Vulnerabilidad Chrome Zero-Day: 2 Exploits Activos Mar 2026

Vulnerabilidad Chrome zero-day vuelve a ser noticia: Google ha parcheado dos fallos críticos explotados en la naturaleza (CVE-2026-3909 y CVE-2026-3910), que permiten ejecución remota de código con solo visitar una página maliciosa. La actualización de emergencia llegó el 10 de marzo de 2026; la versión segura es Chrome 146.0.7680.75 o superior. Te resumimos qué son estos exploits, a quién afectan y cómo actualizar ya. Si quieres estar al día de parches y amenazas, revisa nuestra categoría Vulnerabilidades y artículos como el Microsoft Patch Tuesday Febrero 2026: 6 Zero-Days Explotados.

Resumen: qué pasó

Google publicó una actualización de seguridad urgente para Chrome (canal estable) que corrige dos vulnerabilidades zero-day con explotación activa conocida. Ambas tienen CVSS 8,8 y no requieren más que el usuario visite un sitio malicioso o comprometido para que un atacante pueda ejecutar código en el navegador. La entrada oficial en Chrome Releases corresponde al Stable Channel Update for Desktop del 10 de marzo de 2026. Otras fuentes como Malwarebytes han detallado la urgencia del parche. Con esta, Chrome suma ya varios zero-days parcheados en 2026; la vulnerabilidad Chrome zero-day sigue siendo un vector de ataque prioritario para grupos avanzados.

Detalles técnicos de la vulnerabilidad Chrome zero-day

Los dos CVEs incluidos en el parche son:

• CVE-2026-3909 — Escritura fuera de límites (out-of-bounds write) en Skia, la biblioteca de gráficos 2D de Chrome. Un atacante puede servir una página HTML manipulada que provoque corrupción de memoria y, en última instancia, ejecución de código en el contexto del navegador. Skia se usa también en ChromeOS, Android y otros productos basados en Chromium.
• CVE-2026-3910 — Implementación incorrecta en el motor V8 (JavaScript/WebAssembly). Permite a un atacante remoto ejecutar código arbitrario dentro del sandbox de V8 mediante una página HTML especialmente diseñada. V8 procesa todo el JavaScript de las páginas, por lo que el riesgo es alto con solo abrir un enlace.

En ambos casos, la complejidad de ataque es baja: no hace falta que la víctima haga clic en un archivo adjunto ni conceda permisos; basta con cargar el sitio malicioso. Navegadores basados en Chromium (Edge, Brave, Opera, etc.) dependen de los mismos componentes, por lo que deben aplicar parches equivalentes. Mantener Chrome actualizado es la medida principal para mitigar esta vulnerabilidad Chrome zero-day.

Versiones afectadas y parche seguro

La versión que incluye el parche es Chrome 146.0.7680.75 o superior (en algunos canales se menciona 146.0.7680.76 para Windows y Mac). En Linux, la versión segura es 146.0.7680.75. Para Chrome en Android, Google ha publicado 146.0.76380.115. Comprueba tu versión en chrome://settings/help o en Ajustes → Acerca de Chrome. Si no estás en esa compilación o superior, cierra todas las ventanas de Chrome y vuelve a abrirlo para forzar la actualización, o acepta la actualización cuando el navegador la ofrezca.

Impacto y recomendaciones para la vulnerabilidad Chrome zero-day

Al estar explotadas en la naturaleza, estos fallos son objetivo real de actores maliciosos (phishing, sitios comprometidos, publicidad maliciosa). Se recomienda actualizar de inmediato en todos los dispositivos (escritorio, Android). En entornos empresariales, desplegar la versión 146.0.7680.75 o posterior en los gestores de flota (Google Chrome for Business, etc.). No hay mitigaciones prácticas más allá del parche; la vulnerabilidad Chrome zero-day CVE-2026-3909 y CVE-2026-3910 solo se resuelve con la actualización. Para otras amenazas recientes en navegadores y software, puedes revisar nuestra cobertura de vulnerabilidades críticas explotadas y el caso N8n Ni8mare.

Cómo actualizar Chrome ahora

Chrome suele actualizarse en segundo plano; aun así, el parche no se aplica hasta reiniciar el navegador. Pasos recomendados:

• Abre Chrome y ve a chrome://settings/help o Menú → Configuración → Acerca de Chrome.
• El navegador comprobará actualizaciones. Si hay una disponible (146.0.7680.75 o superior), se descargará.
• Cierra todas las ventanas de Chrome y vuelve a abrirlo para completar la instalación.
• En Android: Play Store → Chrome → Actualizar (o activar actualizaciones automáticas).

En organizaciones que gestionan Chrome con políticas, conviene aprobar y desplegar esta versión lo antes posible para cerrar la ventana de exposición a la vulnerabilidad Chrome zero-day.

Mitigaciones y buenas prácticas

Además de actualizar Chrome de inmediato, conviene mantener hábitos seguros: no abrir enlaces en correos o mensajes de remitentes desconocidos, desconfiar de ventanas emergentes que pidan permisos o datos, y usar en lo posible perfiles o cuentas separadas para trabajo sensible. En empresas, combinar el parche con políticas de navegación (listas de sitios permitidos, proxy o filtrado) reduce la superficie de ataque. La vulnerabilidad Chrome zero-day explotada vía web hace que cualquier sitio comprometido o malicioso sea potencialmente peligroso hasta tener el parche aplicado.

Contexto: zero-days de Chrome en 2026

Estos dos CVEs son el segundo y tercer zero-day de Chrome parcheados en 2026; a principios de año se había corregido otro fallo relacionado con el manejo de CSS. La frecuencia de vulnerabilidad Chrome zero-day explotada en activo refleja el interés de los atacantes en el navegador más usado. Google no suele dar detalles sobre los grupos que explotan estos fallos hasta tiempo después; lo relevante es que el parche esté desplegado. Mantener Chrome (y cualquier navegador Chromium) actualizado sigue siendo una de las medidas de seguridad más efectivas para usuarios y empresas.

FAQ sobre la vulnerabilidad Chrome zero-day

¿Estoy afectado por esta vulnerabilidad Chrome zero-day?
Si usas Chrome en una versión anterior a 146.0.7680.75 (escritorio) o 146.0.76380.115 (Android), sí. Comprueba en chrome://settings/help y actualiza.

¿Qué hago si no puedo actualizar aún?
Reduce el riesgo evitando hacer clic en enlaces de correos o mensajes no confiables y evita sitios de dudosa reputación. La única mitigación completa es aplicar el parche.

¿Edge, Brave y Opera también están afectados?
Sí, al estar basados en Chromium (Skia y V8). Debes aplicar las actualizaciones que publiquen sus respectivos fabricantes.

¿Hay explotación activa confirmada?
Sí. Google ha indicado que existían exploits en la naturaleza para CVE-2026-3909 y CVE-2026-3910 antes del parche, por eso se publicó una actualización de emergencia.

La vulnerabilidad Chrome zero-day parcheada este marzo de 2026 vuelve a recordar la importancia de mantener el navegador actualizado. Si gestionas flotas de equipos, prioriza el despliegue de Chrome 146.0.7680.75 o superior y revisa el resto de nuestras noticias de vulnerabilidades para estar al día.