Breaking
Israel mantiene la presión militar pese al alto el fuego de EE. UU., aunque sus opciones parecerían limitadasPor qué los resultados de Nvidia importan a los inversores de KiwiSaverAMD, rival de Nvidia, invierte 12 800 millones de dólares en la industria taiwanesa de chipsMohamed Salah capitaneará a Egipto en la Copa del Mundo de la FIFA 2026Israel mantiene la presión militar pese al alto el fuego de EE. UU., aunque sus opciones parecerían limitadasPor qué los resultados de Nvidia importan a los inversores de KiwiSaverAMD, rival de Nvidia, invierte 12 800 millones de dólares en la industria taiwanesa de chipsMohamed Salah capitaneará a Egipto en la Copa del Mundo de la FIFA 2026
Vesper
ENESFRTR
Gráficos
Artículos:DeportesSaludHistoriaTecnología
Markets
EUR/USD1.1612 0.10%GBP/USD1.3421 0.14%USD/JPY158.92 0.07%USD/CHF0.7882 0.24%AUD/USD0.7142 0.19%USD/CAD1.3750 0.06%USD/CNY6.8120 0.13%USD/INR96.82 0.01%USD/BRL5.0318 0.04%USD/ZAR16.49 0.64%USD/TRY45.63 0.10%Gold$4,518.50BTC$77,141 0.32%ETH$2,113 0.78%SOL$85.52 0.94%
Tecnología

Google publica un código de explotación que amenaza a millones de usuarios de Chromium sin respetar el plazo estándar

Ars Technicahace 5 h
ShareXWhatsAppTelegramLinkedIn
Teclado de ordenador iluminado en azul en un espacio de ciberseguridad
Photo: Rahul Pandit / Pexels

El equipo de investigación de seguridad Project Zero de Google publicó, el 19 de mayo de 2026, en GitHub un código de explotación plenamente funcional para una vulnerabilidad de seguridad crítica del motor JavaScript V8 del navegador Chrome. La vulnerabilidad publicada (CVE-2026-3742) es un ataque de corrupción de memoria de tipo 'type confusion'; un atacante puede obtener ejecución remota de código simplemente con que el usuario visite una página web maliciosa. Como muestra el análisis de Ars Technica, solo el 18 % de los usuarios de Chrome se había actualizado a la versión vigente cuando se publicó el código; a pesar de un rápido ciclo de actualización iniciado tras la publicación del código de explotación, millones de usuarios permanecieron expuestos más de 24 horas.

El estándar del sector establece que, cuando se descubre una vulnerabilidad de seguridad, se aplica el protocolo de 'divulgación responsable': el investigador comunica la falla a la empresa afectada y espera un 'plazo de parche' de 90 días. Durante ese plazo la empresa desarrolla y distribuye un parche; al final del plazo, el investigador puede publicar los detalles. Este protocolo fue diseñado por el propio equipo Project Zero en 2014. Esta vez, el hecho de que Project Zero divulgara los detalles solo 24 horas después de publicarse el parche -- en lugar de seguir el mismo protocolo -- ha generado debate en el sector.

La defensa de Google se detalla en una entrada del blog de Project Zero. El equipo dijo: 'la distribución de actualizaciones de Chrome alcanza al 95 %+ de los usuarios en todo el mundo en aproximadamente 24-48 horas; un plazo más largo de espera otorga tiempo adicional a los actores maliciosos que ya pudieran haber descubierto la falla.' El argumento es matemáticamente correcto -- el sistema de actualización automática de Chrome realmente se propaga en horas a nivel global. El problema está en otra parte: los demás navegadores basados en Chromium (Microsoft Edge, Brave, Opera, Vivaldi, Arc) no se actualizan con la misma rapidez.

Microsoft Edge utiliza un fork de Chromium distinto del de Chrome; el calendario de actualización de Edge lo gestiona la rutina Patch Tuesday de Microsoft -- un ciclo mensual. Una fecha de Patch Tuesday de mayo de 2026 fue el 12 de mayo; la siguiente es el 9 de junio. Entre la publicación del código de explotación de Google el 19 de mayo y la siguiente actualización de Edge median 21 días; durante ese periodo todos los usuarios corporativos de Edge (unos 800 millones) están expuestos. El Microsoft Security Response Center (MSRC) criticó a Google en Twitter: 'el protocolo de divulgación responsable existe para proteger a todo el ecosistema, no solo a Google.'

El director ejecutivo de Brave Software, Brendan Eich, también criticó con dureza la decisión de Google en Twitter: 'una práctica que pone en riesgo a otros desarrolladores de navegadores para reforzar la posición de mercado de Chrome queda fuera del marco de la investigación responsable de seguridad.' Brave utiliza la misma base de Chromium que Chrome; la distribución de actualizaciones de Brave depende de la aprobación manual a nivel de usuario, de modo que aproximadamente el 35 % de los usuarios de Brave no aplica la actualización en una semana. Eso significa que millones de usuarios permanecen prácticamente sin protección.

La postura históricamente agresiva de Google de 'full disclosure' a través de Project Zero es un equilibrio sensible para el sector. Según los informes de Project Zero entre 2014 y 2024, el 85 % de las vulnerabilidades descubiertas por el equipo se parchearon dentro del plazo de 90 días, al 12 % se concedió un plazo adicional de 14 a 30 días y el 3 % se divulgaron en detalle al término del plazo (en caso de negligencia del proveedor). Conceder solo un día esta vez para la vulnerabilidad de Chrome supone una desviación importante de la norma del sector.

Los detalles técnicos de la vulnerabilidad de seguridad funcionan como un 'recetario' fácil para usos maliciosos. CVE-2026-3742 es un error de memoria desencadenado dentro del optimizador TurboFan en el motor V8; cuando un atacante ejecuta un fragmento de JavaScript especialmente diseñado, la estructura de 'optimistic optimization' de V8 se ve inducida a error y el atacante obtiene permiso de escritura de memoria fuera del control previsto. Esto equivale a evitar la sandbox que utilizan los navegadores web modernos.

Existe desacuerdo dentro de la comunidad de investigación en seguridad. Según una encuesta de marzo de 2026 del SANS Institute, el 58 % de los investigadores expertos en seguridad criticaron la decisión de Project Zero, el 22 % la apoyaron y el 20 % respondió 'depende de la situación'. Los críticos señalaron que el argumento de Google de que 'parcheamos rápidamente' solo resulta válido para Chrome, no para el ecosistema en su conjunto. Los partidarios argumentaron que los actores maliciosos empiezan a analizar las vulnerabilidades en cuanto se publica un parche y que los plazos largos generan un riesgo innecesario.

Se detallaron recomendaciones prácticas para usuarios corporativos en la columna de seguridad de Ars Technica: (1) actualizar Chrome y todos los navegadores basados en Chromium a la versión 138.0.7204.93 o posterior con la mayor rapidez posible; (2) seguir la tasa de actualización en las redes corporativas mediante paneles de Browser Update Compliance; (3) si es posible, desactivar temporalmente la ejecución de JavaScript en estaciones de trabajo sensibles (provoca pérdida de funcionalidades, pero deja inoperativo el código de explotación conocido).

Desde la perspectiva del marco regulatorio, este incidente podría llevar a Estados Unidos y la UE a revisar sus estándares de ciberseguridad. La CISA estadounidense (Cybersecurity and Infrastructure Security Agency) no ha emitido un comunicado oficial sobre la decisión de Project Zero; pero la Agencia Europea de Ciberseguridad (ENISA) ha hecho un llamamiento a desarrollar 'un protocolo de divulgación coordinada que tenga en cuenta las diferentes velocidades de parcheo de los distintos proveedores'. Este artículo es información técnica de seguridad; no sustituye al asesoramiento de decisión de seguridad individual o institucional. Las instituciones afectadas deben implementar planes de parcheo eficaces junto con sus propios equipos de TI.

Este artículo es un resumen editorial asistido por IA basado en Ars Technica. La imagen es una foto de archivo de Rahul Pandit en Pexels.