• Google ha revelado accidentalmente una vulnerabilidad grave en Chromium, el motor que impulsa a la mayoría de los navegadores actuales. Debido a un error interno, se ha expuesto un fallo de seguridad crítico que aún no ha sido solucionado, dejando expuestos a millones de usuarios.

Aunque pueda parecer un mal menor, lo cierto es que este accidente es bastante peligroso. Hablamos de una vulnerabilidad destapada en Chromium, el motor interno sobre el que se construyen la mayoría de los navegadores actuales. Esta permite que una web maliciosa deje un proceso oculto funcionando sin que te enteres.

Lo peor de todo es que este fallo lleva años circulando por Google y, debido a un despiste, la compañía lo ha filtrado por accidente en su foro público antes de lanzar un parche real que lo solucione.

Que Chromium sea el protagonista significa que esto afecta a Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi o Arc. Si usas cualquiera de ellos, estás expuesto.

La alerta la dio en su momento Lyra Rebane, una investigadora de ciberseguridad que descubrió el problema en diciembre de 2022. La experta avisó a Google de que un atacante podía usar los llamados Service Workers (unos scripts que los navegadores usan en segundo plano para tareas como gestionar descargas) para mantener la web ejecutándose para siempre. Al entrar en el sitio web corrupto, el código se queda anclado a tu dispositivo.

Esto abre las puertas a lo que se conoce como una botnet y los ciberdelincuentes pueden usar tu conexión para lanzar ataques de denegación de servicio (DDoS) contra otras empresas, ocultar tráfico ilegal usando tu dirección IP o redirigir tu navegación sin que te enteres.

El problema de todo esto, teniendo en cuenta que hablamos de 2022 y ahora un error enorme de filtración, es que, aun así, un desarrollador de la propia empresa avisó a finales de 2024 de que esto era una vulnerabilidad seria y que requería prioridad absoluta.

Pues han tenido que pasar otros dos años más (en febrero de 2026) para que se pusiesen manos a la obra. Tras esto, los sistemas automáticos marcaron el fallo como solucionado para poder tramitar la recompensa de 1.000 dólares a la investigadora. El problema es que el parche real nunca se llegó a enviar a las actualizaciones de los usuarios, pero el software de Google creyó que el trabajo ya estaba hecho y programó una cuenta atrás.

El gran error de Google: El temporizador que desató el pánico

Dejando totalmente a un lado el proceso habitual a la hora de tratar los fallos resueltos, el rastreador de errores de Chromium retiró de forma automática todas las restricciones de privacidad el 20 de mayo, al cumplirse las 14 semanas desde que el caso se marcó como cerrado en el sistema informático.

En ese momento, los detalles técnicos del fallo quedaron expuestos a los ojos de cualquier persona, incluidos los hackers. Al darse cuenta de la apertura del hilo, Lyra Rebane decidió descargar las versiones de prueba más recientes de Chrome y Edge para comprobar lo bien que funcionaba la solución de Google, llevándose la sorpresa.

El parche de seguridad era inexistente. Al ejecutar la prueba de concepto en Chrome Dev 150 y Edge 148, comprobó que el fallo seguía estando. De hecho, la situación era incluso más preocupante que en 2022: debido a cambios en el diseño del propio navegador, la pequeña ventana emergente que antes avisaba de que había una descarga en curso ya no aparecía. La ejecución de código se había vuelto completamente invisible para la víctima.

Aunque Google reaccionó a las pocas horas devolviendo el hilo al estado privado, el error de que todo estuviese expuesto duró el tiempo suficiente para que los datos técnicos circularan libremente por internet.

Ahora que los detalles del código son de dominio público, la pelota está en el tejado de Google, que se ha visto obligada a activar su gabinete de crisis. Lo más probable es que veas actualizaciones de emergencia en los ordenadores en las próximas horas para tapar un agujero que ya debía estar corregido hace bastantes años.

Mientras tanto, la recomendación, mientras los ingenieros lanzan el parche definitivo, es extremar la precaución al usar internet, evitando hacer clic en enlaces raros o visitar páginas web extrañas que puedan activar estos scripts invisibles. Alternativamente, utilizar de forma temporal navegadores basados en motores totalmente independientes, como Firefox, no es del todo una mala idea.