- Explotación activa de un fallo crítico de memoria tipo Use-After-Free en el componente Dawn de WebGPU.
- Riesgo de ejecución remota de código arbitrario mediante la visita a páginas HTML manipuladas.
- Afecta a todos los navegadores basados en el motor Chromium, incluyendo Edge, Brave y Opera.
- CISA ha incluido la falla en su catálogo de vulnerabilidades explotadas para urgeir el parcheo.
Parece que los navegadores se han convertido en el campo de batalla favorito de los hackers últimamente. Recientemente ha saltado la alarma por un fallo de seguridad crítico en Google Chrome que ya está siendo aprovechado por malintencionados en ataques reales, lo que significa que no es una teoría, sino un peligro actual.
Este problema, catalogado como CVE-2026-5281, es especialmente peligroso porque permite a un atacante tomar el control del sistema. Basta con que la víctima acabe en una página HTML mal diseñada para que el código malicioso se ejecute en el equipo afectado sin que el usuario sepa qué está pasando.
¿Qué está pasando exactamente con WebGPU y Dawn?
Para entender este lío, hay que hablar de WebGPU, que es básicamente el sucesor de WebGL. Esta tecnología permite que las webs accedan directamente al hardware gráfico del dispositivo, lo que es genial para el renderizado 3D o la inteligencia artificial, pero abre una puerta trasera si no se gestiona bien. El culpable técnico es Dawn, la biblioteca de código abierto en C++ que implementa WebGPU dentro de Chromium.
El error es lo que los expertos llaman Use-After-Free (UAF). En lenguaje sencillo, ocurre cuando el programa intenta usar un trozo de memoria que ya ha sido liberado o reutilizado. Esto provoca una corrupción de memoria que los atacantes aprovechan para saltarse las restricciones y ejecutar sus propias instrucciones en el sistema.
El camino del ataque es bastante directo: primero el hacker debe comprometer el proceso renderer del navegador y luego atraer al usuario a un sitio malicioso. Una vez ahí, se activa el fallo de memoria y se consigue la ejecución arbitraria de código, lo que puede dejar el navegador totalmente expuesto.
Impacto real y riesgos operativos
Si te preguntas qué puede pasar si no actualizas, la lista es bastante larga y fea. Un atacante podría lograr la ejecución remota de código, lo que implica el compromiso total del navegador y el robo de información confidencial. Además, esto facilita la instalación silenciosa de malware y el movimiento lateral dentro de redes corporativas, convirtiendo un simple navegador en la puerta de entrada para un ataque mayor.
Este riesgo es especialmente serio en empresas, donde un solo equipo infectado puede servir de puente para lanzar campañas de ransomware. De hecho, la agencia CISA de Estados Unidos ya ha incluido este CVE en su catálogo de vulnerabilidades explotadas activamente, obligando a las agencias federales a parchear el sistema en tiempo récord.
No es solo Chrome: la familia Chromium en peligro
Un punto clave es que este fallo no afecta solo a Google Chrome, sino a cualquier navegador que utilice el motor Chromium. Por lo tanto, usuarios de Microsoft Edge, Opera, Brave y Vivaldi también están en el punto de mira, ya que todos comparten la base de código de Dawn.
Lo más preocupante es la tendencia actual. Este es el cuarto zero-day detectado en Chrome en apenas cuatro meses. Ya hemos visto problemas en el motor de CSS (CVE-2026-2441), errores de escritura en la librería gráfica Skia (CVE-2026-3909) y fallos en el motor V8 de JavaScript (CVE-2026-3910). El hecho de que dos de estos cuatro ataques vayan dirigidos a los subsistemas gráficos sugiere que los hackers están haciendo un estudio muy intensivo de esa zona del código.
Cómo protegerse y mitigar el riesgo
La solución más efectiva y rápida es, sin duda, actualizar el navegador inmediatamente. Para Chrome, debes asegurarte de estar en la versión 146.0.7680.177 o superior. No basta con que el navegador descargue la actualización en segundo plano; es fundamental reiniciar el navegador para que el parche se aplique de verdad.
Para quienes gestionan redes empresariales, se recomienda monitorizar cualquier actividad rara en los procesos chrome.exe o msedge.exe y, si el negocio lo permite, deshabilitar temporalmente WebGPU hasta que todo el parque de equipos esté actualizado. También es vital restringir la navegación desde endpoints críticos y ser extremadamente cautelosos con los enlaces que llegan por correo o mensajes sospechosos.
Para los más curiosos, el mapeo de MITRE ATT&CK asocia este ataque a técnicas como el Drive-by Compromise (T1189) y la inyección de procesos (T1055), lo que confirma que la estrategia es engañar al usuario para que visite una web y que el sistema se infecte solo.
El panorama general de la seguridad web
Este incidente pone de manifijo la fragilidad de depender de motores compartidos. A medida que los navegadores se vuelven más complejos y se usan para tareas pesadas de IA o gaming, la superficie de ataque crece. Google está intentando solucionar esto reescribiendo partes críticas en lenguajes seguros como Rust, pero la pila gráfica aún no ha sido convertida totalmente.
Además, este caos se suma a otras noticias del sector, como los reportes de 271 vulnerabilidades en Firefox 150 detectadas por IA, aunque en ese caso muchas eran correcciones rutinarias y no fallos explotables. Sin embargo, el caso de Chrome es distinto porque la explotación ya es real y los atacantes tienen ventaja.
Mantener el software al día es la única defensa real contra los ataques de tipo drive-by. El hecho de que un simple clic en un enlace de phishing pueda comprometer todo un sistema operativo antes de que el antivirus reaccione es un recordatorio de que la gestión de vulnerabilidades debe ser la prioridad número uno en cualquier estrategia de ciberseguridad actual.
