CVE-2026-11645: El Quinto Zero-Day de Chrome en 2026 Expone a Millones de Usuarios

La vulnerabilidad tiene una puntuación CVSS de 8.8, lo que la sitúa en la categoría de "alta severidad" . Para los usuarios, un ataque exitoso significa que un adversario puede ejecutar código en su sistema con el nivel de privilegio del proceso del navegador, lo que normalmente es suficiente para instalar malware, robar datos o preparar el terreno para ataques más profundos. Aunque la divulgación de Google utiliza la frase estándar de que el fallo "permitía a un atacante remoto ejecutar código arbitrario dentro de un sandbox", la naturaleza de las primitivas de lectura/escritura fuera de límites también hace que técnicas como la evasión de ASLR (Aleatorización del Espacio de Direcciones) sean viables para los atacantes que buscan un compromiso total del sistema .

Detalles del parche y cronología

El parche de emergencia se implementó en el canal Stable para escritorio el 8 de junio de 2026, como parte de una actualización más amplia que corrige 74 vulnerabilidades de seguridad en una sola publicación . Google confirmó que existe un exploit para CVE-2026-11645 "en la naturaleza", lo que convierte esta actualización en una medida urgente y obligatoria para cualquier persona que ejecute Chrome en un ordenador de sobremesa .

Las versiones parcheadas son:

• Windows y macOS: Chrome 149.0.7827.102 / 149.0.7827.103
• Linux: Chrome 149.0.7827.102

Como es habitual en las actualizaciones de Chrome Stable, el parche se distribuye progresivamente a lo largo de días y semanas, aunque los usuarios pueden forzar la actualización manualmente a través del menú Chrome > Ayuda > Información de Google Chrome.

Recompensa por error y divulgación

Un investigador de seguridad anónimo que operaba bajo el seudónimo "303f06e3" descubrió y reportó la vulnerabilidad a Google el 27 de abril de 2026 . Google otorgó una recompensa de 55.000 dólares por el hallazgo, una cifra que concuerda con los niveles del Programa de Recompensas por Vulnerabilidades de Chrome para errores de corrupción de memoria de alto impacto en V8 . Si bien la publicación oficial del blog de Chrome Releases para este ciclo incluye el monto de la recompensa en su resumen, la compañía normalmente no desglosa las cifras para cada vulnerabilidad individual en sus avisos de seguridad .

El panorama de los zero-days de Chrome en 2026

Con el CVE-2026-11645, Chrome ya ha recibido parches para cinco vulnerabilidades de día cero explotadas activamente solo en 2026 . La lista completa hasta antes de junio muestra un ritmo acelerado de exploits de navegador en circulación:

• CVE-2026-2441 (Febrero 2026): Un fallo de "use-after-free" en el procesamiento de CSS de Chrome que permitía la ejecución remota de código dentro del sandbox a través de páginas HTML maliciosas .
• CVE-2026-3909 (12 de marzo de 2026): Una vulnerabilidad de escritura fuera de límites en Skia, la biblioteca de gráficos 2D que sustenta el proceso de renderizado de Chrome .
• CVE-2026-3910 (12 de marzo de 2026): Un error de implementación inapropiada en V8 que permitía la ejecución de código arbitrario dentro del sandbox del navegador, parcheado en la misma actualización que CVE-2026-3909 .
• CVE-2026-5281 (1 de abril de 2026): Un fallo de "use-after-free" en Dawn, la implementación multiplataforma de WebGPU de Chrome, que la agencia estadounidense CISA añadió a su catálogo de Vulnerabilidades Explotadas Conocidas con un plazo obligatorio para que las agencias federales lo parchearan .
• CVE-2026-11645 (Junio 2026): La vulnerabilidad de lectura/escritura fuera de límites de V8 corregida en esta actualización de emergencia .

Se confirmó que las cinco vulnerabilidades fueron explotadas en entornos reales antes de que los parches estuvieran disponibles, un patrón que sitúa a 2026 en camino de superar el recuento total de zero-days de Chrome de años anteriores. Múltiples fuentes que cubren el ciclo de parches señalan que en las divulgaciones de cada mes ahora se incluye con frecuencia al menos un error explotado activamente, lo que ejerce una presión constante sobre los equipos de TI para que acorten sus ciclos de parcheo de software de navegación .

Lo que los usuarios deben hacer ahora mismo

Chrome normalmente se actualiza en segundo plano, pero el despliegue automático puede tardar días en llegar a todos los usuarios. Para una protección inmediata:

1. Abre Chrome.
2. Ve al menú de tres puntos en la esquina superior derecha.
3. Selecciona Ayuda > Información de Google Chrome.
4. Permite que el navegador busque y aplique cualquier actualización disponible.

El número de versión debería ser 149.0.7827.102 o superior en Windows y Linux, y 149.0.7827.103 o superior en macOS .

Las organizaciones que gestionan implementaciones de Chrome deben verificar que todos sus dispositivos estén recibiendo la última versión estable y considerar la posibilidad de acelerar los plazos de instalación para este parche fuera de ciclo. El estado de explotación activa confirmada significa que cualquier sistema que ejecute una versión anterior de Chrome permanece expuesto a ataques en curso.