Google publica una actualización de emergencia para Chrome
Google ha lanzado una actualización de seguridad urgente para su navegador Chrome después de confirmar que dos vulnerabilidades críticas están siendo explotadas activamente en ataques reales. Ambas fallos permiten a un atacante ejecutar código malicioso en el ordenador de la víctima con solo visitar una página web especialmente diseñada. No hace falta descargar nada ni hacer clic en ningún archivo: basta con que el navegador cargue la página trampa.
La actualización es necesaria para Windows, macOS y Linux. La versión corregida es la 146.0.7680.75 / 76. Si aún no la tienes instalada, hazlo ahora mismo antes de seguir leyendo.
Las dos vulnerabilidades: qué son y por qué son peligrosas
Ambas vulnerabilidades fueron descubiertas de forma interna por el propio equipo de seguridad de Google el 10 de marzo de 2026 y son el tercer zero-day activo corregido por la compañía en lo que va de 2026. Las dos tienen una puntuación de gravedad de 8,8 sobre 10 en la escala CVSS.
- CVE-2026-3909 — Escritura fuera de límites en Skia: Skia es la librería gráfica que Chrome usa para renderizar páginas web, interfaces y contenido visual. Esta vulnerabilidad permite a un atacante remoto acceder y escribir en zonas de memoria no autorizadas del sistema mediante una página HTML manipulada, lo que puede derivar en ejecución de código arbitrario en el contexto del navegador.
- CVE-2026-3910 — Implementación incorrecta en el motor V8: V8 es el motor que ejecuta el código JavaScript en Chrome y en cualquier navegador basado en Chromium. Esta vulnerabilidad permite ejecutar código arbitrario dentro del sandbox del navegador a través de una página HTML diseñada específicamente para aprovechar el fallo.
Google ha confirmado oficialmente que «existen exploits para ambas vulnerabilidades en uso activo», aunque no ha revelado detalles sobre los atacantes ni sobre los objetivos específicos de los ataques, para dar tiempo a los usuarios a aplicar el parche.
La CISA ordena parchear antes del 27 de marzo
El 13 de marzo de 2026, la Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) añadió ambas vulnerabilidades a su catálogo oficial de vulnerabilidades conocidas explotadas. Esto implica que todos los organismos federales estadounidenses tienen obligación de aplicar la actualización antes del 27 de marzo de 2026. Aunque esta obligación afecta solo a las agencias federales de EE. UU., el aviso es igualmente válido para cualquier usuario en todo el mundo: si hay exploits activos, el riesgo es real.
¿Usas Edge, Brave, Opera o Vivaldi? También debes actualizar
Todos los navegadores basados en Chromium comparten el mismo motor subyacente que Chrome, lo que significa que la vulnerabilidad afecta potencialmente a:
- Microsoft Edge
- Brave
- Opera
- Vivaldi
Los fabricantes de estos navegadores deberán publicar sus propias actualizaciones basadas en el parche de Chromium. Comprueba si ya hay una versión disponible en cada uno de ellos y actualiza cuanto antes.
Cómo saber si tu Chrome está actualizado y cómo actualizarlo
Comprueba tu versión de Chrome y actualiza en tres pasos:
- Abre Chrome y haz clic en el menú de los tres puntos (⋮) en la esquina superior derecha.
- Ve a Ayuda > Información de Google Chrome.
- Chrome buscará actualizaciones automáticamente. Si hay una disponible, instálala y reinicia el navegador para que el parche se active.
La versión segura es la 146.0.7680.75 o superior en Windows y Linux, y la 146.0.7680.76 en macOS. Si tu versión es inferior a estas, estás expuesto.
No pospongas esta actualización. A diferencia de otros parches, aquí no se trata de una vulnerabilidad teórica: los exploits existen y se están usando activamente en ataques reales en este momento.