Se habla mucho de lo peligroso que son los emails y mensajes fraudulentos (SMS, foros, etc). Las noticias vienen a decir que, si pulsas en el enlace, inmediatamente serás absorbido por las terribles fauces de actores maliciosos que te robarán todo.
La realidad es que, por lo general, antes de ser absorbidos, los usuarios deben comportarse como víctimas y poner algo de su parte. Entrar donde no deben, descargar una aplicación pese a los avisos de que es peligrosa, creer que una tienda que no conocen de nada tiene su ropa favorita por un tercio de lo que vale, dar sus datos a alguien que los llama con acento extranjero diciendo que es su banco y preguntando datos que se supone que ya deberían tener… cosas así.
Pero a veces es cierto. A veces, los sistemas informáticos tienen errores tan graves que, con un solo clic, estás muerto.
Parece ser el caso del último error detectado en Google Chrome y que ha sido activamente explotado. Esto de «activamente explotado» es un detalle importante, porque se publican muchos errores peligrosos («zero day vulnerability») que se descubren y se arreglan antes de que se sepa que han sido aprovechados por los APT (profesionales con fauces que devoran víctimas como negocio), pero, en este caso, sí se sabe que lo han usado.
En este caso, el proceso, también requiere que la víctima pulse donde no debe, pero parece que con que lo haga una vez, es suficiente.
Según Kaspersky, los malos ha estado utilizando esta vulnerabilidad en una campaña llamada “Operación ForumTroll”.
El ataque se llevó a cabo mediante correos electrónicos de phishing con enlaces maliciosos que, al abrirse en Chrome, activaban automáticamente el exploit (el error peligroso) para salir del entorno seguro del navegador. Los principales objetivos fueron medios de comunicación, instituciones educativas y organismos gubernamentales en Rusia, con el fin de realizar espionaje.
El problema ha sido detectado y será solucionado por Chrome enviando actualizaciones de su navegador desde hoy hasta el 8 de abril, así que, sería bueno que hiciéramos caso de ese aviso que nos aparece en la parte superior derecha de Chrome donde pone que lo reinicies para actualizarse.
Es posible que alguien piense que esto se solucionaría si en vez de Chrome usáramos otro navegador y es cierto.. en parte. Es cierto porque este error es de Chrome, pero si usas otro navegador, tendrá otros errores. Lo que suele marcar la diferencia es el usuario. Si el usuario consigue no dejarse engañar por ese email que lo incita a pulsar en un enlace peligroso, nadie se podría aprovechar del error de Chrome.
El usuario (tú y yo) es el eslabón más débil de la cadena de seguridad y es el que tiene más errores en su programación. Pero, por ahora, mientras intentamos aprender cómo resolver estos errores para no ser engañados, vayamos actualizando Chrome cuando nos lo diga.
Encontrarás información más técnica sobre el problema, buscando «CVE-2025-2783» en internet. ¡Eh! Ten cuidado dónde pulsas 🙂