Alerta de Seguridad: Google Lanza Parche Crítico para un ‘Zero-Day’ en Chrome Explotado Activamente (CVE-2025-13223)

Google ha desplegado una actualización de seguridad de emergencia para su navegador Chrome en las plataformas de escritorio Windows, macOS y Linux. Este parche no es una actualización rutinaria; su objetivo es neutralizar dos vulnerabilidades de alta gravedad, una de las cuales está siendo explotada activamente por ciberatacantes en ataques reales.

La compañía de Mountain View confirmó la situación el lunes, instando a los usuarios a aplicar la actualización a la mayor brevedad. El fallo principal, identificado como un ‘zero-day’, subraya la constante batalla entre los desarrolladores de navegadores y los actores de amenazas que buscan explotar el software más utilizado para acceder a Internet. La actualización corrige fallos en el motor V8, el corazón de Chrome, que procesa el código JavaScript y WebAssembly.

¿En qué Consiste el Fallo ‘Zero-Day’?

El protagonista indiscutible de esta actualización es la vulnerabilidad rastreada como CVE-2025-13223. Este fallo ha recibido una puntuación de severidad CVSS de 8.8, catalogándola como de ‘Alta’ gravedad.

El problema reside en un error de «confusión de tipos» (Type Confusion) dentro del motor V8 de JavaScript. Este tipo de vulnerabilidad es particularmente peligrosa y codiciada por los atacantes. Ocurre cuando el software intenta acceder a un recurso (como un objeto en la memoria) utilizando un tipo de datos incorrecto. Un atacante puede diseñar una página web maliciosa que, al ser procesada por el navegador de una víctima, explota esta confusión para corromper la memoria del sistema (un ‘heap corruption’).

El objetivo final de esta manipulación de la memoria es lograr la ejecución arbitraria de código (RCE). En términos prácticos, esto significa que un atacante podría ejecutar comandos en el ordenador de la víctima con los mismos privilegios que el navegador, lo que podría llevar al robo de información sensible, la instalación de malware (como ransomware o spyware) o la toma de control total del sistema afectado.

La vulnerabilidad fue descubierta y reportada por Clément Lecigne, un investigador de élite perteneciente al Grupo de Análisis de Amenazas (TAG) de Google, el pasado 12 de noviembre de 2025. El equipo TAG de Google se dedica a rastrear a los grupos de ciberdelincuentes y espionaje más avanzados.

Impacto Real: Explotación Activa y Tendencia Preocupante

Lo que eleva esta vulnerabilidad de ‘grave’ a ‘crítica’ es su estado de explotación activa. Google ha confirmado escuetamente, como es su política habitual para no dar pistas a más atacantes, que «es consciente de que existe un exploit para CVE-2025-13223 en estado salvaje (in the wild)».

Esto la convierte en una vulnerabilidad de ‘día cero’ (zero-day) en toda regla: un fallo que estaba siendo utilizado en ataques antes de que Google pudiera desarrollar y distribuir un parche. Cuando esto ocurre, se abre una ventana de oportunidad crítica para los atacantes, ya que todos los usuarios del navegador están indefensos hasta que aplican la actualización.

Este incidente no es un hecho aislado. Con este parche, Google ya ha abordado la séptima vulnerabilidad de día cero en Chrome en lo que va de 2025. Más preocupante aún, CVE-2025-13223 es el tercer fallo de confusión de tipos en el motor V8 que se descubre siendo explotado activamente este año, lo que sugiere que los atacantes están especializándose y encontrando éxito recurrente en esta superficie de ataque específica.

La Segunda Vulnerabilidad… ¿Descubierta por una IA?

La actualización no solo corrige el ‘zero-day’. Un segundo fallo, CVE-2025-13224, también ha sido solucionado. Curiosamente, comparte muchas características con el primero: es un fallo de confusión de tipos en V8 y también ostenta una alta puntuación de gravedad CVSS de 8.8.

Lo que distingue a esta segunda vulnerabilidad es su descubridor. Según los créditos de Google, el fallo fue reportado por su propio agente de inteligencia artificial (IA) denominado «Big Sleep». Esto demuestra cómo las herramientas de ‘fuzzing’ y análisis de código basadas en IA se están volviendo esenciales para descubrir fallos de seguridad complejos antes de que puedan ser encontrados por actores maliciosos.

Versiones Afectadas y Solución Inmediata

Google ya está distribuyendo la versión parcheada del navegador a nivel mundial. Las versiones que corrigen estas vulnerabilidades son:

• Windows: 142.0.7444.175 o 142.0.7444.176
• macOS: 142.0.7444.176
• Linux: 142.0.7444.175

Aunque Chrome está diseñado para actualizarse automáticamente, la naturaleza crítica de CVE-2025-13223 exige una acción manual para verificar y forzar la actualización. Se recomienda a los usuarios que naveguen al menú de Configuración > Ayuda > Información de Google Chrome.

Al acceder a esta página, el navegador buscará automáticamente la última versión. Si la encuentra, la descargará y pedirá al usuario que reinicie el navegador. Es crucial entender que el parche no será efectivo hasta que Chrome se haya cerrado y vuelto a abrir por completo.

Recomendaciones del Experto y Ecosistema Chromium

Como experto en ciberseguridad, las recomendaciones ante un ‘zero-day’ activamente explotado son claras e inequívocas:

1. Actualizar Inmediatamente: No espere a la actualización automática. Dedique un minuto ahora mismo a forzar la comprobación y actualización de su navegador en todos sus dispositivos de escritorio.
2. Reiniciar el Navegador: La descarga de la actualización no es suficiente. El paso más importante es el reinicio para que los cambios surtan efecto.
3. Alertar al Ecosistema Chromium: Es vital recordar que Chrome no es el único navegador afectado. Todos los navegadores basados en el proyecto Chromium heredan las vulnerabilidades de su motor V8. Los usuarios de Microsoft Edge, Brave, Opera y Vivaldi deben estar sumamente atentos a las actualizaciones de seguridad de sus respectivos proveedores, que deberían llegar en los próximos días.
4. Desconfiar del Phishing: Los atacantes saben que esta noticia es pública. Es probable que surjan campañas de phishing (correos electrónicos, pop-ups) que simulen ser «actualizaciones urgentes de Chrome». Nunca descargue Chrome desde un enlace en un correo. La única forma segura de actualizar es a través del menú interno del propio navegador.

Más información:

• Google Issues Security Fix for Actively Exploited Chrome V8 Zero-Day Vulnerability  – https://thehackernews.com/2025/11/google-issues-security-fix-for-actively.html
• NVD CVE-2025-13223 – https://nvd.nist.gov/vuln/detail/CVE-2025-13223
• NVD CVE-2025-13224 – https://nvd.nist.gov/vuln/detail/CVE-2025-13224
• Incibe CVE-2025-13223 – https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/CVE-2025-13223
• Incibe CVE-2025-13224 – https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/CVE-2025-13224

La entrada Alerta de Seguridad: Google Lanza Parche Crítico para un ‘Zero-Day’ en Chrome Explotado Activamente (CVE-2025-13223) se publicó primero en Una Al Día.

Artículo de Salvador Henares Jimenez publicado en https://unaaldia.hispasec.com/2025/11/alerta-de-seguridad-google-lanza-parche-critico-para-un-zero-day-en-chrome-explotado-activamente-cve-2025-13223.html?utm_source=rss&utm_medium=rss&utm_campaign=alerta-de-seguridad-google-lanza-parche-critico-para-un-zero-day-en-chrome-explotado-activamente-cve-2025-13223