Una simple página web con código CSS modificado es suficiente para que atacantes ejecuten código arbitrario dentro de tu navegador. Google confirma que la vulnerabilidad ya está siendo explotada activamente.
La temporada de caza de exploits en navegadores ha comenzado oficialmente. Hoy 16 de febrero de 2026, que Google ha liberado una actualización de emergencia para Google Chrome con el fin de parchear CVE-2026-2441, una vulnerabilidad de alta severidad que ya está siendo utilizada por actores maliciosos en ataques reales (Zero-Day).
Este es el primer Zero-Day que Google se ve obligado a parchear en Chrome durante este año, recordando a la industria que la enorme superficie de ataque de los navegadores web modernos sigue siendo el vector de entrada favorito tanto de ciberdelincuentes como de hackers estatales.
El Vector de Ataque: CSS Malicioso
Lo alarmante de esta vulnerabilidad es su simplicidad desde la perspectiva de la víctima.
- El Fallo: Se describe como un error de “Use-After-Free” (UAF) en el componente que procesa las hojas de estilo en cascada (CSS). Este tipo de fallo de corrupción de memoria ocurre cuando el programa intenta usar un bloque de memoria RAM que ya ha sido liberado, lo que puede ser manipulado para inyectar y ejecutar código.
- El Método: Según la base de datos NVD, un atacante remoto solo necesita convencer a la víctima de que visite una página HTML especialmente diseñada. Al cargar el CSS de esa página, el navegador se compromete.
- El Impacto (CVSS 8.8): El atacante logra la Ejecución Remota de Código (RCE). Aunque Google señala que el código se ejecuta “dentro del sandbox” del navegador, históricamente estos fallos suelen encadenarse con exploits de escape de sandbox para tomar el control total del sistema operativo.
Silencio Estratégico de Google
Fiel a su política estándar para vulnerabilidades Zero-Day, Google se ha negado a proporcionar detalles sobre quién está explotando el fallo, cuáles son sus objetivos o cómo es el exploit. Esta retención de información busca dar tiempo a la inmensa base de usuarios de Chrome para actualizar antes de que otros grupos criminales realicen ingeniería inversa del parche y comiencen a usar el exploit de forma masiva.
Este incidente se produce apenas unos días después de que Apple tuviera que parchear su propio Zero-Day explotado activamente (CVE-2026-20700) en iOS y macOS.
¿Qué debes hacer ahora?
La actualización es crítica y no debe posponerse.
- Actualiza Chrome Inmediatamente:
- Para Windows y macOS, la versión segura es 145.0.7632.75 (o .76).
- Para Linux, la versión es 144.0.7559.75.
- Ve a los tres puntos (arriba a la derecha) – Ayuda – Acerca de Google Chrome. El navegador buscará la actualización. Debes hacer clic en “Reiniciar” para que el parche se aplique.
- Atención a otros Navegadores: Si utilizas navegadores basados en Chromium (como Microsoft Edge, Brave, Vivaldi u Opera), mantente atento. Recibirán parches similares en las próximas horas o días a medida que integren las correcciones de Google en su código base. Actualízalos tan pronto como sea posible.
