📌 Resumen rápido lo que debes saber:
- Google lanzó un parche de seguridad urgente para Chrome (escritorio y Android).
- Se corrige una vulnerabilidad crítica (CVE-2025-5419) que ya está siendo explotada activamente.
- La actualización puede tardar días en llegar automáticamente. Mejor actualizar manualmente ahora.
- Afecta al motor JavaScript, y no hay detalles técnicos públicos por motivos de seguridad.
Vulnerabilidad crítica en Chrome está siendo explotada activamente
No todos los días Google reconoce que alguien está explotando una vulnerabilidad en Chrome mientras el mundo sigue navegando con versiones sin parchear. Pero eso es exactamente lo que está pasando con CVE-2025-5419, una falla de lectura y escritura fuera de límites en el motor de JavaScript de Chrome que ya está siendo aprovechada en ataques activos.
Lo más delicado es que no se trata de un problema teórico ni reservado para targets específicos: Google lo define como “explotación indiscriminada”. Y eso, en el lenguaje de los equipos de seguridad, sugiere que probablemente haya kits de explotación en circulación o campañas automatizadas apuntando a usuarios desprevenidos. La calificación es «alta», pero lo más importante es que ya hay código en el mundo que la está utilizando.
¿Cómo saber si ya estás protegido
El parche ya está disponible , aunque no todos lo tendrán de inmediato. Como es habitual, Chrome se actualiza en segundo plano, pero ese proceso puede tardar días o semanas en completarse dependiendo del sistema operativo, la configuración y hasta los hábitos del usuario. Los que no quieran esperar pueden forzar la actualización manualmente desde el menú del navegador: Menú> Ayuda> Acerca de Google Chrome, o simplemente ir a chrome://settings/help.
Y acá viene el punto crítico: esta vulnerabilidad no solo afecta a la versión de escritorio de Chrome. También está presente en Android, lo que amplía considerablemente la superficie de ataque. Google fue rápido en aplicar una mitigación el 28 de mayo, el mismo día que liberó la actualización estable para todas las plataformas. Así que, en teoría, la mayoría de los sistemas ya debería estar protegida, siempre que hayan recibido y aplicado el parche.
Pero como es costumbre en Mountain View, los detalles concretos sobre el bug brillan por su ausencia. No se conocen vectores de ataque, ni pruebas de concepto, ni quién está detrás de los ataques. El hermetismo tiene sentido: cualquier información adicional en este momento solo le daría más herramientas a actores maliciosos que aún no hayan explotado la falla.
Además del CVE-2025-5419, el paquete de seguridad incluye correcciones para otras dos vulnerabilidades. Google ha publicado información mínima sobre ellas, lo justo para identificarlas y mantener algo de transparencia sin comprometer la seguridad.
Para quienes administran flotas de dispositivos, o simplemente no quieren ser parte de las estadísticas de víctimas de exploits, esta es una de esas veces en las que conviene no confiarse y verificar activamente la versión del navegador. Una visita rápida a chrome://settings/help puede ayudarlo a saber si está actualizado.
