Un joven colombiano sacudió los cimientos de la ciberseguridad global. Jose Pino, investigador de 29 años y referente internacional en seguridad informática, descubrió una vulnerabilidad crítica que afecta a los navegadores más utilizados del mundo, exponiendo a más de 3.000 millones de personas a posibles ataques digitales.
El fallo, bautizado como Brash, compromete el motor Blink, utilizado por navegadores como Google Chrome, Microsoft Edge, Brave, Opera y Vivaldi, así como por navegadores integrados en agentes de inteligencia artificial como ChatGPT Atlas y Perplexity Comet.
La falla permite que una simple URL maliciosa congele o colapse el navegador —y en algunos casos, el sistema operativo completo— en cuestión de segundos, sin necesidad de descargar archivos ni hacer clics adicionales.
Pino no es un desconocido en el mundo de la ciberseguridad. Ha sido reconocido por empresas como Dropbox, Microsoft y PayPal por descubrir vulnerabilidades de alto impacto. Su enfoque ético y su compromiso con la divulgación responsable lo han convertido en una figura respetada en la comunidad global.
TE PUEDE INTERESAR: Herodotus: el nuevo malware bancario para Android que robar dinero
Cómo funciona Brash
- Según explicó Pino en sus redes sociales (@jofpin), el exploit aprovecha una debilidad en la gestión de actualizaciones del título de una página web (document.title).
- Al no existir un límite de frecuencia para estas actualizaciones, un atacante puede enviar miles de millones de solicitudes por segundo, saturando la memoria RAM y la CPU del dispositivo.
- En pruebas controladas, Brash logró colapsar navegadores basados en Chromium en menos de un minuto, con un consumo de memoria que superó los 18 GB.
¿Por qué es tan grave?
- El 70% del mercado global de navegadores utiliza Chromium, lo que significa que más de 3.000 millones de usuarios están potencialmente expuestos.
- A diferencia de otras amenazas, Brash no requiere ingeniería social ni descargas: basta con abrir una página web especialmente diseñada para provocar el colapso.
- Esto lo convierte en un arma poderosa para ataques de denegación de servicio (DoS) o sabotaje digital.
- Aunque el daño se limita a la interrupción del navegador, el impacto puede ser significativo en servicios críticos como plataformas gubernamentales, bancarias o médicas.
- Aún no existe un parche oficial. Pino notificó el fallo al equipo de seguridad de Chromium el 28 de agosto, pero hasta la fecha no ha habido respuesta pública ni solución definitiva.
¿Quién está a salvo?
- Los navegadores basados en WebKit, como Safari o las versiones de Chrome y Edge para iOS, no están afectados.
- Esto confirma que el fallo es exclusivo del entorno Blink.
- Para minimizar riesgos, se recomienda:
- Evitar abrir enlaces de remitentes desconocidos.
- Utilizar navegadores alternativos como Firefox o Safari para tareas críticas.
- Instalar extensiones que bloqueen JavaScript por defecto (como NoScript o uMatrix).
- Supervisar el uso de CPU en procesos como chrome.exe o msedge.exe ante comportamientos anómalos.