fallos de seguridad en Chrome 144

Fallos de seguridad en Chrome 144 y cómo te afectan

por

fallos de seguridad en Chrome 144

La llegada de Google Chrome 144 al canal estable no es una actualización cualquiera de rutina. Esta versión viene cargada de parches críticos, cambios técnicos bajo el capó y hasta algún que otro quebradero de cabeza para ciertas aplicaciones empresariales. Si usas Chrome a diario en tu ordenador, ya sea en casa, en la oficina o en una administración pública, te conviene saber qué está pasando con estos fallos de seguridad en Chrome 144 y por qué todo el mundo insiste tanto en actualizar cuanto antes.

En esta edición, Google ha solucionado 10 vulnerabilidades de seguridad repartidas entre V8, Blink y otros componentes, ha afinado funciones relacionadas con la inteligencia artificial y ha introducido mejoras de rendimiento y conectividad que no se ven, pero se notan. Al mismo tiempo, han aparecido problemas de compatibilidad en herramientas como Sage X3 cuando se usa con navegadores basados en Chromium 144, lo que obliga a algunos entornos corporativos a hilar muy fino con sus políticas de actualización.

Qué trae realmente Chrome 144 y por qué importa tanto

Chrome 144 se ha publicado oficialmente para Windows, macOS y Linux dentro del canal estable, con un despliegue progresivo que irá llegando a todos los usuarios en los próximos días. Las compilaciones que incluyen las correcciones de seguridad son:

  • 144.0.7559.59 para Linux
  • 144.0.7559.59 y 144.0.7559.60 para Windows y macOS

Esto significa que cualquier versión de Chrome anterior a la 144 queda automáticamente en una situación de mayor riesgo, especialmente en entornos donde el navegador es una pieza clave para el trabajo diario. Si no tienes activadas las actualizaciones automáticas o si tu organización controla las versiones de forma centralizada, es el momento de comprobar de qué lado de la línea estás.

Google ha confirmado que no hay constancia pública de explotación activa de estas vulnerabilidades en el momento del lanzamiento, pero eso, siendo sinceros, dura poco: una vez se publican los parches y se detallan (aunque sea parcialmente) las fallas, los atacantes se ponen manos a la obra para intentar reproducir y explotar los problemas en sistemas sin actualizar. De ahí la insistencia en no dejar pasar la actualización.

actualización de Chrome 144

Listado de vulnerabilidades corregidas: los CVE clave de Chrome 144

La actualización de Chrome 144 corrige 10 vulnerabilidades identificadas oficialmente con CVE, con especial protagonismo para el motor JavaScript V8, aunque no es el único componente afectado. La tabla de CVE asociada a esta versión queda aproximadamente así:

  • CVE-2026-0899 (Alta, V8): acceso a memoria fuera de límites (out-of-bounds). Puede derivar en lectura o escritura fuera del área de memoria permitida, con riesgo de corrupción de memoria y ejecución de código arbitrario dentro del proceso del navegador.
  • CVE-2026-0900 (Alta, V8): problema de implementación inapropiada. Aunque los detalles técnicos se reservan hasta que la mayoría de los usuarios estén actualizados, se trata de otra vulnerabilidad grave en el motor JavaScript.
  • CVE-2026-0901 (Alta, Blink): implementación inapropiada en Blink, el motor de renderizado de Chrome. Puede impactar en cómo se procesan determinados contenidos HTML/CSS.
  • CVE-2026-0902 (Media, V8): implementación incorrecta en V8, con potencial para comportamientos inesperados durante la ejecución de scripts.
  • CVE-2026-0903 (Media, Descargas): validación insuficiente en el mecanismo de descargas, lo que podría permitir que entradas no confiables se procesen sin los controles adecuados.
  • CVE-2026-0904 (Media, Credenciales Digitales): interfaz de seguridad incorrecta en la funcionalidad de Digital Credentials, con riesgo de mostrar elementos de interfaz de forma engañosa para el usuario.
  • CVE-2026-0905 (Media, Red): aplicación insuficiente de políticas en un componente de red, que puede afectar a cómo Chrome respeta ciertas restricciones o reglas de seguridad.
  • CVE-2026-0906 (Baja, Interfaz de seguridad): interfaz de seguridad incorrecta, potencialmente induciendo a error al usuario.
  • CVE-2026-0907 (Baja, Vista dividida): problemas similares de interfaz de seguridad en la función de vista dividida.
  • CVE-2026-0908 (Baja, ANGLE): vulnerabilidad de tipo use-after-free en ANGLE, la capa de abstracción gráfica utilizada por Chrome.

En conjunto, estas vulnerabilidades cubren un abanico que va desde fallos graves de memoria hasta problemas aparentemente menores de interfaz, pero todos con un denominador común: pueden ser la pieza que falta en una cadena de ataque más compleja. Por eso, aunque algunas estén clasificadas como de baja gravedad, no es buena idea ignorarlas.

Google ha recompensado económicamente a los investigadores que reportaron varios de estos fallos: pagos que van desde unos cientos hasta varios miles de dólares, incluyendo 8.000 dólares por la vulnerabilidad CVE-2026-0899 y recompensas de 4.000, 3.000, 2.000 o 1.000 dólares por otras, según la criticidad y el impacto.

El foco en V8: fallos de memoria y ejecución de código

Buena parte del protagonismo de esta actualización se lo lleva V8, el motor JavaScript de Chrome. Seis de las vulnerabilidades corregidas afectan directa o indirectamente a este componente, lo que no es casualidad: V8 es la pieza encargada de ejecutar prácticamente todo el código JavaScript que se carga en el navegador, y por tanto constituye una superficie de ataque enorme.

El caso más sensible es CVE-2026-0899, un acceso a memoria fuera de límites. En la práctica, esto supone que, bajo ciertas condiciones, el motor puede leer o escribir en zonas de memoria que no le corresponden. Dependiendo de cómo se explote, esto abre la puerta a:

  • Lectura o extracción de información sensible que resida en memoria.
  • Corrupción de memoria dirigida, alterando estructuras internas de datos que controlan el flujo de ejecución.
  • Ejecución de código arbitrario dentro del sandbox del navegador, que luego puede encadenarse con otras vulnerabilidades del sistema operativo o de drivers para intentar escapar de ese aislamiento.
  Virus informáticos: qué son, tipos y cómo protegerte

Históricamente, las vulnerabilidades en motores JavaScript son muy apreciadas por los atacantes porque se pueden disparar simplemente visitando una página web maliciosa, cargando un anuncio comprometido o incrustando contenido en un iframe. Es decir, no hace falta que el usuario haga algo especialmente raro: basta con que navegue “donde no debe” o que una web legítima haya sido comprometida.

Para detectar y mitigar este tipo de errores, Google se apoya en un arsenal de herramientas automatizadas como AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity y diferentes fuzzers como libFuzzer o AFL. Muchas de las vulnerabilidades corregidas en Chrome 144 vienen precisamente de estos sistemas de análisis, además de los reportes externos de la comunidad de investigadores.

Otros componentes afectados: Blink, descargas, red e interfaz

Aunque V8 se lleva los titulares, Chrome 144 también corrige problemas serios en Blink, las descargas y la interfaz de seguridad. Uno de los fallos de alta gravedad, CVE-2026-0901, impacta en Blink, el motor que se encarga de renderizar las páginas web. Un fallo en esta capa puede tener implicaciones complejas, desde saltarse ciertas validaciones hasta facilitar otros vectores de ataque.

El componente de descargas también recibe atención con CVE-2026-0903, una validación insuficiente de entrada no confiable. En términos llanos, esto significa que Chrome no comprobaba de forma estricta determinados parámetros o metadatos antes de procesarlos, algo que, en combinación con otras condiciones, puede provocar descargas engañosas o comportamientos inesperados.

En el terreno de la interfaz de seguridad, las vulnerabilidades CVE-2026-0904, CVE-2026-0906 y CVE-2026-0907 se centran en cómo se muestran elementos de seguridad a los usuarios, especialmente en funciones como Digital Credentials o la vista dividida. Aunque se catalogan como de gravedad media o baja, tienen un componente delicado: si la interfaz no refleja de forma fiable el estado de seguridad, el usuario puede tomar decisiones basadas en información visual engañosa o incompleta.

Por último, CVE-2026-0905 afecta a un componente de red relacionado con la aplicación de políticas. Si el navegador no respeta de forma adecuada ciertas reglas de red o seguridad, se pueden abrir pequeñas brechas que, sumadas a otras, den margen a ataques más sofisticados.

Sistemas y productos afectados: quién está en riesgo

Las vulnerabilidades descritas afectan a Google Chrome para Windows, macOS y Linux en todas las versiones anteriores a:

  • 144.0.7559.59 en Linux
  • 144.0.7559.59/60 en Windows y macOS

En términos prácticos, están en la diana:

  • Usuarios particulares que no han actualizado todavía a Chrome 144 o que tienen desactivadas las actualizaciones automáticas.
  • Entornos corporativos y de administración pública donde las versiones de navegador se controlan mediante políticas y puede haber un retraso entre el lanzamiento y el despliegue efectivo.
  • Equipos donde se usan navegadores basados en Chromium 144 (no solo Chrome), especialmente si integran componentes compartidos como V8, Blink o ANGLE.

El abanico de componentes afectados incluye V8, Blink, el sistema de descargas, Credenciales Digitales, la interfaz de seguridad, la vista dividida, el componente de red y ANGLE, por lo que la superficie de exposición es bastante amplia. Cada uno de estos módulos forma parte de la columna vertebral del navegador y, combinados, son un objetivo jugoso para atacantes que busquen encadenar varios fallos.

Impacto potencial: de la ejecución de código al riesgo operativo

El impacto real de estos fallos depende de múltiples factores, pero los escenarios más preocupantes pasan por la ejecución de código malicioso desde páginas web especialmente diseñadas. Un atacante podría explotar una vulnerabilidad de V8 para tomar el control del proceso de navegador y, desde ahí, intentar elevar privilegios o escapar del sandbox apoyándose en otras debilidades del sistema.

También entra en juego la posibilidad de comprometer el navegador al visitar sitios web maliciosos o legítimos comprometidos. En muchos entornos de trabajo, el navegador es la puerta de entrada a aplicaciones críticas (correo, ERP, CRM, banca electrónica, portales administrativos, etc.), por lo que un fallo en Chrome se convierte inmediatamente en un riesgo operativo y de continuidad de negocio.

En organizaciones grandes, estos problemas se amplifican: basta con que una parte del parque de equipos quede sin actualizar para que se conviertan en un punto débil dentro de la misma red corporativa. De ahí que los equipos de seguridad insistan tanto en gestionar las versiones de navegador prácticamente como si fueran parches del sistema operativo.

Medidas recomendadas para usuarios y empresas

Para mitigar los riesgos asociados a los fallos de seguridad de Chrome 144, las recomendaciones son bastante claras, tanto para usuarios domésticos como para organizaciones:

  • Actualizar Chrome de inmediato a la versión 144 o superior. Es el paso más importante y el que reduce de golpe la superficie de ataque.
  • Comprobar que las actualizaciones automáticas están activadas en todos los dispositivos donde se use Chrome.
  • Evitar el uso de navegadores obsoletos, especialmente en equipos que acceden a información sensible o servicios críticos.
  • Complementar el navegador con soluciones de seguridad actualizadas (antivirus, EDR, filtros de navegación, etc.) que añadan capas adicionales de protección.
  Brecha de datos de Endesa: qué ha pasado y cómo afecta a sus clientes

En entornos corporativos y administrativos, además, conviene ir un paso más allá y gestionar las versiones de navegador con políticas centralizadas (GPO, MDM, soluciones de gestión de endpoints, etc.), asegurando que no queden “islas” con versiones desfasadas que puedan ser explotadas.

Recomendaciones técnicas para equipos TIC

Los equipos de TI y seguridad tienen un papel clave a la hora de contener el impacto de estas vulnerabilidades. Entre las tareas prioritarias se encuentran:

  • Inventariar y verificar la versión exacta de Chrome desplegada en todos los equipos, tanto gestionados como no gestionados.
  • Forzar la actualización a Chrome 144 o superior mediante políticas de grupo, MDM o herramientas de gestión de endpoints.
  • Monitorizar comportamientos anómalos en los procesos del navegador, como cierres inesperados, picos de consumo de recursos o actividades de red inusuales.
  • Revisar el uso de navegadores no gestionados en entornos corporativos, ya que suponen un vector de riesgo difícil de controlar.

Desde un punto de vista más técnico, también es interesante seguir los boletines oficiales de Chrome y Chromium, donde Google irá publicando detalles adicionales de las vulnerabilidades una vez el despliegue esté suficientemente avanzado, así como posibles mitigaciones complementarias.

Perspectiva GRC: gestión de riesgos y cumplimiento normativo

Más allá del plano puramente técnico, las vulnerabilidades corregidas en Chrome 144 deben integrarse dentro de los procesos de Gobernanza, Riesgo y Cumplimiento (GRC) y tener en cuenta las tendencias clave de ciberseguridad. Para administraciones públicas y empresas sujetas a marcos como el Esquema Nacional de Seguridad o ISO/IEC 27001, no basta con aplicar el parche: hay que registrar y evidenciar la gestión de este riesgo.

Algunos pasos recomendables son:

  • Incorporar estas vulnerabilidades al inventario de riesgos de seguridad relacionados con estaciones de trabajo y puestos de usuario.
  • Evaluar el impacto en función de la criticidad de los servicios, el perfil de usuarios afectados y el grado de exposición a Internet.
  • Registrar la aplicación del parche como parte de los controles de gestión de cambios y mantenimiento.
  • Revisar los SLA de actualización de navegadores para asegurarse de que las versiones críticas se despliegan en plazos razonables.
  • Verificar el cumplimiento de requisitos de normas como ENS e ISO/IEC 27001 en lo relativo a gestión de vulnerabilidades, mantenimiento y protección frente a código malicioso.

Una política de actualizaciones proactiva no solo reduce de forma tangible el riesgo operativo, sino que también facilita poder demostrar cumplimiento ante auditorías y revisiones de seguridad externas.

Chrome 144 y Sage X3: problemas de compatibilidad a tener en cuenta

Mientras Chrome 144 refuerza la seguridad, en el mundo empresarial ha salido a la luz un problema de compatibilidad con Sage X3, concretamente con determinadas versiones del componente Syracuse. Durante las validaciones internas, se ha detectado que Chromium 144 afecta a ciertos botones del menú de acciones de Sage X3, dejándolos inutilizables en:

  • Syracuse 12.22 y versiones anteriores.

En cambio, en Syracuse 12.23 y superiores no se han observado estos fallos, lo que sugiere que el problema está ligado a cambios introducidos en Chromium 144 que rompen compatibilidades con interfaces antiguas.

Para las empresas que utilizan Sage X3 en versiones afectadas, se proponen varias acciones:

  • Revisar las políticas de actualización de navegadores Chromium en el entorno corporativo.
  • Comprobar si el navegador se actualiza automáticamente y, si es necesario, valorar desactivar temporalmente las actualizaciones automáticas para evitar la implantación inmediata de Chrome 144.
  • Considerar el uso de otro navegador como Firefox para acceder a Sage X3 mientras se aplica una corrección o se actualiza Syracuse.
  • Actualizar Syracuse a 12.23 o superior cuando sea posible, ya que en esas versiones la interfaz funciona con normalidad.

Eso sí, desactivar las actualizaciones automáticas tiene un coste evidente: se renuncian a parches de seguridad importantes. Por tanto, esta decisión debe pasar por los equipos de TI y ciberseguridad, valorando muy bien el riesgo de exposición frente al impacto funcional sobre Sage X3.

Novedades de Chrome 144 más allá de la seguridad: IA, interfaz y futuro del navegador

La versión 144 de Chrome no se limita a parchear vulnerabilidades. Google continúa impulsando la integración de la inteligencia artificial generativa y preparando cambios relevantes en la interfaz y en el soporte de nuevos formatos.

El llamado “Modo IA” de Chrome sigue evolucionando. Esta función permite interactuar con un agente inteligente directamente desde la barra de direcciones o la página de nueva pestaña, ofreciendo respuestas más elaboradas en lenguaje natural y permitiendo preguntas de seguimiento sobre el contenido que se está visualizando.

La integración con el chatbot Gemini también mejora: ahora es posible subir imágenes desde el menú contextual para que la IA las analice o incluso genere imágenes nuevas a partir de ellas. Además, la IA es capaz de trabajar con varias pestañas abiertas a la vez, facilitando tareas como comparar productos, resumir diferentes fuentes o localizar datos concretos en una sesión de navegación complicada.

Aunque esta funcionalidad empezó en Windows y macOS, con Chrome 144 los usuarios de Linux empiezan a recibir el botón de “Modo IA”, que también se puede activar pulsando la tecla Tab en la barra de direcciones cuando está disponible.

Privacidad y control de la IA: la opción GenAI en el dispositivo

En paralelo a esa expansión del uso de IA, Google ha comenzado a introducir mecanismos de control más granulares en las ramas de desarrollo. En la rama Canary (que apunta a futuras versiones como Chrome 147) se ha observado una nueva opción en la sección de sistema llamada “GenAI en el dispositivo habilitado”.

  Tendencias clave de ciberseguridad que marcarán el próximo ciclo

Esta configuración permitirá desactivar por completo los modelos de IA que se ejecutan localmente en el equipo. Al hacerlo, se deshabilitarían funciones como la detección predictiva de malware basada en IA o determinadas ayudas inteligentes, algo útil para quienes quieran:

  • Reducir el consumo de recursos locales asociado a estos modelos.
  • Tener un mayor control sobre los datos procesados en el dispositivo.
  • Ajustar el navegador a políticas de privacidad y cumplimiento más estrictas en entornos corporativos.

Aunque esta opción aún no forma parte de la versión estable 144, sí apunta a la dirección en la que Google está moviendo Chrome: cada vez más IA integrada, pero también más controles para quienes necesitan limitarl­a o supervisarla.

Cambios en interfaz y formatos: pestañas verticales y JPEG XL

Mirando a las versiones beta y Canary que se apoyan en Chrome 144, se anticipan cambios bastante esperados en la experiencia de uso. Por un lado, la versión Beta (base de Chrome 145) introduce un modo de pestañas verticales, que permite colocar las pestañas en un panel lateral en lugar de la barra superior tradicional.

Este modo resulta especialmente útil en pantallas panorámicas y para usuarios que manejan decenas de pestañas a la vez, ya que mejora la legibilidad de los títulos y facilita la gestión de grupos y sesiones de trabajo.

Por otro lado, Chrome Canary ha reintroducido el soporte para el formato de imagen JPEG XL, un estándar de nueva generación que promete alta calidad con tamaños de archivo reducidos. Google ya había descartado este formato en el pasado, pero ahora vuelve apoyándose en la biblioteca jxl-rs escrita en Rust, lo que sugiere una apuesta por combinar rendimiento con mayor seguridad en la renderización de imágenes.

Mejoras técnicas: conectividad, APIs y herramientas para desarrolladores

En el plano más técnico, Chrome 144 incorpora la tercera versión del algoritmo Happy Eyeballs, cuyo objetivo es optimizar la conexión a servidores que soportan IPv4 e IPv6. La idea es priorizar siempre la ruta más rápida y moderna (como HTTP/3 sobre QUIC) sin castigar al usuario con tiempos de espera cuando una de las rutas falla o responde lento.

La API de Direct Sockets también se actualiza para soportar tráfico multidifusión (multicast), permitiendo que aplicaciones web puedan recibir paquetes UDP de múltiples fuentes. Esto es especialmente interesante para aplicaciones de comunicación en tiempo real, colaboración en red o entornos industriales donde el multicast se usa como base de ciertos protocolos.

En cuanto a desarrollo web, Chrome 144 introduce nuevas herramientas y capacidades:

  • Pseudoelemento CSS ::search-text, que permite personalizar el estilo del texto resaltado cuando se realizan búsquedas locales dentro de una página.
  • Nueva etiqueta HTML <geolocation>, pensada para insertar botones estandarizados que soliciten acceso a la ubicación del usuario.
  • Nuevo objeto Temporal en JavaScript, diseñado para resolver muchos de los problemas históricos de gestión de fechas y horas, incluyendo zonas horarias y operaciones temporales complejas.

Además, se han realizado mejoras de estabilidad y rendimiento general, se han eliminado algunas API obsoletas que ya no encajan con la estrategia actual de Google y se han introducido ajustes en WebRTC y en el componente CSS container, que afectan positivamente a las conexiones en tiempo real y al diseño responsivo.

Cómo actualizar a Chrome 144 y comprobar la versión

En la mayoría de los casos, Chrome se actualiza de forma automática en segundo plano y solo pide reiniciar el navegador para aplicar los cambios. Aun así, compensa comprobar manualmente si ya tienes la versión 144 instalada, sobre todo si te preocupa el impacto de los fallos de seguridad.

En sistemas de escritorio, puedes seguir estos pasos básicos:

  • Abrir el menú de Chrome (icono de tres puntos).
  • Ir a Ayuda > Información de Google Chrome o a la URL chrome://settings/help.
  • Esperar a que el navegador busque actualizaciones y las descargue si están disponibles.
  • Reiniciar el navegador para que la nueva versión se active.

En distribuciones Linux donde Chrome se gestiona vía paquetes, también se puede recurrir al terminal. Por ejemplo, en sistemas basados en Debian/Ubuntu:

  • sudo apt update
  • sudo apt upgrade

Si prefieres instalar Chrome desde cero o actualizarlo mediante el paquete .deb, puedes descargarlo desde la página oficial de Google Chrome y luego instalarlo con un comando del estilo:

  • sudo dpkg -i google-chrome-stable_current_amd64.deb

Tras completar el proceso, conviene volver a la pantalla de Información de Google Chrome para verificar que la versión activa coincide con la 144.0.7559.59/60 según tu sistema operativo.

Con todo lo anterior sobre la mesa, Chrome 144 se presenta como una versión clave que combina parches críticos de seguridad, mejoras bajo el capó e innovaciones en IA y experiencia de usuario. Actualizar cuanto antes reduce de forma drástica la ventana de exposición a ataques que se aprovecharían de CVE como la 2026-0899, a la vez que te permite disfrutar de un navegador más rápido, estable y alineado con las necesidades actuales de conectividad, desarrollo web y cumplimiento normativo, siempre que tengas en cuenta posibles efectos colaterales como los vistos en aplicaciones empresariales tipo Sage X3.

[relacionado url=»https://foropc.com/instalar-chrome-144-novedades-cambios-y-guia-completa/»]

Deja un comentario