Cybersecurity News Vulnerabilities

Zero Day en Chrome: Google lanza parche de emergencia para falla crítica

March 26, 2025

En marzo de 2025, Google lanzó una actualización crítica para su navegador Chrome para solucionar una vulnerabilidad de tipo Zero Day que estaba siendo activamente explotada. Esta falla de seguridad, detectada en la versión de escritorio del navegador, permite a los atacantes ejecutar código malicioso en sistemas afectados. Además, ha sido explotada en ataques dirigidos a organizaciones en Rusia. Si no se implementa la actualización, los usuarios se exponen a riesgos significativos.

Vulnerabilidad Zero Day en Chrome

La vulnerabilidad en Chrome ha sido identificada con el CVE-2025-2551. Este identificador corresponde a una vulnerabilidad crítica descubierta en el motor de procesamiento de imágenes de Chrome, que permite la ejecución remota de código sin intervención del usuario. En cuanto a la severidad, la vulnerabilidad fue calificada con un CVSS de 8.8, lo que la clasifica como alta.

¿Cómo funciona la vulnerabilidad?

La falla ocurre cuando Chrome no maneja correctamente ciertos objetos dentro del motor de procesamiento de imágenes. Al aprovechar esta falla, un atacante puede ejecutar código malicioso en el sistema afectado, obteniendo acceso no autorizado a los datos del usuario o incluso tomando control completo del sistema comprometido. Este tipo de vulnerabilidad es particularmente peligrosa debido a que no requiere ninguna acción adicional por parte del usuario, como hacer clic en un enlace o descargar un archivo; simplemente visitar un sitio web malicioso es suficiente.

Explotación activa

El ataque se enmarca dentro de una campaña de espionaje patrocinada por el Estado, aprovechando el CVE-2025-2783. El exploit se activa a través de correos electrónicos de spear-phishing que se hacen pasar por invitaciones legítimas. Una vez que la víctima accede al enlace malicioso, el exploit se ejecuta automáticamente, eludiendo las protecciones de la zona de pruebas de Chrome, lo que complica la detección del ataque. Esta vulnerabilidad representa un riesgo significativo, ya que compromete el sistema sin intervención adicional del usuario.
Los correos de phishing, con enlaces personalizados, se dirigieron a medios, instituciones educativas y organizaciones gubernamentales en Rusia, haciéndose pasar por invitaciones al foro legítimo de “Primakov Readings”. Esta actividad se rastrea bajo el nombre de Operation ForumTroll.

¿Ya fue corregida?

Sí, Google lanzó un parche de emergencia para corregir esta vulnerabilidad en Chrome. Los usuarios deben actualizar su navegador inmediatamente para mitigar el riesgo de ser víctimas de explotación. La vulnerabilidad afecta a las versiones de Google Chrome anteriores a la 134.0.6998.177/.178, que corresponde al canal estable para Windows.

Recomendaciones 
  1. Actualizar Google Chrome de inmediato: La solución más efectiva y sencilla es actualizar Google Chrome. Los usuarios deben verificar que su navegador esté actualizado para evitar riesgos.
  1. Habilitar las actualizaciones automáticas: Para asegurar que las actualizaciones se apliquen de manera continua, se recomienda que los usuarios mantengan habilitada la opción de actualizaciones automáticas en Google Chrome. Esto garantiza que, en caso de futuras vulnerabilidades críticas, los usuarios estén protegidos de manera inmediata.
  2. Evitar hacer clic en enlaces sospechosos: Aunque la vulnerabilidad no requiere ninguna acción explícita del usuario, los atacantes suelen usar técnicas de ingeniería social (como los correos electrónicos de phishing) para engañar a las víctimas. Los usuarios deben ser cautelosos con los correos electrónicos no solicitados, especialmente aquellos que contienen enlaces o archivos adjuntos sospechosos.
  3. Reforzar las medidas de seguridad del correo electrónico: Las organizaciones deben reforzar sus medidas de seguridad en torno al correo electrónico, como habilitar filtros avanzados de phishing, sistemas de verificación de enlaces y autenticación de correos electrónicos, para reducir la probabilidad de que los correos maliciosos lleguen a los usuarios.
  4. Implementar un sistema de monitoreo continuo: Las organizaciones, en particular aquellas que manejan datos sensibles, deben implementar herramientas de monitoreo para detectar actividades inusuales en sus sistemas. Esto puede incluir el uso de sistemas de detección de intrusiones (IDS) o soluciones de análisis de comportamiento para identificar ataques relacionados con vulnerabilidades explotadas.

 

Related Posts
Clear Filters
Publicidad maliciosa en la mira: Google bloqueó 5.100 millones de anuncios dañinos
Publicidad maliciosa en la mira: Google bloqueó 5.100 millones de anuncios dañinos
Publicidad maliciosa en la mira: Google bloqueó 5.100 millones de anuncios dañinos
Cybersecurity News
Publicidad maliciosa en la mira: Google bloqueó 5.100 millones de anuncios dañinos

Google refuerza su lucha contra la publicidad maliciosa En su más reciente informe de transparencia, Google reportó la eliminación de…

Read More
Nueva Táctica de Phishing Abusa de IA para Suplantar Inicios de Sesión en SharePoint
Nueva Táctica de Phishing Abusa de IA para Suplantar Inicios de Sesión en SharePoint
Nueva Táctica de Phishing Abusa de IA para Suplantar Inicios de Sesión en SharePoint
Cybersecurity News
Nueva Táctica de Phishing Abusa de IA para Suplantar Inicios de Sesión en SharePoint

Una campaña de phishing sofisticada está aprovechando inteligencia artificial para suplantar páginas de inicio de sesión de Microsoft SharePoint. Utilizando…

Read More
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Required