Chrome Zero-Day CVE-2026-11645: Tu navegador es la puerta de entrada y ya la están usando

TL;DR — Lo que necesitas saber

• CVE-2026-11645 es un zero-day activo en el motor V8 de Chrome con CVSS 8.8 (Alta).
• Permite ejecución de código arbitrario con solo visitar una página web maliciosa.
• Google lo parchó el 9 de junio de 2026. Es el quinto zero-day de Chrome en lo que va del año.
• Afecta a todo navegador basado en Chromium: Chrome, Edge, Brave, Vivaldi, Opera y apps Electron.
• Actualiza a Chrome 149.0.7827.102+ inmediatamente y reinicia el navegador.
• En Chile, no parchear una vulnerabilidad de esta severidad te expone a sanciones bajo la Ley Marco de Ciberseguridad (21.663).

Qué es CVE-2026-11645 y por qué es grave

El 9 de junio de 2026, Google publicó un parche de emergencia corrigiendo 74 vulnerabilidades en Chrome. Una de ellas — CVE-2026-11645 — ya estaba siendo explotada activamente antes de que existiera solución.

La falla reside en V8, el motor que ejecuta JavaScript y WebAssembly en todos los navegadores Chromium. Un error en el compilador JIT (TurboFan) permite que código JavaScript malicioso logre lecturas y escrituras fuera de los límites de memoria asignada. El resultado: ejecución de código arbitrario dentro del sandbox del navegador.

El investigador anónimo “303f06e3” reportó el bug el 27 de abril de 2026. Google pagó $55,000 USD de recompensa — una cifra que refleja la severidad del hallazgo.

El HKCERT (Hong Kong CERT) clasificó la amenaza como “Extremely High Risk” por confirmarse explotación activa global.

Cómo funciona el exploit — sin rodeos

El problema: TurboFan elimina protecciones que no debería

V8 compila JavaScript en dos fases:

1. Ignition interpreta el código y genera bytecode
2. TurboFan optimiza las funciones “calientes” compilándolas a código máquina nativo

TurboFan aplica optimizaciones especulativas: asume tipos de datos y elimina comprobaciones de límites que considera redundantes. Cuando esas suposiciones son incorrectas, se abre un agujero de seguridad.

En CVE-2026-11645, el atacante diseña JavaScript que engaña a TurboFan para que elimine boundary checks en operaciones sobre arrays. El resultado son dos primitivas de ataque:

Lectura fuera de límites (CWE-125)

El código malicioso lee memoria más allá del array asignado. Esto filtra punteros internos, estructuras de objetos V8 y direcciones de memoria reales. Con esta información, el atacante neutraliza ASLR (la aleatorización del espacio de direcciones que protege el proceso).

Escritura fuera de límites (CWE-787)

Con ASLR derrotado, el atacante escribe datos controlados en memoria arbitraria. Corrompe punteros de función y desvía el flujo de ejecución hacia su propio payload. El navegador ahora ejecuta código del atacante.

¿Qué logra con esto?

Dentro del sandbox puede:

• Robar tokens de sesión de aplicaciones web corporativas (CRM, ERP, banca)
• Capturar credenciales y cookies de autenticación
• Monitorear la actividad de la pestaña
• Instalar un implante persistente en el proceso de renderizado

Si encadena este exploit con una falla de escape de sandbox (del kernel o del broker process de Chrome), obtiene control total del equipo.

Métricas CVSS: por qué un 8.8 es alarmante

La interacción requerida (un clic) es la única barrera. Y esa barrera se rompe con un correo de phishing bien construido.

Cómo te atacan: dos vectores principales

1. Spear-phishing dirigido

El empleado recibe un correo que imita a un proveedor, banco o servicio interno. El enlace lleva a una página que explota V8 de forma invisible. No necesita descargar nada — basta con renderizar el HTML.

2. Watering hole (pozo de agua)

El atacante compromete un sitio legítimo que tus empleados visitan frecuentemente (portal gremial, medio especializado, foro técnico). Al navegar normalmente, el navegador procesa el JavaScript malicioso inyectado. Ni siquiera hay un enlace sospechoso.

En ambos casos, la explotación ocurre en milisegundos. El usuario no ve nada anormal.

2026: el año de los zero-days en Chromium

CVE-2026-11645 no es un caso aislado. Es el quinto zero-day activo parchado en Chrome solo en el primer semestre:

El patrón es claro: los actores de amenazas invierten masivamente en ingeniería inversa de Chromium porque un solo exploit viable compromete el ~70% de los navegadores de escritorio del mundo.

Qué hacer ahora — pasos concretos

1. Actualiza Chrome inmediatamente

Las versiones parcheadas son:

Ve a chrome://settings/help → el navegador descarga el parche → reinicia obligatoriamente. Sin reinicio, el fix no se carga en memoria.

2. Verifica que Google Update no esté bloqueado

Revisa que tus GPOs de Active Directory no estén inhibiendo el servicio de actualización. Verifica que firewalls y proxies no bloqueen los endpoints de Google Update.

3. Parchea todo el ecosistema Chromium

No olvides Edge, Brave, Vivaldi, Opera y especialmente aplicaciones Electron (Slack, VS Code, Teams, etc.) que empaquetan versiones de V8 que pueden no actualizarse automáticamente.

4. Refuerza la capa humana

Con UI:R como único requisito, la defensa anti-phishing es crítica. Asegúrate de que tu equipo pueda identificar correos sospechosos. Implementa simulaciones periódicas.

5. Implementa detección y respuesta (XDR/EDR)

Si un equipo se compromete antes del parche, necesitas visibilidad. Un EDR bien configurado puede detectar comportamiento anómalo del proceso de renderizado y cortar la cadena de ataque antes del escape de sandbox.

Implicancias legales en Chile

Ley Marco de Ciberseguridad (21.663)

Vigente desde enero 2025, exige:

• Seguridad por diseño (Art. 8): gestionar tus sistemas con la seguridad como prioridad, no como afterthought
• Racionalidad en la gestión de riesgos (Art. 7): las medidas deben ser proporcionales al nivel de exposición

Ignorar un zero-day CVSS 8.8 explotado activamente cuando el parche ya existe es difícil de defender ante la ANCI.

Ley de Protección de Datos Personales (21.719)

Vigente desde diciembre 2026. Si un atacante explota esta falla para exfiltrar datos personales de tus clientes y la investigación muestra que no habías parcheado, la responsabilidad es directa. Las multas son significativas.

Ley de Delitos Informáticos (21.459)

Tipifica el acceso ilícito y la alteración de datos. Si bien persigue al atacante, la convergencia con las leyes anteriores establece la responsabilidad de la empresa por no implementar medidas razonables de protección.

Conclusión

CVE-2026-11645 es el recordatorio número cinco del año de que depender de un solo motor de navegador para toda tu operación corporativa conlleva riesgo sistémico. El parche existe — aplícalo hoy. Pero el patrón de cinco zero-days en seis meses exige ir más allá del parcheo reactivo.

La pregunta no es si habrá un CVE-2026-XXXXX siguiente. Es si tu organización tendrá la capacidad de responder en horas, no en semanas.

Fuentes citadas

1. Chrome V8 Zero-Day CVE-2026-11645 Exploited in the Wild — The Hacker News
2. Google patches new Chrome zero-day flaw exploited in the wild — BleepingComputer
3. Google patches Chrome zero-day exploited in the wild (CVE-2026-11645) — Help Net Security
4. Google Chrome Multiple Vulnerabilities — HKCERT
5. CVE-2026-11645 | Tenable®
6. Ley Marco de Ciberseguridad — Biblioteca del Congreso Nacional
7. Leyes Clave para la Ciberseguridad en Chile — Contraloría USACH

En HDTI ayudamos a empresas en Chile a responder ante vulnerabilidades críticas como CVE-2026-11645. Nuestro equipo de ciberseguridad implementa gestión centralizada de parches, auditorías de configuración de endpoints y estrategias de defensa en profundidad para que un zero-day no se convierta en un incidente de seguridad.

Si no tienes certeza de que todos tus equipos están parcheados, o necesitas un plan de respuesta ante vulnerabilidades activas, conversemos.

Solicita una asesoría de ciberseguridad