Una nueva amenaza se cierne sobre millones de usuarios de Internet: Google ha confirmado y corregido una vulnerabilidad crítica en Chrome, identificada como CVE-2025-4664, que ya está siendo explotada activamente por actores maliciosos. Esta situación ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a incluir la falla en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
¿Qué es CVE-2025-4664 y por qué es tan peligrosa?
Esta vulnerabilidad se origina en una implementación incorrecta de las políticas de seguridad en el componente Loader del navegador. En términos prácticos, permite que un sitio web malicioso obtenga acceso a datos sensibles entre orígenes que deberían estar aislados, una violación directa del principio de la política del mismo origen (SOP).
El ataque puede facilitar la exfiltración de datos, como tokens de sesión, credenciales temporales o información personal, especialmente en contextos con autenticación OAuth. Esto representa un riesgo significativo para la integridad de cuentas, incluyendo posibles secuestros de sesiones.
La técnica de explotación involucra el uso de una página HTML especialmente diseñada que abusa de cómo Chrome gestiona las cabeceras Link y las políticas referrer-policy, redirigiendo información crítica a servidores no autorizados sin el conocimiento del usuario.
¿Qué versiones están afectadas?
La falla afecta a todas las versiones de Chrome anteriores a la 136.0.7103.113/.114, independientemente del sistema operativo (Windows, macOS o Linux). También se ha confirmado que otros navegadores basados en Chromium, como Microsoft Edge, Brave y Opera, podrían verse comprometidos si no han integrado el parche más reciente.
¿Cómo se explota?
Aunque la vulnerabilidad requiere que el usuario acceda voluntariamente a una página web maliciosa, técnicas comunes de ingeniería social (como correos de phishing o enlaces engañosos) hacen que esta barrera sea fácilmente superable.
Una vez que el usuario visita el sitio malicioso, se activan los mecanismos de filtrado no autorizado, permitiendo que los atacantes intercepten información privada sin requerir permisos especiales ni alertas visibles para la víctima.
Medidas de mitigación y actualización
La inclusión de esta vulnerabilidad en el KEV implica que las agencias gubernamentales de EE. UU. tienen hasta el 5 de julio de 2025 para aplicar la corrección, como medida obligatoria de ciberseguridad.
Para todos los usuarios y organizaciones, la recomendación inmediata es actualizar Chrome a su última versión. Aquellos que gestionen las actualizaciones de forma manual deben cerrar completamente el navegador y reiniciarlo para asegurarse de que los cambios se apliquen correctamente.
Microsoft ya ha implementado el parche en Edge, y se espera que otros navegadores Chromium hagan lo mismo en breve.
Conclusión: una llamada a la vigilancia
CVE-2025-4664 es un recordatorio contundente de que incluso los navegadores más populares y aparentemente seguros no están exentos de errores críticos. En un entorno digital donde la privacidad y la autenticación son moneda de cambio, una vulnerabilidad como esta puede tener consecuencias devastadoras si no se actúa con rapidez.
Por ello, mantener los navegadores actualizados, practicar una navegación segura y estar al tanto de alertas como esta son pasos clave para reducir riesgos y mantenernos protegidos frente a amenazas que evolucionan día a día.
