Google ha publicado una actualización de seguridad para Chrome corrige 18 vulnerabilidades, entre las que se incluyen cuatro clasificadas como «críticas». No hay indicios de que ninguno de estos fallos, recientemente corregidos, esté siendo explotado de forma activa en el mundo real.
El canal estable se ha actualizado a la versión 149.0.7827.196/197 para Windows Mac a la versión 149.0.7827.196 para Linux. La actualización se irá implementando en los próximos días y semanas. Chrome Android también Android actualizado recientemente a la versión 149.0.7827.197.
Cómo actualizar Chrome
Si no quieres esperar a que te llegue la actualización, actualizarla manualmente es muy fácil.
La opción más sencilla es dejar Chrome actualice automáticamente. Sin embargo, puedes quedarte atrasado en las actualizaciones si nunca cierras el navegador o si surge algún problema, como que una extensión impida la actualización.
Para actualizar manualmente, haz clic en el menú«Más»(los tres puntos) y, a continuación, ve a«Configuración»>«Acerca de Chrome». Si hay una actualización disponible, Chrome descargarla automáticamente. Reinicia Chrome completar la actualización y quedarás protegido contra estas vulnerabilidades.
En nuestra guía sobrecómo actualizar Chrome cada sistema operativo encontrarás una explicación del sistema de numeración de versiones, así como instrucciones paso a paso.
Ficha técnica
Analicemos las dos vulnerabilidades críticas de WebGL. WebGL, abreviatura de «Web Graphics Library», es una tecnología de navegador que permite a los sitios web mostrar gráficos interactivos en 2D y 3D.
Empezaremos por la única vulnerabilidad que no fue descubierta por Google. Se trata de una vulnerabilidad de «uso tras liberación» en WebGL, registrada con el número CVE-2026-13028, que podría permitir a un atacante escapar del entorno aislado del navegador Chromemediante una página HTML especialmente diseñada.
El «use-after-free» es un tipo de vulnerabilidad provocada por un uso incorrecto de la memoria dinámica durante el funcionamiento de un programa. Si, tras liberar una ubicación de memoria, un programa no borra el puntero que apunta a dicha memoria, un atacante puede aprovechar ese error para bloquear el programa o hacer que ejecute código que no debería ejecutar.
El entorno aislado del navegador es un entorno restringido y aislado que tiene como objetivo contener cualquier actividad maliciosa dentro del navegador, en lugar de que afecte directamente a todo el ordenador. Por lo tanto, una fuga del entorno aislado es peligrosa, ya que puede permitir a los atacantes pasar de «algo malo ha ocurrido dentro del navegador» a «algo malo puede afectar al resto del sistema».
La otra vulnerabilidad crítica de WebGL es la CVE-2026-13032. Se trata también de un fallo de tipo «use-after-free» que podría permitir a un atacante remoto escapar del entorno aislado mediante una página HTML manipulada.
Aunque no se haya confirmado que estas vulnerabilidades (CVE) se hayan explotado en el mundo real, Chrome sufrido varios ataques de tipo «día cero» este año, lo que demuestra claramente que los atacantes invierten en ataques basados en la web. Por ejemplo, la vulnerabilidad CVE-2026-2441, que recibió su propia actualización independiente, permitía a los atacantes ejecutar código dentro del entorno aislado (sandbox) Chromea través de una página web maliciosa. Si se combinaba con cualquiera de las vulnerabilidades de WebGL mencionadas anteriormente, podría haber ayudado a los atacantes a eludir las protecciones del navegador. En conjunto, esas vulnerabilidades podrían haber permitido a los atacantes tomar el control de todo el sistema.
Detén las amenazas antes de que puedan causar ningún daño.
Malwarebytes Browser Guard automáticamente las páginas de phishing y los sitios maliciosos. Es gratis y se instala con un solo clic. Añádelo a tu navegador →
