- Google lanza una actualización de emergencia de Chrome para corregir vulnerabilidades críticas activamente explotadas.
- Dos fallos graves (CVE-2026-3909 y CVE-2026-3910) afectan a componentes clave del navegador como Skia y el motor V8.
- Una vulnerabilidad adicional en la integración de Gemini (CVE-2026-0628) permitió a extensiones maliciosas acceder a permisos avanzados.
- Actualizar Chrome a su última versión estable es esencial para usuarios de Windows, macOS y Linux en España y Europa.
La última versión de Google Chrome ha llegado en forma de actualización de emergencia, marcada por la corrección de varios fallos de seguridad de alto riesgo que afectan a miles de millones de personas en todo el mundo. Más allá de las habituales mejoras de rendimiento y estabilidad, esta versión pone el foco en cerrar brechas críticas tanto en el propio navegador como en las nuevas funciones de inteligencia artificial integradas, un aspecto especialmente sensible para usuarios de España y el resto de Europa donde el cumplimiento normativo y la protección de datos son claves.
Esta publicación de seguridad se ha adelantado al calendario habitual: el parche ha visto la luz apenas 48 horas después de una actualización regular anterior, lo que refleja la gravedad de los problemas detectados. Google ha optado por moverse rápido, mientras que las autoridades de ciberseguridad insisten en que los usuarios deben reaccionar con la misma rapidez y tener el navegador actualizado a su versión más reciente para evitar sustos.
Actualización de emergencia: fallos críticos ya están siendo explotados
Esta última versión estable de Chrome incluye correcciones urgentes para dos vulnerabilidades catalogadas como de alta gravedad y que, según reconoce la propia compañía, ya estaban siendo aprovechadas por atacantes en la red. A diferencia de otras ocasiones, estos fallos no fueron reportados desde fuera, sino que han sido descubiertos por el equipo interno de seguridad de Google, que mantiene un seguimiento constante sobre el comportamiento del navegador.
Ambas vulnerabilidades se han registrado con los identificadores CVE-2026-3909 y CVE-2026-3910, y afectan a componentes esenciales del navegador. Aunque Google ha confirmado que se trata de fallos explotados de forma activa, por ahora mantiene en reserva gran parte de los detalles técnicos y cualquier información sobre los grupos responsables, con el objetivo de no dar más pistas a otros ciberdelincuentes mientras la base de usuarios se actualiza.
Esta política de silencio temporal es habitual en el sector: hasta que una proporción considerable de equipos se haya pasado a la última versión disponible de Chrome, publicar demasiada información podría convertirse en una especie de manual de instrucciones para nuevos ataques. En ese contexto, la responsabilidad recae en los usuarios y administradores de sistemas, que deben actuar con rapidez.
Las autoridades de ciberseguridad europeas y distintos organismos nacionales recomiendan aplicar parches tan pronto como salen, algo especialmente relevante para empresas que gestionan datos personales o información sensible bajo el paraguas del RGPD y otras normativas comunitarias.
Qué corrige la última versión: CVE-2026-3909 y CVE-2026-3910
El primero de los fallos, identificado como CVE-2026-3909, se trata de una vulnerabilidad de escritura fuera de límites en Skia, la biblioteca de gráficos 2D que Chrome utiliza para dibujar elementos de las páginas web y partes de la interfaz del propio navegador. Un error de este tipo puede permitir a un atacante preparar una página web maliciosa que, al ser cargada, provoque comportamientos inesperados en la memoria del sistema.
En el peor de los casos, una explotación exitosa podría derivar en bloqueos continuos del navegador o incluso en la ejecución de código remoto en el equipo de la víctima, algo especialmente delicado en entornos corporativos donde Chrome es el navegador por defecto. Esta clase de vulnerabilidades de corrupción de memoria son una de las vías favoritas para intentar saltarse las defensas estándar.
El segundo problema, etiquetado como CVE-2026-3910, se localiza en V8, el motor de JavaScript y WebAssembly que da vida a la mayoría de las aplicaciones web modernas ejecutadas en Chrome. Históricamente, los fallos en V8 han sido uno de los objetivos prioritarios para los atacantes, dado que permiten ejecutar código arbitrario dentro del entorno aislado del navegador a través de páginas HTML especialmente diseñadas.
Si bien este entorno está protegido mediante sandbox, combinar una vulnerabilidad en V8 con otros fallos del sistema puede facilitar el encadenamiento de ataques más complejos, algo que preocupa tanto a empresas tecnológicas como a los gobiernos. De ahí que esta última versión de Google Chrome haya sido considerada crítica y se recomiende su instalación inmediata.
En el momento de publicar el parche, Google ha reconocido que estas vulnerabilidades ya se estaban utilizando en ataques reales, una circunstancia que las sitúa como días cero en activo. Precisamente por eso, los detalles técnicos se guardarán bajo llave hasta que el porcentaje de usuarios actualizados sea suficientemente alto.
Alerta oficial de CISA y presión para actualizar cuanto antes
El impacto de estas vulnerabilidades no se ha quedado en el ámbito puramente técnico. La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) ha decidido incluir los fallos CVE-2026-3909 y CVE-2026-3910 en su lista de Vulnerabilidades Clave Explotadas (VCE), un catálogo que sirve como referencia global para priorizar parches.
En virtud de la Directiva Operativa Vinculante 22-01 (DO 22-01), las agencias civiles federales estadounidenses tienen la obligación de corregir estas vulnerabilidades en un plazo máximo de 21 días, algo que también está siendo observado con atención por administraciones públicas y grandes organizaciones en Europa, donde Chrome es igualmente predominante.
Aunque esta directiva se aplica de forma directa en Estados Unidos, CISA recomienda a todas las empresas y organismos, independientemente del país, que consideren estas correcciones como una prioridad dentro de sus programas de gestión del riesgo. En el caso de España, esto se alinea con las guías habituales del INCIBE y del Centro Criptológico Nacional, que suelen insistir en mantener los navegadores y sistemas en sus versiones más recientes.
Todo ello se produce en un contexto en el que Chrome sigue siendo percibido como un navegador relativamente seguro, en parte gracias a la fuerte inversión en investigación y en su Programa de Recompensas por Vulnerabilidades (VRP). Solo en 2025, Google destinó alrededor de 17 millones de dólares a compensar a investigadores que ayudaron a descubrir fallos, sumando ya más de 81,6 millones de dólares distribuidos desde que se lanzó este programa.
Gemini dentro de Chrome: IA integrada y nueva superficie de ataque
En paralelo a estas vulnerabilidades de bajo nivel, la última versión de Google Chrome también está marcada por la integración progresiva de Gemini, la inteligencia artificial de la compañía, directamente en el navegador. Chrome lleva tiempo acercándose al modelo de «navegador inteligente», incorporando funciones capaces de redactar textos, resumir páginas o responder a preguntas desde una barra lateral.
La llegada de esta IA a Chrome se está desplegando por fases y, aunque su disponibilidad aún no es plena en España, el asistente ya se está utilizando en varios países y se prevé que siga ampliando su alcance en Europa en los próximos meses. Esta evolución responde a una tendencia más amplia: casi todas las grandes tecnológicas están integrando modelos generativos en sus plataformas, buscando aportar más funciones sin que el usuario tenga que salir del navegador.
En el caso de Chrome, Gemini se invoca desde un panel lateral derecho diseñado para centralizar las interacciones con la IA. Desde ahí es posible pedir resúmenes de páginas, aclarar conceptos o solicitar ayuda con contenidos complejos. Sin embargo, esta misma integración ha abierto una nueva superficie de ataque que pone a prueba los modelos de seguridad tradicionales de los navegadores.
Al dotar a la IA de acceso a pestañas, contenidos y, potencialmente, a otros servicios vinculados a la cuenta de Google, el panel de Gemini opera con permisos más amplios que una pestaña corriente. Esto hace que cualquier fallo en la gestión de esa interfaz pueda tener consecuencias mucho más serias que un simple bug visual.
Vulnerabilidad CVE-2026-0628: cuando una extensión toma el control del panel de Gemini
En ese contexto ha aparecido una vulnerabilidad especialmente llamativa, catalogada como CVE-2026-0628, que afectaba precisamente al modo en que Chrome gestionaba los permisos en el panel lateral de Gemini. El fallo fue identificado por investigadores de la Unidad 42 de Palo Alto Networks, que han alertado de su elevada severidad dentro del ecosistema del navegador.
Según el informe, el problema residía en la forma en que se controlaban las interacciones entre ese panel privilegiado y las extensiones del navegador. En concreto, se descubrió que una extensión maliciosa, aparentemente inocua y con permisos básicos, podía aprovechar una inconsistencia en el diseño del sistema para inyectar código directamente en esa ventana lateral.
La extensión fraudulenta utilizaba la API declarativeNetRequest, un recurso estándar de Chrome muy empleado por bloqueadores de anuncios y otras herramientas de filtrado de tráfico. Aprovechando este mecanismo, los atacantes lograban sortear en parte el aislamiento (sandbox) de seguridad y colocar su propio código en el entorno de la IA, multiplicando las posibilidades de daño.
Esta vulnerabilidad fue calificada con una alta puntuación de riesgo (CVSS 8,8), lo que refleja no solo la facilidad potencial de explotación, sino también la amplitud de los permisos a los que se podía llegar. En el fondo, el problema ilustra hasta qué punto las nuevas funciones de IA pueden convertirse en un objetivo especialmente jugoso para los ciberdelincuentes.
Qué podía hacer un atacante aprovechando este fallo en la IA de Chrome
Una vez comprometido el panel de Gemini, las posibilidades de un atacante iban mucho más allá de inyectar anuncios o redirigir tráfico. De acuerdo con el análisis de la Unidad 42 de Palo Alto Networks, el código malicioso podía utilizar los mismos accesos que el propio navegador reserva para sus funciones avanzadas, con consecuencias potencialmente graves para la privacidad.
Entre las acciones más preocupantes que se habrían podido llevar a cabo destacan el acceso a la cámara y al micrófono del dispositivo sin consentimiento explícito del usuario. Desde un punto de vista práctico, esto implicaría la capacidad de activar estos recursos en segundo plano y recopilar audio o vídeo de forma encubierta.
Además, el control del panel permitía realizar capturas de pantalla de cualquier página o documento abierto en el navegador. En el caso de entornos laborales, esto podría incluir información interna sensible, herramientas corporativas o servicios en la nube que se utilicen en el día a día.
Otro de los vectores de riesgo pasaba por la lectura de archivos y carpetas locales del sistema, en función de los permisos y la configuración del equipo. Aunque no todos los sistemas exponen los mismos recursos, la posibilidad de inspeccionar el almacenamiento local incrementa de forma notable el impacto potencial de una intrusión.
Por último, y no menos relevante, el atacante podía aprovechar su posición para propagar malware o ejecutar scripts dentro de la interfaz de la IA, facilitando el robo de credenciales, el secuestro de sesiones o la instalación de otros componentes maliciosos que permanezcan ocultos en el sistema.
El reto de los navegadores con IA: más funciones, más responsabilidad
El caso de CVE-2026-0628 se ha convertido en un ejemplo claro del reto que plantean los llamados «navegadores agénticos», aquellos que integran una inteligencia artificial capaz de actuar en nombre del usuario. En cuanto la IA puede leer correos, resumir documentos o interactuar con diferentes servicios, necesita permisos más profundos y persistentes.
Este enfoque contrasta con el modelo tradicional de seguridad de la web, basado en el aislamiento estricto de pestañas y sitios entre sí. Cuando aparece un componente con más privilegios, como el panel de una IA, cualquier bug en su arquitectura puede transformarse en un atajo directo hacia los datos más delicados del dispositivo o de la cuenta del usuario.
En países como España, donde se ha notado un aumento constante en la cantidad de incidentes de ciberseguridad, este tipo de vulnerabilidades generan especial inquietud. Distintos informes apuntan a que el número de intentos de intrusión y ataques dirigidos contra empresas y administraciones crece año tras año, y los navegadores son una de las puertas de entrada preferidas.
El incidente con Gemini también pone sobre la mesa la necesidad de revisar con lupa la gestión de extensiones. Instalar complementos desde fuentes poco fiables o sin revisar sus permisos se ha convertido en una práctica peligrosa, sobre todo ahora que ciertas APIs, como declarativeNetRequest, permiten un grado considerable de influencia sobre el tráfico y los contenidos del navegador.
Para los usuarios particulares y profesionales, la moraleja es clara: además de actualizar a la última versión de Google Chrome, conviene mantener una política estricta de higiene digital, limitar las extensiones instaladas a las realmente imprescindibles y revisar periódicamente qué complementos tienen acceso a qué datos.
Cómo actualizar Chrome a la última versión en Windows, macOS y Linux
Ante este panorama, la recomendación de los expertos es unánime: no esperar a que Chrome se actualice solo, sino forzar la búsqueda de la última versión cuanto antes. El proceso es sencillo y apenas lleva unos minutos, tanto en entornos domésticos como en equipos de trabajo.
En primer lugar, hay que abrir el navegador y pulsar sobre el icono de los tres puntos verticales situado en la esquina superior derecha. Este menú da acceso a todas las opciones de configuración y ayuda, incluidos los controles de actualización integrados.
Desde ahí, es necesario entrar en el apartado Ayuda > Acerca de Google Chrome. Al acceder a esta sección, el navegador inicia de forma automática una comprobación de versiones y, si detecta que existe una versión más reciente de la rama estable, empieza a descargarla en segundo plano sin que el usuario tenga que hacer nada más. Si encuentra problemas, conviene forzar la búsqueda de la última versión o consultar guías específicas para resolver errores de actualización.
En esta oleada de parches, la versión considerada segura se ha identificado como 146.0.7680.75/76 en Windows y macOS, y 146.0.7680.75 en Linux. Verificar que el número de compilación coincide o es superior es una forma rápida de asegurarse de que el equipo ya no es vulnerable a los fallos mencionados.
El paso que muchos olvidan, pero que resulta decisivo, es pulsar sobre el botón Reiniciar cuando la descarga ha finalizado. Hasta que el navegador no se cierre y se vuelva a abrir, el nuevo código no se aplica realmente, por lo que el sistema seguiría funcionando con la versión antigua y expuesta.
Recomendaciones prácticas para usuarios en España y Europa
Para quienes utilizan Chrome en su día a día, ya sea en el ámbito personal o en el trabajo, la prioridad inmediata es mantener siempre el navegador en su última versión. Esto no solo corrige vulnerabilidades críticas, sino que también incorpora ajustes de estabilidad que reducen la probabilidad de errores inesperados.
En el contexto europeo, donde la protección de datos personales está regulada por normas exigentes, tener un navegador desactualizado puede suponer un riesgo adicional para el cumplimiento, sobre todo en organizaciones que tratan grandes volúmenes de información sensible. Un incidente de seguridad causado por un parche pendiente puede acabar teniendo implicaciones legales, además de reputacionales.
Más allá de la actualización, es recomendable revisar con detalle las extensiones instaladas, desactivar o eliminar aquellas que ya no se utilicen y evitar la instalación de complementos procedentes de repositorios poco conocidos. Dado que el ataque vinculado a CVE-2026-0628 se apoyaba precisamente en una extensión aparentemente inofensiva, conviene ser especialmente prudente.
Por último, merece la pena seguir de cerca la evolución de las funciones de inteligencia artificial en Chrome, como Gemini, y comprobar periódicamente qué opciones de privacidad y permisos ofrece Google para ajustar el comportamiento del asistente a las necesidades de cada usuario o empresa. Aunque estas herramientas prometen simplificar muchas tareas, también obligan a elevar el listón de la seguridad y la vigilancia.
Con todo lo anterior, la última versión de Google Chrome se presenta como una actualización clave en un momento en el que el navegador combina fallos críticos ya explotados, la integración acelerada de la IA y una presión creciente por parte de atacantes y reguladores; mantener Chrome actualizado, revisar las extensiones y prestar atención a los avisos oficiales se ha convertido, más que nunca, en una rutina imprescindible para navegar con un margen razonable de tranquilidad.
