Google ha publicado una actualización de seguridad para Chrome después de confirmar que una vulnerabilidad en el navegador ya está siendo explotada. El fallo se identifica como CVE-2026-11645 y afecta a versiones anteriores a Chrome 149.0.7827.103, según la ficha técnica de la National Vulnerability Database del NIST.
No hace falta imaginar una escena de película. En la práctica, el riesgo puede empezar con algo tan cotidiano como abrir una web preparada para aprovechar el fallo. Por eso el mensaje es sencillo, conviene actualizar Chrome cuanto antes y reiniciar el navegador después.
Qué ha pasado
El equipo de Chrome publicó el aviso el 8 de junio de 2026 dentro de una actualización del canal estable para Windows, Mac y Linux. Google indica que el parche irá llegando durante los próximos días o semanas, aunque los usuarios pueden forzar la comprobación desde la página de ayuda del propio navegador.
La actualización no arregla un solo problema. En total, corrige 74 fallos de seguridad de distinta gravedad, incluidos varios marcados como críticos por Google y otros de gravedad alta. Entre ellos aparece CVE-2026-11645, el que más preocupa porque Google reconoce que ya existe un exploit activo.
El fallo en V8
El problema está en V8, el motor que Chrome usa para ejecutar JavaScript y WebAssembly. Dicho sin rodeos, es una pieza clave que permite que muchas páginas web funcionen con menús, formularios, vídeos, aplicaciones y servicios interactivos.
La vulnerabilidad permite leer y escribir fuera de los límites de memoria permitidos. Esa frase suena técnica, pero la idea es simple, el navegador acaba tocando zonas de memoria que no debería. Según el NIST, un atacante remoto podría usar una página HTML manipulada para ejecutar código dentro del entorno protegido del navegador.
Por qué es urgente
Una vulnerabilidad de día cero es un fallo que los atacantes pueden aprovechar antes de que el parche esté instalado de forma masiva. Aquí el matiz importa. La ficha oficial la clasifica como de gravedad alta, no como crítica, pero el hecho de que ya esté en uso eleva la prioridad real para cualquier usuario.
La Agencia de Ciberseguridad e Infraestructura de Estados Unidos incluyó CVE-2026-11645 en su catálogo de vulnerabilidades explotadas conocidas. Ese catálogo se usa para marcar fallos que ya están siendo aprovechados y que necesitan medidas rápidas, no simples recordatorios para cuando haya tiempo.
Cómo actualizar Chrome
Para comprobarlo, basta con abrir Chrome, entrar en el menú de los tres puntos, ir a Ayuda y después a Información de Google Chrome. El navegador buscará la actualización y pedirá reiniciar si ya está lista.
Las versiones corregidas indicadas por Google son 149.0.7827.102 y 149.0.7827.103 para Windows y Mac, y 149.0.7827.102 para Linux. En Mac, la referencia principal que aparece en la ficha CVE es 149.0.7827.103.
No solo Chrome
El aviso también interesa a quienes usan navegadores basados en Chromium. Microsoft Edge, Brave, Opera o Arc comparten parte de la base técnica de Chrome, aunque cada uno publique sus propias actualizaciones y calendarios.
Microsoft, por ejemplo, confirmó el 9 de junio de 2026 una actualización de Edge Stable que incorpora los parches de seguridad del proyecto Chromium e incluye una corrección para CVE-2026-11645. En otras palabras, no basta con pensar «yo no uso Chrome» si el navegador también depende de Chromium.
Millones de usuarios expuestos
Chrome sigue siendo el navegador más usado del mundo. StatCounter situó su cuota global en el 70,25 por ciento en mayo de 2026, muy por delante de Safari, Edge, Firefox, Samsung Internet y Opera.
Ese dominio cambia la escala del problema. Un fallo en Chrome no afecta a un pequeño grupo de usuarios avanzados, sino a hogares, colegios, empresas, administraciones y móviles usados cada día. Es como una cerradura común en millones de puertas.
El otro debate de Chrome
El aviso llega en un momento en el que Chrome también está bajo lupa por sus nuevas funciones de inteligencia artificial. Google explica en su ayuda oficial que Chrome puede descargar modelos de IA generativa en segundo plano para funciones como ayuda de escritura, avisos de estafa, resúmenes de páginas u organización de pestañas.
La documentación de Chrome for Developers añade que Gemini Nano puede cambiar de tamaño según las actualizaciones y que el usuario puede comprobar su estado desde una página interna del navegador. También indica que el modelo puede volver a descargarse si se cumplen de nuevo los requisitos del dispositivo.
Lo que falta por saber
Google no ha publicado todos los detalles técnicos del fallo. La compañía suele restringir esa información hasta que la mayoría de usuarios haya instalado el parche, para no dar una guía demasiado útil a quienes quieran copiar el ataque.
Por ahora, la medida razonable es comprobar la versión, actualizar y reiniciar. También conviene revisar Edge u otros navegadores Chromium instalados en el ordenador. Puede parecer una tarea menor, de esas que uno deja para luego, pero esta vez el «luego» es justo el hueco que aprovechan los atacantes.
El aviso oficial se ha publicado en Chrome Releases.
