Colombiano, en la mira contra nueva amenaza de seguridad para millones de usuarios de Internet

Varios de los medios tecnológicos más prestigiosos del mundo dieron aviso, alertando a más de 3.000 millones de personas sobre la vulnerabilidad.

Una falla crítica de seguridad para millones de usuarios de Internet, bautizada como Brash, compromete la estabilidad del motor Blink, componente central de los navegadores más utilizados del mundo: Google Chrome, Microsoft Edge, Brave, Opera y Vivaldi, entre otros, así como de navegadores integrados en agentes de inteligencia artificial (como ChatGPT Atlas o Perplexity Comet).

El investigador colombiano José Pino,  experto en ciberseguridad, la divulgó hace pocos días en sus redes sociales (@jofpin). En términos simples, esta vulnerabilidad permite que una sola dirección web (URL) maliciosa pueda congelar o colapsar un navegador en cuestión de segundos, sin que el usuario haga más que abrir la página; también colapsa el sistema operativo por completo, debido a que satura la CPU y la RAM.

¿Por qué Brash compromete la seguridad de Internet?

Según explicó Pino, el ‘exploit’ conocido como Brash aprovecha una debilidad en la forma en que los navegadores gestionan las actualizaciones del título de una página web.

El error radica en que no existe un límite de frecuencia para estas actualizaciones, lo que permite que un atacante envíe miles de millones de solicitudes por segundo hasta saturar la memoria del sistema y forzar el cierre del navegador.

En pruebas controladas, el hacker colombiano, de 29 años, demostró que Brash puede hacer colapsar cualquier navegador basado en Chromium en tan solo 15 a 60 segundos, generando un consumo de memoria superior a 18 GB y bloqueando completamente la interfaz del usuario.

La magnitud del hallazgo es enorme. Chrome y los navegadores derivados de Chromium concentran más del 70% del mercado mundial, lo que significa que más de 3.000 millones de personas en todo el planeta podrían verse afectadas si un atacante decidiera explotar este fallo de forma masiva.

A diferencia de otras vulnerabilidades, Brash no requiere descargar archivos, instalar complementos ni engañar al usuario: basta con visitar una página web especialmente diseñada para provocar el colapso.

Aunque el daño se limita a la interrupción del funcionamiento del navegador, su potencial para afectar la experiencia digital, interrumpir servicios en línea (gubernamentales, médicos, financieros, etc.) y causar pánico cibernético es alto. El tema ha sido replicado por medios como Forbes, PC World y Gizchina, entre otros especializados.

¿Cuál es la solución contra Brash en Internet?

El colombiano Pino notificó el error al equipo de seguridad de Chromium (proyecto impulsado por Google) el pasado 28 de agosto, y volvió a contactarlos dos días después. Sin embargo, aún no existe un parche oficial, por lo que los navegadores continúan siendo vulnerables y siguen expuestos a los ciberdelincuentes.

“El problema es más serio de lo que parece”, advirtió el investigador y emprendedor tecnológico colombiano, señalando que cada empresa que utiliza el motor Blink deberá adaptar su propio parche de seguridad, lo que puede tardar meses.

Mientras tanto, los navegadores basados en WebKit (como Safari o las versiones de Chrome y Edge para iOS) no están afectados, lo que confirma que el fallo es exclusivo del entorno Blink.

¿Cómo detectar Brash y evitar el hackeo de dispositivos?

Esté atento a los picos súbitos de uso de CPU en los procesos del navegador (chrome.exe, msedge.exe), coincidiendo con la apertura de ciertas páginas, así como a las pestañas que dejan de responder sin razón aparente o muestran actividad inusual de JavaScript que actualiza repetidamente el document.title.

Evite abrir enlaces de remitentes no confiables. Si es necesario hacerlo, hágalo desde un navegador separado, un perfil aislado o una máquina virtual.

También se recomienda instalar extensiones que bloqueen JavaScript por defecto (como NoScript o uMatrix) y permitir scripts solo en sitios de confianza. Para tareas críticas, utilice navegadores no basados en Chromium, como Firefox o Safari.

No es la primera vez que Jose Pino aparece en titulares internacionales. Reconocido por importantes firmas tecnológicas —entre ellas Dropbox, Microsoft y PayPal— por su capacidad para detectar vulnerabilidades de alto impacto.

Brash no solo destaca su gran capacidad técnica e investigativa, sino también la urgencia de reforzar la seguridad digital en los sistemas que usamos a diario.