El navegador sigue siendo una de las puertas de entrada favoritas de los atacantes, y lo acaba de demostrar CVE-2026-11645: una vulnerabilidad de lectura y escritura fuera de límites (out-of-bounds) en V8, el motor de JavaScript de Chromium. CISA la incorporó a su catálogo de vulnerabilidades explotadas activamente, lo que significa que no es teoría: hay ataques en curso.

Este tipo de fallo es especialmente peligroso porque vive en el componente que ejecuta el JavaScript de cualquier página web. Basta con que un usuario visite un sitio preparado por el atacante para que se intente corromper la memoria del navegador y, a partir de ahí, ejecutar código en el equipo. Es el patrón clásico de los 0-day de navegador: del clic a la ejecución en el endpoint, sin que la víctima tenga que descargar ni abrir nada.

Explotación de un 0-day de navegador
Del clic en una web maliciosa a la ejecución de código en el endpoint, sin que la víctima descargue ni abra nada.

La recomendación inmediata es actualizar Chrome (y cualquier navegador basado en Chromium: Edge, Brave, Opera) a la última versión cuanto antes y reiniciarlo para que el parche se aplique. Pero parchear el navegador solo cierra la puerta de entrada; si un equipo ya fue alcanzado, lo que importa es detectar lo que el atacante hace después.

¿Estás cubierto en DefensOps?

La explotación de un navegador no se ve como "una alerta de Chrome": se ve en el comportamiento del endpoint justo después. DefensOps lo caza ahí:

  • Reglas premium (111xxx) detectan el proceso hijo sospechoso que cuelga del navegador, la inyección de procesos vía CreateRemoteThread (MITRE T1055) y los download cradles y PowerShell codificado que suele venir a continuación (T1059.001, T1027).
  • Telemetría de Sysmon con hashing SHA256 en los agentes Windows, para correlacionar el binario que se ejecutó tras la explotación contra inteligencia de amenazas.
  • El análisis con IA (Professional y Enterprise) une el evento del navegador con la actividad posterior y te dice si fue un susto o una intrusión real.

MITRE en juego: T1203 (explotación para ejecución en cliente) → T1055 / T1059.001.

¿Sabrías si un 0-day de navegador ya está corriendo en uno de tus equipos? Nosotros sí. Pide una demo.Ver planes y pedir demo

Fuente: Catálogo CISA KEV (Google Chromium V8, CVE-2026-11645) · NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-11645