Seguir 
Los zero-days de Chrome continúan representando un riesgo importante para los defensores cibernéticos. A principios de este año, Google parchó CVE-2026-2441, el primer zero-day de Chrome explotado activamente en 2026. Ahora, se ha lanzado otra actualización de emergencia, corrigiendo dos fallas más ya explotadas en la naturaleza, CVE-2026-3910 en el motor V8 JavaScript y WebAssembly de Chrome y CVE-2026-3909, un error de escritura fuera de límites en Skia.
Google describe CVE-2026-3910 como un problema de implementación inapropiada en Chrome V8. En esencia, una página HTML diseñada puede permitir que un atacante remoto ejecute código arbitrario dentro del entorno seguro del navegador.
El último parche de emergencia de Chrome aterriza en un contexto de creciente amenaza de zero-days. El Grupo de Inteligencia de Amenazas de Google rastreó 90 zero-days explotados en la naturaleza en 2025, frente a 78 en 2024, y encontró que las tecnologías empresariales representaron 43 casos, o un récord del 48% de la explotación observada.
Regístrese en la Plataforma de Inteligencia de Detección AI-Nativa de SOC Prime, respaldada por tecnologías de vanguardia y la mejor experiencia en ciberseguridad para superar las amenazas cibernéticas y construir una postura cibernética resiliente. Haga clic Explorar Detecciones para acceder a la colección completa de contenido SOC para la detección de explotación de vulnerabilidades, filtrado por la etiqueta personalizada “CVE”.
Las detecciones del conjunto de reglas dedicadas se pueden aplicar en más de 40 plataformas SIEM, EDR y Data Lake y están mapeadas al último marco de trabajo MITRE ATT&CK® v18.1. Los equipos de seguridad también pueden aprovechar Uncoder AI para acelerar la ingeniería de detección end-a-fin generando reglas directamente desde informes de amenazas en vivo, refinando y validando la lógica de detección, autovisualizando Flujos de Ataque, convirtiendo IOCs en consultas de caza personalizadas e instantáneamente traduciendo código de detección a través de diversos formatos de lenguaje.
Análisis de CVE-2026-3910
Según el aviso de seguridad de Google, CVE-2026-3910 es una vulnerabilidad de alta gravedad en V8, el motor JavaScript y WebAssembly utilizado por Chrome. Puede ser desencadenada a través de una página HTML diseñada y puede permitir la ejecución de código arbitrario dentro del entorno seguro del navegador. Dado que V8 procesa contenido activo durante la navegación normal, la explotación puede comenzar con algo tan simple como visitar un sitio web malicioso o comprometido.
El riesgo es considerable porque Chrome está profundamente integrado en el trabajo empresarial diario. Una falla V8 explotada activamente puede convertir la navegación ordinaria en un camino para el robo de credenciales, la entrega de código malicioso o un compromiso más amplio, especialmente cuando se combina con otros errores o phishing.
Google ha confirmado que CVE-2026-3910 está siendo explotada en la naturaleza, pero no ha publicado detalles técnicos sobre la cadena de explotación.
La misma actualización de Chrome también corrigió CVE-2026-3909, una vulnerabilidad de escritura fuera de límites de alta gravedad en la biblioteca gráfica Skia. Google dice que la falla también está siendo explotada en la naturaleza. Debido a que afecta a otro componente central del navegador y se corrigió en el mismo lanzamiento de emergencia, las organizaciones deberían aplicar la actualización completa sin demora en lugar de centrarse solo en CVE-2026-3910.
Mitigación de CVE-2026-3910
La mitigación recomendada es actualizar Chrome inmediatamente a la última versión estable parcheada. Google dice que las versiones de escritorio corregidas son 146.0.7680.75 y 146.0.7680.76 para Windows y macOS y 146.0.7680.75 para Linux. Debido a que Google ha confirmado la explotación en la naturaleza, las organizaciones deben priorizar la actualización en todos los endpoints de empleados, estaciones de trabajo de administradores y sistemas compartidos utilizados para navegar.
Las organizaciones que utilizan navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi también deberían estar atentas a los parches correspondientes del proveedor, ya que esos productos pueden heredar la exposición del mismo código base subyacente.
Además, al aprovechar la Plataforma de Inteligencia de Detección AI-Nativa de SOC Prime respaldada por la mejor experiencia en defensa cibernética, las organizaciones globales pueden adoptar una postura de seguridad resiliente y transformar su SOC para siempre estar adelante de las amenazas emergentes vinculadas a la explotación de zero-days.
FAQ
¿Qué es CVE-2026-3910 y cómo funciona?
CVE-2026-3910 es una vulnerabilidad de alta gravedad en el motor V8 JavaScript y WebAssembly de Chrome. Google la describe como un defecto de implementación inapropiado que puede ser desencadenado con una página HTML diseñada, permitiendo a un atacante remoto ejecutar código arbitrario dentro del entorno seguro del navegador.
¿Cuándo se descubrió por primera vez CVE-2026-3910?
El aviso de Google dice que la vulnerabilidad fue reportada el 10 de marzo de 2026.
¿Cuál es el impacto de CVE-2026-3910 en los sistemas?
El riesgo principal es que el contenido web malicioso podría desencadenar la ejecución de código dentro del entorno seguro del navegador Chrome. En ataques reales, eso puede convertir la navegación rutinaria en un punto de entrada para el robo de credenciales, la entrega de malware o un compromiso adicional cuando se combina con otras técnicas.
¿CVE-2026-3910 todavía puede afectarme en 2026?
Sí. Cualquier instalación de Chrome que aún no se haya actualizado a la versión parcheada puede seguir expuesta. Google dice explícitamente que los exploits para CVE-2026-3910 existen en la naturaleza.
¿Cómo puedo protegerme de CVE-2026-3910?
Actualice Chrome a la versión 146.0.7680.75 o 146.0.7680.76 en Windows y macOS o 146.0.7680.75 en Linux, luego reinicie el navegador para asegurarse de que se está ejecutando la versión parcheada. Las organizaciones que utilicen alternativas basadas en Chromium deberían aplicar las correcciones del proveedor tan pronto como estén disponibles.
