Zero day de Chrome en WebGPU: qué pasa y cómo protegerte

La reciente vulnerabilidad zero day de Chrome en WebGPU ha encendido todas las alarmas en el mundo de la ciberseguridad. No hablamos de un fallo menor, sino de un bug crítico en Dawn, la capa que usa Chrome para hablar con la GPU a través del nuevo estándar WebGPU, y que está siendo aprovechado activamente por atacantes. Si usas Chrome o cualquier navegador basado en Chromium, este tema te afecta de lleno.

Google ha tenido que lanzar una actualización de seguridad de emergencia para cerrar esta brecha, catalogada oficialmente como CVE-2026-5281. El problema no solo permite hacer caer el navegador, sino que abre la puerta a ejecución de código y, potencialmente, a saltarse el sandbox del navegador desde una simple página web maliciosa. Si todavía no has revisado la versión de tu navegador, este es el momento.

Qué es el zero day de Chrome en WebGPU (CVE-2026-5281)

La vulnerabilidad que ha encendido todas las alertas se identifica como CVE-2026-5281. Se trata de un fallo de tipo use-after-free en Dawn, la biblioteca que implementa WebGPU en Chromium. En lenguaje llano, el navegador sigue utilizando una porción de memoria después de haberla liberado, algo que en un componente tan sensible como la capa gráfica puede derivar en corrupción de memoria y ejecución de código arbitrario.

Este bug impacta directamente en Dawn, la abstracción de GPU empleada por Chrome y otros navegadores basados en Chromium. Dawn se encarga de traducir las llamadas de la API WebGPU a instrucciones concretas para la GPU en cada plataforma. Si esa capa gestiona mal la memoria, un atacante puede aprovechar esa debilidad para manipular datos internos y tomar el control del proceso del navegador.

El fallo está siendo explotado activamente “in the wild”, algo que Google ha reconocido de forma explícita en su aviso de seguridad. Eso significa que no estamos ante un error teórico descubierto en laboratorio, sino ante un exploit real que ya se está usando en ataques, presumiblemente a través de páginas web maliciosas o sitios legítimos comprometidos.

Por todo ello, Google ha clasificado el problema como de criticidad muy elevada dentro de su boletín, y varias agencias como CISA lo han añadido de inmediato a sus catálogos de vulnerabilidades explotadas de forma conocida, imponiendo plazos estrictos a las administraciones públicas para parchear.

Desde un punto de vista técnico, el use-after-free en Dawn permite, tras manipular el flujo de la canalización gráfica, corromper estructuras de memoria asociadas al proceso de renderizado. Con la ingeniería adecuada, eso se puede encadenar para ejecutar código arbitrario, escapar del sandbox o, al menos, provocar caídas controladas del navegador que sirvan como punto de apoyo para otros ataques.

Google mantiene detalles técnicos restringidos sobre el bug y sobre el exploit utilizado. Es la estrategia habitual: se ocultan pormenores hasta que una masa crítica de usuarios haya actualizado, dificultando que otros actores de amenazas repliquen el ataque con facilidad mientras el parche se distribuye.

Actualización de Chrome y versiones afectadas

Para contener el impacto del zero day en WebGPU, Google ha publicado una actualización urgente de Chrome que eleva el navegador a la versión 146.0.7680.177/178, dependiendo de la plataforma. Es una actualización de seguridad prioritaria, no una simple versión rutinaria, y corrige un total de 21 vulnerabilidades, entre ellas CVE-2026-5281.

Las versiones afectadas abarcan el Canal Stable de Chrome en distintos sistemas operativos. En concreto, se consideran vulnerables todas las versiones inferiores a:

• Chrome Stable < 146.0.7680.177 en Linux.
• Chrome Stable < 146.0.7680.178 en Windows y macOS.

En el boletín interno también se menciona la línea de versiones destinadas a entornos corporativos y distribuciones específicas, pero el mensaje práctico es claro: si tu navegador no ha alcanzado como mínimo la rama 146.0.7680.177/178, se considera expuesto.

La actualización no solo corrige el zero day en Dawn, sino que aborda 21 fallos de seguridad en total, de los cuales la mayoría tienen severidad alta. Aun así, CVE-2026-5281 se lleva el protagonismo por estar bajo explotación activa y por afectar a una pieza tan delicada como la interacción directa con la GPU a través de WebGPU.

Es importante recordar que Chrome descarga actualizaciones en segundo plano, pero estas no se aplican por completo hasta que se reinicia el navegador. Muchas personas piensan que están protegidas solo porque Chrome se actualiza automáticamente, cuando en realidad llevan días con el navegador sin reiniciar y el parche sin terminar de instalarse.

Otros fallos corregidos junto al zero day en WebGPU

La versión que corrige el zero day de Chrome en WebGPU llega acompañada de un buen puñado de parches adicionales. En total, Google ha reconocido 21 vulnerabilidades abordadas en esta ronda, con un claro protagonismo de los problemas de memoria en distintas partes del navegador.

Entre los fallos de severidad alta se encuentran múltiples use-after-free y desbordamientos de búfer en componentes críticos. El listado simplificado de vulnerabilidades relevantes incluye, entre otras, las siguientes:

• CVE-2026-5273: use-after-free en el motor de CSS.
• CVE-2026-5272: desbordamiento de búfer en el componente GPU.
• CVE-2026-5274: overflow de entero en el módulo de códecs.
• CVE-2026-5275: heap buffer overflow en ANGLE (capa de compatibilidad gráfica).
• CVE-2026-5276: política de enforcement insuficiente en WebUSB.
• CVE-2026-5278: use-after-free en Web MIDI.
• CVE-2026-5279: corrupción de objetos en el motor V8.
• CVE-2026-5280: use-after-free en WebCodecs.
• CVE-2026-5284: nuevo use-after-free en Dawn.
• CVE-2026-5285: use-after-free en WebGL.
• CVE-2026-5287: use-after-free en el renderizador de PDF.
• CVE-2026-5288: use-after-free en WebView.
• CVE-2026-5289: use-after-free en la capa de navegación.
• CVE-2026-5290: use-after-free en la canalización de composición.

Como se ve, buena parte de los problemas se concentran en subsistemas de renderizado y gráficos: GPU, WebGL, Dawn, ANGLE, PDF, WebView, CSS… Estas áreas históricamente han sido una mina para investigadores y atacantes, por la complejidad de su lógica y la interacción constante con datos no confiables procedentes de páginas web.

También llama la atención la presencia de vulnerabilidades en V8 (el motor de JavaScript y WebAssembly) y en tecnologías asociadas a multimedia y dispositivos como WebCodecs, WebUSB o Web MIDI. Cualquiera de ellas, encadenada con el zero day de WebGPU, podría formar parte de cadenas de explotación más sofisticadas.

Además de estos fallos de severidad alta, Google señala dos vulnerabilidades de nivel medio en WebGL y WebCodecs. Aunque su impacto aislado sea menor, en el ecosistema actual los atacantes combinan a menudo vulnerabilidades de distintos niveles para construir exploits más fiables y eludir protecciones de la plataforma.

Zero days recientes de Chrome y patrón de ataques

El caso de CVE-2026-5281 no es un hecho aislado. Es ya el cuarto zero day de Chrome que Google corrige en lo que va de año, lo que deja claro que el navegador está bajo una presión constante por parte de actores de amenazas avanzados, a menudo vinculados a campañas de spyware o ataques dirigidos.

Los otros fallos explotados activamente en 2026 son:

• CVE-2026-2441: use-after-free en la parte de CSS (CSSFontFeatureValuesMap), parcheado a mediados de febrero.
• CVE-2026-3909: escritura fuera de límites (out-of-bounds write) en Skia, la biblioteca de gráficos 2D de Chrome, con un CVSS de 8,8.
• CVE-2026-3910: fallo en la implementación del motor V8 de JavaScript y WebAssembly, también con CVSS 8,8.

El patrón que se dibuja es bastante claro: vulnerabilidades de memoria (use-after-free, out-of-bounds, overflows) que afectan sobre todo a la capa gráfica (Skia, Dawn) y al motor de ejecución de código (V8). Es, básicamente, el tipo de bugs que lenguajes como Rust intentan evitar gracias a su modelo de seguridad de memoria.

Google lleva tiempo impulsando la reescritura de componentes críticos de Chrome en Rust, precisamente para minimizar este tipo de errores. Sin embargo, la pila gráfica y ciertas partes del navegador siguen dependiendo de grandes cantidades de código C/C++ heredado, donde encontrar bugs de memoria con fuzzers y técnicas avanzadas se ha convertido en casi un deporte de alto nivel entre investigadores y grupos de ataque.

En el caso concreto de Dawn y WebGL, un investigador identificado únicamente por el hash 86ac1f1587b71893ed2ad792cd7dde32 ha reportado en muy poco tiempo varias vulnerabilidades críticas, entre ellas CVE-2026-4675 y CVE-2026-4676, solucionadas a finales de marzo. Tres fallos importantes en el área de GPU en un margen tan corto apuntan a una campaña muy focalizada de análisis y fuzzing sobre este subsistema.

Más allá de los navegadores, el escenario general tampoco ayuda a relajarse: circulan otros zero days graves, como un exploit para Windows apodado BlueHammer capaz de elevar privilegios a SYSTEM en menos de un minuto sin parche disponible. Todo esto refuerza la idea de que el ritmo de descubrimiento y explotación de fallos críticos no va a bajar a corto plazo.

Riesgos prácticos del zero day en WebGPU

Desde la perspectiva de un usuario o de una organización, lo preocupante es qué puede conseguir un atacante con este fallo. En el caso de CVE-2026-5281, el bug en Dawn da a los atacantes una ruta directa desde una web maliciosa hacia la ejecución de código en el contexto del navegador, sin necesidad de interacción extra más allá de visitar la página.

WebGPU es, en esencia, el sucesor moderno de WebGL. Su objetivo es permitir que las páginas web puedan acceder de forma eficiente a la GPU para renderizado 3D, efectos visuales pesados, inferencia de modelos de IA y tareas de cómputo intensivo. Esa potencia se traduce también en una superficie de ataque considerable: cualquier error en cómo se gestionan recursos, colas de comandos o buffers puede tener consecuencias serias.

En este caso, un atacante que ya controla el proceso de renderizado, o que logra conducirlo a un estado concreto a través de HTML y JavaScript cuidadosamente elaborados, puede forzar condiciones de memoria corrupta en la canalización de GPU. Desde ahí, el paso a ejecutar código arbitrario, escalar privilegios dentro del navegador o eludir protecciones del sandbox es una posibilidad real.

El escenario típico de explotación sería un ataque drive-by: el usuario llega a una página maliciosa (o a un sitio legítimo que ha sido comprometido) a través de una campaña de phishing, enlaces en redes sociales, anuncios maliciosos (malvertising) o mensajes de mensajería instantánea. Basta con cargar la página para que el exploit intente aprovechar el fallo en Dawn.

En entornos corporativos, la combinación de esta vulnerabilidad con otras fallas del sistema operativo o de aplicaciones instaladas puede facilitar el movimiento lateral dentro de la red, el robo de credenciales o la distribución de spyware y herramientas de acceso remoto. Esto es especialmente delicado en organizaciones que manejan información confidencial, administraciones públicas o empresas con datos sensibles de clientes.

Navegadores y plataformas afectadas

Aunque el foco está en Google Chrome, la realidad es que la base de código de Chromium se reutiliza en muchos otros navegadores. Dawn, el componente que implementa WebGPU, forma parte precisamente de esa base común, de modo que el impacto de CVE-2026-5281 no se limita solo al navegador de Google.

Entre los navegadores potencialmente afectados mientras no se actualicen se encuentran:

• Google Chrome (todas las variantes basadas en Chromium Stable).
• Microsoft Edge, que comparte buena parte de la base de Chromium.
• Brave, centrado en privacidad pero sustentado en el mismo motor.
• Vivaldi, que ya anunció una actualización rápida tras el parche de Google.
• Opera y Arc, entre otros navegadores que dependen de Chromium.

En cuanto a sistemas operativos, el fallo afecta a usuarios de Windows, macOS y Linux. El componente Dawn se ejecuta en todas estas plataformas, adaptando las llamadas WebGPU al backend gráfico correspondiente. La diferencia principal está en la numeración de versiones: la rama 146.0.7680.177 cubre Linux, mientras que en Windows y macOS corresponde a 146.0.7680.177 o 146.0.7680.178 según la distribución.

CISA ha ido más allá al incluir CVE-2026-5281 en su catálogo de Known Exploited Vulnerabilities (KEV), imponiendo a las agencias federales estadounidenses una fecha límite (15 de abril) para aplicar el parche. Esta medida subraya que no se trata de un bug menor, sino de una vulnerabilidad que se está usando activamente en campañas reales.

Conviene también no perder de vista que muchas aplicaciones integran navegadores embebidos basados en WebView o motores Chromium. Si esas aplicaciones no se actualizan al ritmo del navegador principal, podrían seguir arrastrando versiones vulnerables y convertirse en un vector de ataque menos evidente.

Recomendaciones y medidas de mitigación

A nivel práctico, la medida más importante es actualizar el navegador cuanto antes. Dejar que el proceso automático actúe puede suponer días o incluso semanas de retraso, tiempo durante el cual el navegador sigue siendo vulnerable a exploits activos.

En el caso de Chrome, lo recomendable es ir manualmente a chrome://settings/help (o Menú > Ayuda > Información de Google Chrome) y comprobar la versión instalada. Debe aparecer, como mínimo, la rama 146.0.7680.177 en Linux y 146.0.7680.177/178 en Windows y macOS. Si el navegador empieza a descargar una actualización, espera a que termine y reinícialo por completo.

Para otros navegadores basados en Chromium, conviene revisar sus canales de actualización propios y aplicar los parches en cuanto estén disponibles. Edge, Brave, Vivaldi y Opera han ido publicando avisos a medida que integran los cambios de Chromium, por lo que es fundamental asegurarse de que no se ha quedado ningún navegador olvidado sin actualizar.

En entornos empresariales o de administración pública, lo ideal es distribuir el parche mediante políticas centralizadas (GPO en Windows, herramientas de gestión de endpoints, soluciones MDM, etc.). Esto evita depender de que cada usuario actualice por su cuenta y permite verificar de forma centralizada el nivel de parcheo de la flota.

Mientras se completa la actualización, y de forma general, tiene sentido reforzar las medidas de higiene digital básicas: extremar la precaución con enlaces recibidos por correo o mensajería, limitar el acceso a sitios desconocidos, evitar instalar extensiones de procedencia dudosa y controlar el uso de dispositivos externos que puedan abrir contenido web.

Las organizaciones que procesan información especialmente sensible, como muchas empresas y organismos en LATAM, deberían tratar los parches del navegador con la misma urgencia que los del sistema operativo. El navegador es hoy la principal puerta de entrada para ataques de phishing, malware y explotación de vulnerabilidades remotas.

Finalmente, conviene establecer un proceso interno para monitorizar fuentes oficiales como Chrome Releases, los avisos de CISA (KEV catalog) o los boletines de los fabricantes. Estar informado unos días antes puede marcar la diferencia entre ser vulnerable durante una ventana crítica o adelantarse a la ola de explotación masiva.

El zero day de Chrome en WebGPU ilustra hasta qué punto los navegadores modernos se han convertido en una pieza clave de la seguridad de cualquier sistema: un simple fallo de memoria en un componente gráfico como Dawn puede abrir una ruta directa desde una página web a la ejecución de código en el equipo, y la única defensa realista para la mayoría de usuarios pasa por mantener el navegador rigurosamente actualizado y asumir que cada nuevo parche crítico merece atención inmediata.

Artículo relacionado:

Descubren grave vulnerabilidad en Chrome aprovechada por ciberatacantes

Isaac

Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.