¡Alerta! Hackean Google Chrome con un solo clic: 3.000 millones de personas estarían vulnerables

Jose Pino, un hacker ético e investigador de ciberseguridad de 29 años, descubrió y divulgó una falla de seguridad masiva que compromete la estabilidad de los navegadores más usados del mundo, poniendo en riesgo potencial a más de 3.000 millones de usuarios.

La vulnerabilidad, denominada “Brash”, afecta al motor Blink, el corazón de navegadores como Google Chrome, Microsoft Edge, Brave, Opera y Vivaldi, así como a los integrados en asistentes de IA como ChatGPT Atlas. Su peligro radica en su simplicidad: basta con que un usuario visite una página web maliciosa para que su navegador y todo su sistema operativo se colapsen en cuestión de segundos.

¿Cómo opera “Brash”?

En una exclusiva entrevista para Caracol Radio, Pino explicó de manera clara el mecanismo de este exploit que tiene en vilo a la comunidad tecnológica.

“Brash es una inspiración de nombre entre una combinación de browser crash (la ‘B’ y la ‘R’ de browser y la ‘ASH’ de crash)“, detalló el experto. ”Básicamente, lo que hace es ‘romper el navegador’“.

¿Y cómo lo logra? El fallo aprovecha un error en la forma en que estos navegadores gestionan las actualizaciones del título de una pestaña. Un atacante puede programar un sitio web para que envíe miles de millones de solicitudes de cambio de título por segundo. Al no existir un límite para esta acción, el navegador se satura, consumiendo hasta más de 18 GB de memoria RAM y colapsando la CPU hasta forzar el cierre total del programa o incluso congelar el computador.

“El problema es más serio de lo que parece”, advirtió Pino. "Puede gestionar la pérdida de datos de personas que no hayan guardado la información mientras trabajan e incluso afectar a traders con operaciones programadas, causándoles grandes pérdidas monetarias".

Un riesgo real y presente: ¿Por qué es tan grave?

La magnitud de Brash es monumental. Los navegadores basados en Chromium concentran más del 70% del mercado global. A diferencia de otros virus que requieren descargar archivos, Brash no necesita que el usuario haga nada más que hacer clic en un enlace malicioso, ya sea recibido por correo, mensajería o redes sociales.

El investigador colombiano reportó el fallo al equipo de seguridad de Chromium (impulsado por Google) el 28 de agosto, siguiendo los protocolos de divulgación responsable. Sin embargo, la falta de una respuesta contundente y un parche oficial después del tiempo estipulado lo llevó a hacer pública la información para concienciar a los usuarios.

“En las políticas de divulgación responsable, si después de 30 días no has recibido respuestas, tienes todo el derecho de divulgar públicamente la vulnerabilidad para que el público pueda tomar conciencia y prevenir“, explicó Pino a Caracol Radio.

Cómo proteger su computador: Guía de supervivencia digital

Mientras Google y las demás compañías trabajan en una solución definitiva, los usuarios estamos expuestos. Pino mismo entregó recomendaciones cruciales para identificar y evitar ser víctima de Brash.

Síntomas de un posible ataque:

• Su navegador comienza a funcionar extremadamente lento de repente.
• La pestaña que está viendo deja de responder sin razón aparente.
• Su computadora entera se ralentiza notablemente mientras tiene el navegador abierto.
• Puede notar un pico de actividad inusual en el Administrador de tareas en procesos como chrome.exe o msedge.exe.

Medidas de protección inmediatas:

1. Extremo cuidado con los enlaces: No abra enlaces de remitentes desconocidos o en mensajes sospechosos. Es la regla de oro.
2. Use un navegador alternativo para enlaces dudosos: Si necesita abrir un enlace que no te inspira confianza, hágalo en un navegador que no use Chromium, como Mozilla Firefox o Safari.
3. Bloquee JavaScript por defecto: Instale extensiones de seguridad como NoScript o uMatrix, que le permiten bloquear scripts automáticamente y solo permitirlos en sitios de su total confianza.
4. Navegación en modo aislamiento: Para tareas críticas, utilice perfiles aislados o incluso una máquina virtual para navegar, lo que contiene el daño en caso de un ataque.

“En un mundo hiperconectado, donde gobiernos, empresas y ciudadanos dependen de los navegadores web para casi todo, una falla de este calibre demuestra cuán frágil puede ser la infraestructura digital global. No se trata de asustar a nadie, sino de recordar que toda tecnología puede fallar y no hay que confiarse", fue el mensaje final del experto.