Chrome, el navegador web más popular del mundo, es también el más atacado; al fin y al cabo, cualquier vulnerabilidad, por pequeña que sea, garantiza el acceso a millones de ordenadores y smartphones.
Este dominio está empezando a ser preocupante, por otras razones. Nuevos navegadores están naciendo basados en el mismo código fuente de Chrome, concretamente, en Chromium, la versión de código abierto. El nuevo Edge de Microsoft, el navegador que más rápido está creciendo, es un ejemplo de ello.
El problema es que, una vez que se descubre un fallo de seguridad en Chromium, este no sólo afecta a Chrome sino a todos los navegadores basados en el mismo código; eso es justo lo que ha descubierto el investigador indio Rajvardhan Agarwal.
Fallo en Chrome
Agarwal ha publicado en Twitter y GitHub un método para saltarse la seguridad de Chrome para ejecutar código de manera remota en los ordenadores de las víctimas que visiten páginas web maliciosas. La manera en la que lo ha hecho público, y que este 'bug' aún no tenga solución para el usuario medio ha provocado que más de uno arquee la ceja, pero la veracidad del descubrimiento parece fuera de toda duda.
En concreto, la vulnerabilidad reside en V8, el motor de Javascript de Chromium; es la parte que se encarga de ejecutar el código presente en las páginas web que visitamos para renderizarlas y mostrarlas correctamente en la pantalla.
Aprovechándose de la vulnerabilidad, es posible realizar un ataque RCE (Remote Code Execution), ejecutando código malicioso en el sistema de la víctima a distancia y sin necesidad de saltarse la seguridad del sistema operativo, como Windows. Ese código puede ser malware, o un virus informático que a su vez tome el control del sistema e instale otros programas u obtenga acceso a los archivos almacenados.
El parche llegará
Por lo tanto, lo único que tiene que hacer la víctima para ser infectada es visitar una página web; por ejemplo, una que haya sido compartida por redes sociales o por apps de mensajería instantánea como WhatsApp. Eso es lo que realmente hace peligroso a este agujero de seguridad, ya que el usuario no tiene que hacer nada especial para ser infectado.
En la prueba de concepto enlazada por Agarwal, al visitar una página web se abre la Calculadora de Windows automáticamente y sin que el usuario haga nada.
Hay una buena y una mala noticia. La mala es que este agujero aún no ha sido tapado en la versión actual de Chrome, Edge, y otros navegadores web basados en Chromium; por lo tanto, puede ser aprovechado por atacantes en estos momentos.
La buena es que este bug ya ha sido identificado y solucionado, es sólo que la actualización con el parche aún no se ha hecho pública. La última versión del motor V8 ya no puede ser hackeada de esta manera y por lo tanto, es sólo una cuestión de tiempo que llegue a los usuarios.Es algo que ya ocurrió en febrero, cuando se publicó una actualización contra un agujero de seguridad en Chrome.
Mientras tanto, es recomendable que los usuarios siempre tengan cuidado de las páginas web en las que entran, especialmente si son enlaces sospechosos o que intentan parecerse a webs conocidas.