
Los Motores de Renderizado y JavaScript Bajo Fuego
Los piratas informáticos están atacando directamente los componentes centrales que procesan y dibujan la web que consumimos a diario:
- El colapso visual (CVE-2026-3909): El primer fallo es una escritura fuera de los límites (out-of-bounds write) localizada en Skia, el motor de gráficos 2D de código abierto que impulsa toda la tubería de renderizado de Chrome. Este tipo de error destructivo permite a los atacantes sobrescribir regiones de memoria adyacentes, lo que les facilita la tarea de escapar de las protecciones aisladas (sandbox) del navegador y lograr la ejecución de código malicioso directamente en la máquina de la víctima.
- La trampa en la lógica (CVE-2026-3910): La segunda vulnerabilidad se describe como una “implementación inadecuada” dentro del motor V8, el componente de alto rendimiento encargado de compilar JavaScript y WebAssembly. Dado que JavaScript se ejecuta constantemente durante la navegación habitual, un ciberdelincuente solo necesita crear una página web armada para que, al ser visitada, detone el fallo y ejecute código en el contexto del proceso principal del navegador.
El Silencio Preventivo y la Acción Inmediata
Google ha confirmado categóricamente que los exploits (herramientas de ataque) funcionales para el CVE-2026-3909 y el CVE-2026-3910 ya existen en manos de actores de amenazas reales.
Como medida de contención de daños, la empresa mantendrá bloqueado el acceso público a los detalles técnicos profundos y a los registros de errores hasta que una mayoría abrumadora de usuarios a nivel mundial haya aplicado el parche, evitando así proveer un manual de instrucciones a otros grupos criminales.
Ante este escenario activo, se recomienda a todos los usuarios no esperar al despliegue automático y forzar la actualización manualmente navegando al menú de Chrome, seleccionando “Ayuda” y luego “Acerca de Google Chrome” para que el sistema descargue la versión segura. Adicionalmente, las organizaciones de TI que gestionan flotas de Chrome mediante políticas empresariales deben priorizar la instalación masiva de estas versiones parcheadas en todo su ecosistema sin demoras.
