Nuevo 0-day en Chrome: un fallo en el motor V8 ya se está explotando
Resumen rápido
Google corrige un fallo en el motor JavaScript V8 de Chromium que permite corromper memoria desde una web maliciosa. Está en el catálogo de explotados activamente de CISA, lo que confirma ataques reales.
El navegador sigue siendo una de las puertas de entrada favoritas de los atacantes, y lo acaba de demostrar CVE-2026-11645: una vulnerabilidad de lectura y escritura fuera de límites (out-of-bounds) en V8, el motor de JavaScript de Chromium. CISA la incorporó a su catálogo de vulnerabilidades explotadas activamente, lo que significa que no es teoría: hay ataques en curso.
Este tipo de fallo es especialmente peligroso porque vive en el componente que ejecuta el JavaScript de cualquier página web. Basta con que un usuario visite un sitio preparado por el atacante para que se intente corromper la memoria del navegador y, a partir de ahí, ejecutar código en el equipo. Es el patrón clásico de los 0-day de navegador: del clic a la ejecución en el endpoint, sin que la víctima tenga que descargar ni abrir nada.
La recomendación inmediata es actualizar Chrome (y cualquier navegador basado en Chromium: Edge, Brave, Opera) a la última versión cuanto antes y reiniciarlo para que el parche se aplique. Pero parchear el navegador solo cierra la puerta de entrada; si un equipo ya fue alcanzado, lo que importa es detectar lo que el atacante hace después.
¿Estás cubierto en DefensOps?
La explotación de un navegador no se ve como "una alerta de Chrome": se ve en el comportamiento del endpoint justo después. DefensOps lo caza ahí:
- Reglas premium (111xxx) detectan el proceso hijo sospechoso que cuelga del navegador, la inyección de procesos vía CreateRemoteThread (MITRE T1055) y los download cradles y PowerShell codificado que suele venir a continuación (T1059.001, T1027).
- Telemetría de Sysmon con hashing SHA256 en los agentes Windows, para correlacionar el binario que se ejecutó tras la explotación contra inteligencia de amenazas.
- El análisis con IA (Professional y Enterprise) une el evento del navegador con la actividad posterior y te dice si fue un susto o una intrusión real.
MITRE en juego: T1203 (explotación para ejecución en cliente) → T1055 / T1059.001.
¿Sabrías si un 0-day de navegador ya está corriendo en uno de tus equipos? Nosotros sí. Pide una demo. → Ver planes y pedir demo
Fuente: Catálogo CISA KEV (Google Chromium V8, CVE-2026-11645) · NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-11645
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
Técnicas MITRE ATT&CK: T1203, T1189, T1059
- Explotación del navegador para ejecución en cliente · T1203 — Exploitation for Client Execution · regla 111705 · plan Essential
- Proceso hijo sospechoso lanzado desde Chrome · T1059 — Command and Scripting Interpreter · regla 111712 · plan Essential
- Drive-by compromise / descarga no solicitada · T1189 — Drive-by Compromise · regla 111718 · plan Professional
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.