Kaspersky identificó una vulnerabilidad de Día Cero en Google Chrome que permitía a los atacantes eludir la protección de sandbox del navegador con un único clic en un enlace malicioso. El hallazgo fue clave para la corrección de la falla, evitando potenciales daños a gran escala.
Imagen:Kaspersky
A mediados de marzo de 2025, Kaspersky, una de las principales firmas de ciberseguridad, descubrió una vulnerabilidad de Día Cero en Google Chrome (CVE-2025-2783) que permitió a los atacantes evadir el sistema de protección de sandbox del navegador, comprometiendo de manera invisible los sistemas de los usuarios. Esta vulnerabilidad se encontraba en una de las versiones más recientes de Chrome y no requería de interacción alguna más allá de hacer clic en un enlace malicioso, lo que lo hacía especialmente peligroso.
El exploit descubierto se enmarca dentro de una sofisticada campaña de ciberespionaje, conocida como “Operación ForumTroll”, que estaba dirigida principalmente a organizaciones gubernamentales, medios de comunicación y entidades educativas en Rusia. Según el informe emitido por Kaspersky, los atacantes utilizaron correos electrónicos de phishing personalizados como señuelos, invitando a los destinatarios a participar en un foro internacional denominado “Primakov Readings”. Los enlaces maliciosos, que solo estaban activos por períodos muy breves, redirigían inicialmente a una página legítima del evento. Sin embargo, tras hacer clic en el enlace, el exploit aprovechaba la vulnerabilidad para eludir la protección de seguridad del navegador y comprometer el sistema del usuario.
Una vez activado el exploit, el sistema de la víctima quedaba expuesto sin realizar ninguna acción visible o directamente maliciosa por parte del atacante. El hecho de que el ataque se ejecutara sin generar señales de alerta significaba que los usuarios afectados no podían detectar la amenaza, lo que hacía aún más difícil su mitigación. Este tipo de ataques, con técnicas avanzadas de evasión, son indicativos de que los actores detrás de ellos tienen una experiencia técnica considerable y recursos significativos para llevar a cabo sus operaciones.
El equipo de Investigación y Análisis Global de Kaspersky (GReAT) se encargó de analizar el exploit, confirmando que formaba parte de una cadena más compleja de vulnerabilidades. La vulnerabilidad de Día Cero en Chrome era solo el primer eslabón en una cadena de ataques que incluía un exploit de ejecución remota de código (RCE), utilizado para iniciar el ataque, seguido de la evasión de la sandbox, lo que permitía a los atacantes tomar control de los sistemas sin ser detectados.
A raíz de esta identificación, Kaspersky alertó a Google, que emitió un parche de seguridad el 25 de marzo de 2025, cerrando la brecha de seguridad en Chrome y protegiendo a los usuarios afectados. El análisis de la vulnerabilidad también apuntó a la participación de un grupo de Amenaza Persistente Avanzada (APT), conocido por su capacidad para llevar a cabo ciberespionaje sofisticado a gran escala.
El director del equipo de GReAT para América Latina, Fabio Assolini, comentó sobre la gravedad de la vulnerabilidad, destacando que “la sofisticación técnica de este exploit es impresionante, ya que el atacante eludió la protección de la sandbox sin realizar operaciones maliciosas evidentes, lo que pone de manifiesto la capacidad técnica del grupo detrás de este ataque. Este descubrimiento subraya la necesidad urgente de que todos los usuarios mantengan sus sistemas y navegadores actualizados para prevenir posibles daños”.
Este hallazgo se produce en un contexto donde las amenazas de ciberseguridad continúan evolucionando rápidamente. A principios de 2024, el equipo de Kaspersky también había identificado otro exploit de Día Cero en Chrome (CVE-2024-4947), utilizado por el grupo APT Lazarus en una campaña de robo de criptomonedas. Este patrón de explotación de vulnerabilidades en navegadores web refleja la creciente sofisticación de los atacantes, quienes aprovechan las brechas de seguridad antes de que estas sean conocidas y corregidas por los desarrolladores.
Kaspersky destacó la importancia de contar con sistemas de seguridad multidimensionales que puedan identificar y mitigar amenazas avanzadas como las utilizadas en la “Operación ForumTroll”. En este sentido, las soluciones de seguridad basadas en inteligencia artificial (IA), como Kaspersky Next XDR (Extended Detection and Response), desempeñaron un papel fundamental en la rápida detección de este exploit. Las tecnologías de detección y protección de exploits de la compañía permitieron identificar la amenaza antes de que se hiciera pública, lo que facilitó el análisis exhaustivo del comportamiento del malware y su impacto.
Este incidente resalta la importancia de la colaboración entre empresas de ciberseguridad y proveedores de software como Google para identificar y corregir vulnerabilidades antes de que sean explotadas a gran escala. Kaspersky continuará monitorizando la “Operación ForumTroll” y publicará más detalles técnicos sobre los exploits y la carga maliciosa en un informe futuro. Mientras tanto, la recomendación a los usuarios es clara: mantener siempre actualizado el software, en especial los navegadores, y adoptar medidas de protección avanzada para mitigar el riesgo de ataques cibernéticos cada vez más sofisticados.
