El fallo CVE-2025-6554 ya está siendo aprovechado por atacantes y podría afectar también a navegadores como Edge, Opera o Brave
Google ha lanzado una actualización urgente de seguridad para su navegador Chrome tras descubrir una nueva vulnerabilidad crítica que ya está siendo explotada activamente en Internet. El fallo, registrado como CVE-2025-6554, afecta directamente al motor JavaScript V8, componente clave en la ejecución de aplicaciones web modernas, incluyendo redes sociales, herramientas colaborativas y servicios de mensajería.
Este Zero-Day permite que una página web maliciosa ejecute código arbitrario en el dispositivo del usuario sin su conocimiento, lo que podría traducirse en robos de datos, instalación de spyware o incluso control remoto del sistema. Todo con una sola visita a una página comprometida.
¿Qué significa este fallo para los usuarios?
El error proviene de una confusión de tipo (type confusion) dentro del motor V8, lo que puede generar fallos de seguridad en la gestión de la memoria del navegador. Según el informe del NIST (National Institute of Standards and Technology), las versiones vulnerables son las anteriores a la 138.0.7204.96 de Chrome.
Para los usuarios de redes sociales, plataformas de streaming o servicios como WhatsApp Web, Discord o TikTok en navegador, esto puede suponer una brecha importante si no actualizan de inmediato. Una simple campaña de publicidad maliciosa podría aprovechar la vulnerabilidad para ejecutar código con privilegios elevados.
Descubierto por el equipo de seguridad de Google
El fallo fue detectado por Clément Lecigne, integrante del Threat Analysis Group (TAG) de Google, equipo que rastrea amenazas sofisticadas como espionaje digital y ciberataques respaldados por gobiernos. Según la propia empresa, ya existe un exploit funcional que está siendo utilizado en ataques dirigidos, lo que confirma la criticidad del hallazgo.
Aunque Google no ha dado detalles sobre quién está detrás de los ataques, se presume que podría tratarse de campañas contra objetivos de alto valor, como periodistas, activistas o empleados de empresas tecnológicas.
Navegadores basados en Chromium también están en riesgo
Además de Chrome, otros navegadores muy utilizados que se basan en el motor Chromium también podrían estar afectados, como:
- Microsoft Edge
- Brave
- Opera
- Vivaldi
Los equipos de desarrollo de estas plataformas ya están trabajando en sus respectivas actualizaciones. Se recomienda a los usuarios comprobar manualmente si hay nuevas versiones disponibles.
Actualiza tu navegador ya
Estas son las versiones seguras recomendadas por Google:
- Windows: 138.0.7204.96 / .97
- macOS: 138.0.7204.92 / .93
- Linux: 138.0.7204.96
La actualización se puede realizar automáticamente desde el menú de configuración de Chrome, accediendo a Ayuda > Información de Google Chrome.
Cuarta vulnerabilidad crítica en lo que va de 2025
CVE-2025-6554 es el cuarto Zero-Day descubierto en Chrome en lo que va de año, tras los casos CVE-2025-2783, CVE-2025-4664 y CVE-2025-5419, lo que plantea interrogantes sobre la presión a la que está sometida la seguridad de los navegadores en un entorno donde las aplicaciones web y redes sociales concentran gran parte de la actividad digital global.
¿Qué hacer si usas Chrome para trabajar o conectarte a redes sociales?
- Actualiza ahora. No pospongas la actualización.
- Evita abrir enlaces sospechosos enviados por redes sociales o apps de mensajería.
- Desconfía de extensiones no verificadas, que podrían aprovechar vulnerabilidades para obtener control del navegador.
- Activa la navegación segura en la configuración de Chrome.
En un mundo donde nuestras interacciones, trabajo y relaciones pasan por el navegador, un fallo como CVE-2025-6554 recuerda por qué la ciberseguridad empieza por mantener el software al día.
Más información
- Detalles técnicos: https://nvd.nist.gov/vuln/detail/CVE-2025-6554
- Guía sobre confusión de tipo: https://cwe.mitre.org/data/definitions/843.html
Fuente: Opensecurity
