Una de las maneras más fáciles de protegernos contra ataques hacker es, simplemente, mantener nuestras apps actualizadas. Aunque existen fallos de seguridad que aún no tienen solución, los buenos desarrolladores no tardan mucho en parchear sus programas en cuanto la vulnerabilidad se da a conocer.

Ese es el caso de Google, que esta semana ha lanzado una nueva actualización para su navegador Chrome que ningún usuario debería perderse; y no porque tenga nuevas funciones o sea más rápido, sino porque tapa un agujero de seguridad que ya era conocido por atacantes, lo que se conoce como un ‘bug de día cero’.

Los ‘bugs de día cero’ son aquellos fallos que no son conocidos por los creadores del programa. Normalmente son descubiertos por un tercero, que no avisa a los desarrolladores (como haría un hacker de sombrero blanco) porque prefiere aprovecharlo para su propio beneficio; en otras palabras, un hacker o un atacante que tiene planes para entrar en sistemas ajenos o realizar ataques masivos.

‘Bug de día cero’ en Chrome

Esa es la naturaleza del fallo de seguridad descubierto por Google y hecho público esta semana; en realidad, la compañía ya tenía constancia de la existencia de este agujero, pero prefirió no decir nada hasta que tuviese la solución. Es una práctica habitual en el sector de la ciberseguridad, ya que el objetivo es que la vulnerabilidad sea aprovechada por la menor cantidad de atacantes posible. Una vez que se ha publicado la actualización, se hace lo contrario: el error se hace público para que la mayor cantidad de gente posible actualice sus equipos.

Por lo tanto, la buena noticia es que ya hay una actualización que soluciona el problema; concretamente, debemos tener instalada la versión 119.0.6045.199 o superior de Chrome. Normalmente, Chrome debería actualizarse por sí solo o a través de la tienda de apps que usemos, pero si no lo ha hecho recientemente, lo recomendable es actualizar lo antes posible; en Android, eso se hace fácilmente a través de Google Play.

La vulnerabilidad ha recibido el código CVE-2023-6345, y dos grupos de investigadores pertenecientes al grupo de análisis de amenazas de Google la reportaron a finales de la semana pasada. Los detalles concretos del fallo aún no se conocen, ya que Google ha preferido mantenerlos en secreto hasta que la mayoría de los usuarios haya actualizado sus navegadores; eso indica la gravedad del problema y que de hacerse público, podría favorecer la aparición de nuevos ataques.

Pese a este secretismo, Bleeping Computer cree que es posible aprovechar la vulnerabilidad para ataques de ‘spyware’, programas maliciosos capaces de espiar al usuario y obtener su información privada.

Te puede interesar