Google ha solucionado el quinto fallo de seguridad cero día en Chrome durante 2026, una vulnerabilidad que estaba siendo activamente explotada y que ha supuesto un pago de 55.000 dólares para el investigador que la reportó. Identificada como CVE-2026-11645, esta falla consistía en un acceso fuera de límites en la memoria dentro del motor V8, el corazón del sistema JavaScript de Chrome.
La compañía confirmó que el fallo se usaba en ataques en la vida real, pero ha decidido limitar la información técnica divulgada para evitar que otros puedan aprovecharlo antes de que los usuarios actualicen sus navegadores. La corrección ya está disponible en las versiones estables de Chrome para Windows, macOS y Linux.
El hallazgo fue reportado el 27 de abril por un investigador identificado como «303f06e3», y la cuantiosa recompensa indica la gravedad con la que Google valora esta vulnerabilidad, especialmente por su implicación en el motor V8. Este componente ha sido un objetivo frecuente en incidentes de seguridad en Chrome a lo largo de los años.
Este caso es el quinto fallo cero día explotado y parcheado en Chrome en lo que va de año. Google comenzó 2026 parcheando CVE-2026-2441, un error tipo use-after-free en CSS, seguido de dos nuevos casos en marzo (CVE-2026-3909 y CVE-2026-3910) y otra vulnerabilidad explotada, CVE-2026-5281, corregida en abril. Así, la cifra de vulnerabilidades parchadas en lo que va de año ya supera la mitad del total registrado durante todo 2025, cuando Google corrigió ocho fallos.
Aunque no hay evidencias que este último fallo se haya utilizado en ataques masivos, los errores cero día suelen emplearse en operaciones dirigidas hasta que está disponible el parche. Tras la corrección, tanto investigadores como cibercriminales analizan las modificaciones para comprender los detalles técnicos y desarrollar posibles exploits.
Desde Google recuerdan a los usuarios la necesidad de mantener Chrome actualizado, reiniciando el navegador tras la instalación para evitar dar ventaja a posibles atacantes.
