Actualizaciones de seguridad en Firefox: guía completa y riesgos

Si usas Firefox a diario para navegar, trabajar o gestionar tus cuentas, las actualizaciones de seguridad de Firefox son tu primera línea de defensa frente a ataques, malware y fallos que pueden colgar el navegador o incluso el sistema. Muchas veces llegan en silencio, en segundo plano, pero detrás de cada nueva versión hay vulnerabilidades corregidas, mejoras de estabilidad y parches que evitan que un simple sitio web malicioso pueda liártela parda.

En los últimos ciclos de desarrollo de Mozilla se han lanzado versiones como Firefox 145, la rama 144.0.2 o la 97.0 para Windows y Android, todas ellas con cambios de seguridad relevantes. Algunas arreglan errores muy técnicos en WebGPU, el motor JavaScript o el DOM; otras resuelven bloqueos provocados por antivirus o problemas específicos en macOS; y algunas se centran en cerrar agujeros críticos que permitirían ejecutar código remoto o saltarse el sandbox del navegador.

Por qué las actualizaciones de seguridad de Firefox son tan importantes

Cuando Mozilla publica una nueva versión, no solo está añadiendo funciones chulas o cambios estéticos: en muchas ocasiones está tapando fallos de seguridad que ya se conocen públicamente y que un atacante podría aprovechar en cualquier momento. Esto afecta a Firefox de escritorio, a la versión de Android y también a productos relacionados como Thunderbird.

Desde el punto de vista de un usuario normal, puede parecer que no pasa nada por aplazar una actualización unos días, pero en la práctica estás dejando la puerta entreabierta a vulnerabilidades que ya tienen identificador CVE, documentadas y, en ciertos casos, con exploit funcional. Da igual que navegues poco o que solo entres a webs “de confianza”: basta con un anuncio malicioso o una pestaña comprometida para que un fallo crítico se convierta en un problema serio.

En el terreno más técnico, cada versión de Firefox suele incluir lo que Mozilla denomina “bugs de seguridad en memoria”. Son errores en la gestión de memoria del navegador que, al ser explotados, pueden provocar desde cierres inesperados hasta ejecución de código arbitrario. Firefox 145, por ejemplo, agrupa varios de estos fallos bajo el identificador CVE-2025-13027, indicando que existe evidencia de corrupción de memoria y posible ejecución de código.

Además, no hay que olvidar que los desarrolladores priorizan las actualizaciones de seguridad por encima del resto de cambios. Por ello, estas versiones se liberan de forma acelerada y se distribuyen de manera automática, precisamente para reducir al máximo la ventana de exposición de los usuarios que todavía no han actualizado.

Vulnerabilidades corregidas en Firefox 145 y su impacto real

La versión Firefox 145 destaca por ser un lanzamiento centrado en cerrar un buen puñado de vulnerabilidades de alto impacto en componentes clave del navegador: gráficos, JavaScript, DOM, WebGPU y WebRTC, entre otros. Muchas de ellas tienen la etiqueta de severidad “Alta” y se relacionan con posibles escenarios de ejecución remota de código, evasión de sandbox y saltos de políticas de seguridad.

En el área de gráficos y, más concretamente, de WebGPU, se han corregido varias vulnerabilidades que comparten un patrón: condiciones incorrectas en el manejo de límites. Los identificadores CVE-2025-13021, CVE-2025-13022, CVE-2025-13023, CVE-2025-13025 y CVE-2025-13026 describen errores que, bien explotados, podrían permitir tanto la lectura o escritura fuera de los rangos esperados como la evasión del sandbox del navegador. En otras palabras, un contenido web malicioso podría intentar escapar de la “caja de seguridad” en la que se ejecuta Firefox.

También se ha corregido una condición de carrera en el subsistema de gráficos (CVE-2025-13012). Este tipo de fallos se producen cuando dos procesos o hilos acceden a recursos compartidos sin sincronización adecuada. En el contexto de un navegador, puede desembocar en corrupción de memoria, cierres imprevistos o, en situaciones más críticas, ejecución de código con los permisos del usuario.

El motor JavaScript de Firefox no se queda fuera de esta ronda de parches. En la parte de WebAssembly (CVE-2025-13016) se han corregido errores de límites que, si se combinan con otras vulnerabilidades, podrían facilitar ataques de tipo RCE (remote code execution). Además, el motor JIT (Just-In-Time) del JavaScript de Firefox ha sufrido una miscompilación (CVE-2025-13024), es decir, una traducción incorrecta de cierto código que permitía a un atacante optimizar y ejecutar código malicioso de manera inesperada.

En el lado del DOM (Document Object Model), Firefox 145 incluye correcciones para diversos problemas de seguridad en notificaciones, políticas de mismo origen y mitigaciones de seguridad previamente implementadas. Los CVE-2025-13017, CVE-2025-13018, CVE-2025-13019 y CVE-2025-13013 describen bypass de políticas de seguridad y de mecanismos defensivos que, con un exploit bien diseñado, podrían permitir fuga de información o interacción no autorizada entre distintos orígenes.

También aparecen fallos catalogados como use-after-free en componentes de audio y vídeo, tanto en WebRTC como en otros subsistemas multimedia, con los identificadores CVE-2025-13020 y CVE-2025-13014. Los errores use-after-free son especialmente peligrosos porque implican acceder a zonas de memoria que ya han sido liberadas, abriendo la puerta a comportamientos impredecibles y potencial ejecución de código.

Por último, pero no menos importante, se menciona CVE-2025-13015 como un problema de spoofing (suplantación) dentro de Firefox. Aunque este se clasifica con severidad “Baja”, puede inducir a error al usuario mostrándole información engañosa, algo que, combinado con ingeniería social, puede derivar en phishing más creíble.

Todo lo anterior se suma al paquete de fallos de memoria agrupados bajo CVE-2025-13027, que engloba varios bugs con evidencia de corrupción de memoria y potencial ejecución arbitraria de código. Este tipo de entradas suele aglutinar vulnerabilidades encontradas internamente o a través de auditorías de seguridad, que no siempre se detallan por separado pero que tienen un impacto significativo.

Productos y versiones afectadas por estas vulnerabilidades

Las vulnerabilidades corregidas en Firefox 145 no solo impactan en el navegador web de escritorio: también salpican a Thunderbird y a múltiples componentes internos compartidos entre ambos productos. De ahí que la recomendación general sea actualizar tanto Firefox como Thunderbird a la misma rama de versión 145 tan pronto como sea posible.

En el caso concreto de Firefox, se ven afectados el núcleo del navegador, el sistema de gráficos, el motor JavaScript, el DOM, WebRTC, los módulos de audio y vídeo, así como tecnologías más modernas como WebGPU, WebAssembly y el motor JIT. Todas las versiones hasta la 144 (incluida) se consideran vulnerables frente al conjunto de CVEs mencionados, por lo que permanecer en una versión antigua implica asumir un riesgo innecesario.

Para Thunderbird, el cliente de correo de Mozilla, se indica que existen fallos de seguridad en memoria similares a los de Firefox 145, y que las versiones hasta la 144 inclusive también necesitan actualización. Aunque muchos usuarios tienden a subestimar la importancia de actualizar el cliente de correo, hay que recordar que los correos con contenido HTML y enlaces pueden explotar vulnerabilidades del mismo modo que una web tradicional.

Si tu entorno de trabajo utiliza intensivamente tecnologías como WebGPU o WebAssembly, especialmente en aplicaciones web personalizadas cargadas en entornos empresariales, es aún más crítico asegurarse de que los navegadores en todos los equipos estén actualizados a estas versiones seguras. Un fallo no parcheado en una red corporativa puede convertirse en un problema de primer nivel.

Firefox 144.0.2: estabilidad, seguridad y correcciones específicas

Un poco antes del salto a la rama 145, Mozilla lanzó la versión Firefox 144.0.2, que llegó apenas dos semanas después de la 144. A primera vista puede parecer una actualización menor, pero incluye cambios importantes tanto de seguridad como de estabilidad, y conviene entender bien qué resuelve.

Para empezar, se aclara que la versión 144.0.1 se liberó únicamente en Android, por lo que los usuarios de escritorio pasaron directamente de la 144 a la 144.0.2. Esta build se distribuye de forma automática, aunque siempre tienes la opción de comprobarlo de manera manual desde el propio navegador. Entre los errores corregidos se encuentra el conocido Bug 1992678, que afectaba a usuarios de Avast y otros antivirus en Windows.

Este bug de estabilidad provocaba que, al iniciar Firefox en sistemas con determinados antivirus, el navegador se quedara bloqueado o se cerrara de golpe debido a un conflicto entre el mecanismo de protección del antivirus y el sistema de aislamiento (sandboxing) de Firefox. La consecuencia directa era que muchos usuarios se veían tentados a desactivar el antivirus para poder usar el navegador con normalidad, algo claramente contraproducente desde el punto de vista de la seguridad.

Deshabilitar el antivirus por molestias o bloqueos puntuales es una mala idea: estás dejando tu equipo expuesto a malware, robo de credenciales y ataques de todo tipo. La actualización 144.0.2 soluciona precisamente este choque entre defensas, permitiendo que Firefox y el antivirus convivan sin que el navegador se bloquee ni obligue a tomar decisiones arriesgadas.

En sistemas macOS, la versión 144.0.2 también corrige fallos muy concretos. En equipos con macOS 14.6, por ejemplo, se producían bloqueos del navegador cuando las carpetas de marcadores contenían bucles o referencias repetidas a sí mismas. Además, se soluciona un problema de rendimiento y reproducción de vídeo que afectaba a determinados usuarios de macOS, lo que se traduce en una experiencia más fluida al reproducir contenido multimedia.

Junto a estos arreglos principales, la actualización incluye la corrección de diversos errores menores: problemas con accesos directos y menús, fallos al arrastrar imágenes desde Firefox hacia aplicaciones de terceros en macOS y un bug que afectaba al comportamiento del menú desplegable de búsqueda. Aunque estos detalles puedan parecer secundarios, en conjunto mejoran la estabilidad general del navegador.

En las notas de lanzamiento también se adelanta que Firefox 145 estaba previsto para el 11 de noviembre, dejando claro que Mozilla mantiene un ciclo de actualizaciones rápidas en el que pueden aparecer versiones menores adicionales si se detectan problemas urgentes que requieran parches antes de la siguiente versión estable grande.

Actualizaciones en Firefox 97 para Windows y Android

Retrocediendo algo más en el tiempo, la versión Firefox 97 para Windows y Android supuso otra ronda importante de correcciones de seguridad. En este caso, el foco estaba en cerrar fallos relevantes tanto en el escritorio como en la versión móvil, recordando que la superficie de ataque en Android no es menor, y que muchas personas utilizan el móvil como dispositivo principal de navegación.

La versión 97.0 para Windows se liberó primero y quedó disponible para su descarga inmediata, mientras que Firefox 97.0 para Android se fue desplegando de forma progresiva en los días siguientes. Esto es habitual en el ecosistema móvil: las actualizaciones suelen llegar escalonadas para evitar problemas masivos si se detecta un bug grave en la nueva versión.

En esta rama, Mozilla enfatiza de nuevo la idea de que cualquier software, por muy maduro que parezca, puede tener fallos de seguridad o de funcionamiento. Los navegadores modernos son piezas de software extremadamente complejas, con millones de líneas de código, motores de renderizado, intérpretes de JavaScript, sistemas de sandbox, módulos multimedia, APIs experimentales… y es prácticamente imposible que estén libres de errores.

Por eso, cuando se identifica un fallo —ya sea a través de investigación interna, programas de recompensas por bugs o informes externos—, el siguiente paso es preparar una actualización que corrija esa vulnerabilidad y ponerla a disposición de los usuarios. El papel del usuario, en ese punto, es sencillo pero crucial: dejar que la actualización se instale o ir a buscarla manualmente cuanto antes.

Mozilla insiste en que, para proteger de verdad tus dispositivos, no basta con actualizar solo el navegador. Es recomendable mantener al día el sistema operativo, el resto de programas y aplicaciones que usas a diario, incluyendo antivirus, clientes de correo, suites ofimáticas o reproductores multimedia. Cada pieza desactualizada en la cadena puede convertirse en el eslabón débil por el que se cuele un ataque.

Cómo se distribuyen las actualizaciones de seguridad: Stable vs Beta

Una duda habitual entre usuarios avanzados es saber dónde aterrizan primero las actualizaciones de seguridad importantes: si en la versión estable (Firefox Stable) o en el canal Beta. La realidad es que Mozilla gestiona varias ramas en paralelo (Stable, Beta, Developer Edition, Nightly), cada una con un propósito y un nivel de madurez distinto.

En términos generales, las vulnerabilidades críticas se corrigen de forma coordinada en las ramas que estén activas. Esto significa que, si hay un fallo grave, Mozilla prepara parches para Stable, Beta e incluso ESR (Extended Support Release) y procura liberarlos en una ventana de tiempo muy ajustada, minimizando el tiempo en el que alguno de esos canales permanezca vulnerable.

Sin embargo, no suele plantearse como una competición de “cuál se actualiza antes”, sino como un despliegue conjunto. La rama Beta, al ser un canal de pruebas para la próxima versión estable, ya suele incorporar muchos arreglos de seguridad antes de que lleguen a Stable. Cuando se detecta un fallo crítico en la versión actual, lo habitual es que se creen builds específicas (punto releases) para solucionarlo en todos los canales relevantes al mismo tiempo.

Si lo que buscas es recibir siempre las novedades antes que nadie, incluido el grueso de correcciones de seguridad, puedes optar por canales como Beta o Developer Edition, teniendo claro que son menos estables y pueden llevar bugs funcionales. Si, en cambio, priorizas estabilidad absoluta, la rama Stable es la más razonable. En ambos casos, las actualizaciones críticas de seguridad llegan con rapidez y se instalan de forma automática.

Un aspecto clave es que las actualizaciones de seguridad importantes no suelen quedar restringidas únicamente a Beta: Mozilla no deja a la rama estable “colgada” con vulnerabilidades conocidas. Los parches se empaquetan en versiones como 144.0.2 o 145 y se distribuyen de manera masiva a todos los usuarios estables, precisamente porque son la mayoría y los que más protección necesitan.

Cómo comprobar si Firefox está actualizado y forzar la actualización

Aunque Firefox se configura por defecto para actualizarse de forma automática, siempre conviene saber cómo verificar manualmente que tienes la última versión, sobre todo si has oído hablar de una actualización de seguridad reciente o sospechas que tu navegador se está comportando de forma rara.

En escritorio, el proceso es bastante directo. Solo tienes que abrir el menú de la esquina superior derecha (el icono de tres rayas horizontales), hacer clic en “Ayuda” y, a continuación, entrar en la sección “Acerca de Mozilla Firefox”. En ese cuadro verás qué versión tienes instalada y, si hay una más nueva disponible, el propio navegador iniciará la descarga e instalación de la actualización de inmediato.

Si la actualización está lista pero pendiente de aplicarse, en esa misma ventana se te indicará que debes reiniciar Firefox para completar el proceso. Es un paso sencillo pero esencial: hasta que no cierres y abras de nuevo el navegador, seguirás ejecutando la versión antigua, con todas sus vulnerabilidades activas.

En algunos casos, como mencionan las notas de Firefox 144.0.2, el despliegue se hace de manera progresiva. Eso significa que puede que aún no veas la nueva versión en el mismo momento en que se anuncia, pero acabará llegando a tu equipo en las siguientes horas o días. Si te preocupa un fallo concreto, puedes descargar manualmente el instalador desde la web oficial de Mozilla y actualizar por tu cuenta.

En Android, las actualizaciones suelen llegar a través de la tienda de aplicaciones (Google Play), y también pueden distribuirse de forma escalonada. Puedes forzar la comprobación entrando en la ficha de Firefox en la tienda y viendo si aparece el botón de “Actualizar”. De nuevo, no está de más reiniciar la app después para asegurarte de que se está ejecutando la nueva build.

Además del navegador en sí, conviene echar un vistazo de vez en cuando a la sección de extensiones y complementos. Aunque muchas también se actualizan de forma automática, es buena idea revisar que no tienes extensiones abandonadas, desactualizadas o procedentes de fuentes dudosas, ya que pueden convertirse en un vector adicional de riesgo.

Buenas prácticas al gestionar actualizaciones y extensiones

Mantener Firefox al día no es solo una cuestión de pulsar en “Actualizar y listo”. Si quieres tomarte la seguridad en serio, merece la pena adoptar algunas buenas prácticas que reduzcan aún más la superficie de ataque y te eviten sustos innecesarios.

En primer lugar, evita posponer sistemáticamente las actualizaciones. Es tentador darle siempre al botón de “recordar más tarde” porque estás en mitad de algo, pero cuanto más tiempo pases en una versión vulnerable, mayor es la probabilidad de que te afecte un exploit en circulación. Lo ideal es programar pequeños huecos para reiniciar el navegador y aplicar los parches cuando se anuncian.

Otra recomendación importante es prestar atención al ecosistema de extensiones. Por muy útiles que sean, cada complemento adicional es código que se ejecuta con ciertos permisos dentro de tu navegador. Asegúrate de que las extensiones que usas proceden de fuentes oficiales, se mantienen activamente por parte de los desarrolladores y reciben actualizaciones periódicas. Si una extensión lleva años sin tocarse, quizá sea el momento de buscar alternativa.

En cuanto a la interacción con antivirus y otras soluciones de seguridad, evita tomar atajos como desactivar el antivirus porque Firefox se bloquea. Con actualizaciones como la 144.0.2, Mozilla ha ido puliendo conflictos con Avast y otros productos similares, precisamente para que no tengas que renunciar a capas de protección. Si detectas problemas, lo recomendable es actualizar tanto el navegador como el propio antivirus y, si persisten, revisar la configuración o buscar información en los canales de soporte.

Por último, conviene recordar que la seguridad no se limita al navegador. Para que todo el conjunto tenga sentido, tu sistema operativo, tus aplicaciones críticas y, en general, todo el software que utilizas a diario deberían estar al día. Firefox puede estar perfectamente parcheado, pero si tu sistema tiene fallos abiertos o ejecutas software obsoleto, sigues siendo un objetivo fácil.

Teniendo en cuenta todo lo anterior, las últimas versiones de Firefox (145, 144.0.2, 97 en Windows y Android, y las actualizaciones equivalentes en Thunderbird) dejan claro que Mozilla mantiene un ritmo constante de parches de seguridad y mejoras de estabilidad. Estar atento a estas actualizaciones, comprobar cada cierto tiempo la versión que tienes instalada y no descuidar las extensiones ni el resto de tu software marcan la diferencia entre navegar expuesto o hacerlo con una base razonablemente sólida.