Zero-Days de Chrome CVE-2026-3909 y CVE-2026-3910: Cómo Funciona el Ataque

Karina Astudillo
Share 0
Post 0
Share 0

Dos zero-days de Chrome explotados la semana pasada: así funciona el ataque que convierte una URL en una puerta trasera

El analista abre el ticket a las 9:14 AM. El usuario reportó que su equipo «se comporta raro» después de hacer clic en un enlace que llegó por correo. Nada espectacular a simple vista. Pero cuando el analista revisa los logs del endpoint y ve procesos de Chrome lanzando subprocesos inesperados, el estómago le da un vuelco. No es un phishing genérico. Alguien usó la vulnerabilidad correcta, en el momento correcto, contra el navegador sin parchear. Y el atacante lleva adentro desde hace seis horas.

La semana pasada, ese escenario dejó de ser hipotético.

Qué pasó: los hechos sin adornos

El 12 de marzo de 2026, Google lanzó una actualización de emergencia para Chrome corrigiendo dos vulnerabilidades de día cero con explotación activa confirmada. No es el tipo de parche que puedes programar para el próximo ciclo. Ambas vulnerabilidades fueron descubiertas internamente por el equipo de seguridad de Google y reportadas el 10 de marzo de 2026. Dos días después salió el parche. Al día siguiente, CISA las añadió al catálogo oficial de vulnerabilidades conocidas explotadas (KEV).

A hoy, 18 de marzo, el plazo de CISA para que organismos federales apliquen el parche vence el 27 de marzo. En muchas organizaciones de LATAM, el parche todavía no llegó a todos los endpoints.

Las dos CVEs son:

  • CVE-2026-3909: Un fallo de escritura fuera de límites (out-of-bounds write) en Skia, la biblioteca gráfica central de Chrome. Un out-of-bounds write ocurre cuando un programa escribe datos más allá del límite del búfer de memoria asignado, lo que puede causar corrupción de memoria y, bajo ciertas condiciones, ejecución de código arbitrario.

  • CVE-2026-3910: Un problema de implementación incorrecta en el motor V8, el motor JavaScript y WebAssembly de Chrome. Una página HTML especialmente diseñada podría permitir a un atacante remoto ejecutar código arbitrario dentro del entorno aislado de V8. Puntuación CVSS: 8.8.

Google ha confirmado oficialmente que existen exploits para ambas vulnerabilidades en uso activo, aunque no ha revelado detalles sobre los atacantes ni sobre los objetivos específicos, para dar tiempo a los usuarios a aplicar el parche.

Cómo funciona el vector de ataque: lo que necesitas entender como profesional

Este tipo de vulnerabilidad en navegadores se llama browser-based exploit o drive-by download, y es uno de los vectores más usados en ataques dirigidos porque tiene una característica devastadora: la víctima no necesita descargar nada ni ejecutar ningún archivo. Solo necesita visitar una página.

El flujo típico de un ataque que usa estos CVEs:

  1. Delivery: El atacante envía un enlace por correo, Slack, SMS o lo embebe en una página legítima comprometida (técnica conocida como watering hole). También puede usar malvertising: anuncios en redes publicitarias que redirigen a contenido malicioso.

  2. Trigger: La víctima abre el enlace en Chrome sin parchear. El navegador carga la página y el motor V8 procesa el JavaScript malicioso. El fallo en la implementación permite que ese código escape a los controles normales de seguridad.

  3. Sandbox escape: Sola, la ejecución dentro del sandbox de Chrome tiene impacto limitado. Pero en Skia es posible encadenar una escritura fuera de límites con otros errores para escapar del entorno aislado del renderizador. Aquí es donde entra CVE-2026-3909: combinando ambas vulnerabilidades, el atacante puede salir del sandbox y llegar al sistema operativo.

  4. Post-exploitation: Con acceso al sistema, las posibilidades son amplias: robo de credenciales almacenadas en el navegador, instalación de malware persistente, movimiento lateral hacia otros sistemas de la red.

Para un pentester o red teamer, entender este flujo no es solo académico. Es el tipo de cadena de explotación que aparece en ejercicios de simulación de adversarios (BAS) y en evaluaciones de madurez de controles de endpoints.

Qué debes hacer ahora: respuesta técnica paso a paso

Si gestionas endpoints:

Primero, verificar versión instalada. Chrome debe estar en 146.0.7680.75 o superior (Windows/Linux) o 146.0.7680.76 (macOS). Puedes verificarlo yendo a chrome://settings/help o usando un script de inventario.

En entornos con gestión centralizada (Intune, SCCM, Jamf), prioriza el despliegue de esta actualización. Si llevas una semana sin confirmar que el parche llegó a todos los equipos, este es el momento.

El parche aplica también a navegadores basados en Chromium: Microsoft Edge, Opera y Brave tienen su propia cadencia de actualización, pero comparten el mismo engine. Valida que también estén actualizados.

Para detección y hunting:

Si tienes un SIEM o EDR activo, busca procesos hijo anómalos lanzados desde chrome.exe. En Splunk, una búsqueda inicial puede ser:

index=endpoint process_name="chrome.exe" | stats count by parent_process, child_process | where child_process != "chrome.exe"

También revisa conexiones de red salientes inusuales iniciadas por el proceso del navegador hacia IPs no categorizadas. En muchos casos de browser exploitation, el siguiente paso del atacante es una reverse shell o una petición a un C2.

Para el largo plazo: Este incidente es un recordatorio de que el parcheo de navegadores no puede ir al mismo ritmo que el parcheo de servidores. Los navegadores son superficie de ataque crítica en cualquier organización, especialmente en entornos SaaS-heavy donde el 80% del trabajo ocurre en el browser.

Esta semana, en tu laboratorio

No puedes reproducir estos exploits específicos (Google no publicó el código por razones obvias), pero sí puedes practicar la mentalidad defensiva:

  • Verifica hoy mismo que todos tus endpoints tengan Chrome actualizado. Si no tienes ese inventario, construirlo es el ejercicio.

  • Ejecuta la búsqueda de hunting en tu SIEM usando los indicadores mencionados arriba.

  • Si tienes un entorno de prueba, practica con salas de TryHackMe enfocadas en browser exploitation y análisis de memoria.

El profesional que sabe detectar estas cadenas de ataque, no solo parchear, es el que tiene conversaciones distintas con el negocio.

Si quieres profundizar en metodologías de análisis de vulnerabilidades, respuesta a incidentes y hacking ético, en Academia Hacker trabajamos de forma práctica con laboratorios paso a paso.

¡Únete sin costo a nuestra Comunidad de Ciberguerreros y da el siguiente paso en tu carrera de ciberseguridad!

Share 0
Post 0
Share 0

Únete Gratis a la comunidad

Y obtén acceso a ebooks, cheatsheets y otros beneficios exclusivos.

UNIRTE
Categories: Hacking, PentestingTags: , , , , , , , , , , , , , ,
Karina Astudillo

Hacker ético, educadora en ciberseguridad y negocios y emprendedora serial. He dado charlas en eventos como OWASP Latam Tour, TEDxTalks y NotPinkCon, y escrito libros como "Hacking Ético 101" y “Cómo Emprender Un Negocio Rentable”. Tras más de 28 años enseñando a miles sobre cómo protegerse en la red (¡y cómo hacer un negocio de ello!), sigo en la misión de cerrar la brecha de conocimiento global y hacer del ciberespacio un lugar más seguro... ¡con un toque de humor y mucha pasión! 🎤💻😉🤘