El pasado 16 de julio de 2025, Google publicó una actualización urgente para su navegador Chrome, corrigiendo una vulnerabilidad crítica que ya está siendo utilizada por atacantes en el mundo real. Se trata de la vulnerabilidad CVE-2025-6558, la quinta de tipo zero-day que se corrige este año.
A continuación, te explico qué está ocurriendo, cómo puede afectarte y qué puedes hacer para protegerte.
¿Qué es una vulnerabilidad zero-day?
Una zero-day es una vulnerabilidad de seguridad que ya está siendo aprovechada por atacantes antes de que exista un parche para solucionarla. En este caso, el fallo afecta a Chrome, el navegador más usado del mundo, y permite que una web maliciosa tome el control de parte del sistema del usuario.
¿Qué hace exactamente la vulnerabilidad CVE-2025-6558?
Esta vulnerabilidad se encuentra en el sistema gráfico de Chrome, concretamente en un componente llamado ANGLE, que se encarga de mostrar gráficos en 3D o animaciones.
El problema es que Chrome no valida correctamente ciertos datos gráficos que recibe desde páginas web. Un atacante puede crear una página maliciosa con una imagen o animación diseñada para aprovechar este fallo. Si una víctima visita esa página, el navegador puede ejecutar código malicioso sin que el usuario lo sepa.
Lo más grave es que este ataque puede «escapar del sandbox» de Chrome. El sandbox es una medida de seguridad que aísla cada pestaña del navegador para evitar que un fallo en una página afecte a todo el sistema. Si el atacante escapa del sandbox, puede acceder a otras partes del ordenador, leer archivos, robar contraseñas o incluso instalar software espía.
Un ejemplo para entenderlo fácilmente
Imagina que tu navegador Chrome es como una oficina con muchas salas cerradas con llave (una por cada pestaña que abres). Si alguien rompe algo en una sala, el daño se queda allí, porque las puertas están cerradas. Eso es el sandbox.
Ahora imagina que alguien te envía una caja con un «regalo» (una imagen o animación en una página web). Por fuera parece normal, pero por dentro lleva una bomba oculta. Cuando la abres (es decir, cuando visitas la página), esa bomba aprovecha un fallo en la forma en que Chrome maneja las imágenes… y revienta la puerta de la sala. El atacante ya puede moverse por toda la oficina sin restricciones.
¿Qué es una «imagen con trampas ocultas»?
No es una imagen que se vea mal o extraña. Puede ser un gráfico bonito o una animación que parece divertida. Pero por dentro, está diseñada para confundir al navegador y ejecutar instrucciones maliciosas. Es como un archivo con doble intención: inocente por fuera, peligroso por dentro.
¿Cómo me protejo?
Muy fácil: actualiza tu navegador Chrome lo antes posible.
Estas son las versiones que solucionan el problema:
- Chrome para Windows y macOS: versión 138.0.7204.157 o superior
- Chrome para Linux: versión 138.0.7204.157 o superior
Si tienes activadas las actualizaciones automáticas, solo necesitas reiniciar el navegador para aplicar el parche.
¿Y si uso Edge, Brave, Opera o Vivaldi?
Todos esos navegadores están basados en Chromium, el mismo motor que Chrome. Microsoft ya ha informado que está preparando un parche para Edge, y es probable que el resto de navegadores reciban actualizaciones similares en los próximos días.
Recomendación final
Actualiza tu navegador ahora. No lo dejes para mañana. Este tipo de vulnerabilidades son muy peligrosas porque se están explotando activamente en este momento, y los atacantes no necesitan que hagas nada complicado: basta con que entres en una web manipulada.
La ciberseguridad empieza con pequeñas acciones como esta: mantén tus herramientas al día y ayuda a proteger tu información, la de tu empresa y la de tus clientes.