AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Google Chrome exigirá permiso explícito antes de acceder a webs HTTP inseguras a partir de 2026

admin

## Introducción

En un movimiento significativo hacia la mejora de la seguridad web, Google ha anunciado que, a partir de la versión 154 de Chrome prevista para octubre de 2026, el navegador solicitará permiso explícito al usuario antes de permitir la conexión a sitios web que utilicen el protocolo HTTP inseguro. Esta decisión marca un punto de inflexión en la lucha contra la transmisión de datos no cifrados y responde tanto a las recomendaciones del sector como a la creciente sofisticación de los ataques man-in-the-middle (MitM) y otras amenazas asociadas al tráfico no cifrado.

## Contexto del Incidente o Vulnerabilidad

El protocolo HTTP, a diferencia de su versión segura HTTPS, transmite los datos en texto plano, lo que permite a atacantes interceptar, modificar o espiar el tráfico entre el usuario y el servidor. Pese a los esfuerzos por promover la adopción masiva de HTTPS —impulsados por iniciativas como Let’s Encrypt y políticas de los principales navegadores—, aún existen numerosos portales, especialmente en el sector público y pequeñas empresas, que continúan operando bajo HTTP.

La decisión de Google se enmarca en una tendencia generalizada del sector: navegadores como Mozilla Firefox y Microsoft Edge ya han endurecido sus políticas respecto a sitios inseguros, aunque Chrome es el primero en implementar un bloqueo interactivo por defecto a gran escala y con una hoja de ruta pública.

## Detalles Técnicos

### Versiones afectadas

A partir de Chrome 154, previsto para octubre de 2026, se implementará una nueva política de seguridad que afecta a todas las plataformas compatibles (Windows, macOS, Linux, Android, ChromeOS). El cambio será global y no dependerá de políticas empresariales previas.

### Vectores de ataque

El principal vector de ataque asociado al uso de HTTP es la interceptación de tráfico (MITM), facilitando el robo de credenciales, secuestro de sesiones, modificación de contenido y ejecución de scripts maliciosos. Estas amenazas están referenciadas en el marco MITRE ATT&CK bajo técnicas como T1557 (Man-in-the-Middle) y T1185 (Browser Session Hijacking).

### Indicadores de Compromiso (IoC)

– Tráfico web no cifrado detectado a través de herramientas de análisis de red (Wireshark, Zeek).
– Modificaciones de contenido HTML en tránsito.
– Inyecciones de scripts JavaScript no autorizados.
– Uso de exploits en frameworks como Metasploit para interceptar sesiones HTTP.

### Exploits y herramientas asociadas

Herramientas como Bettercap, mitmproxy o el propio Metasploit Framework han demostrado la facilidad con la que se pueden explotar conexiones HTTP para llevar a cabo ataques de sniffing, inyección o secuestro de sesiones.

## Impacto y Riesgos

Según datos de Chrome Platform Status, menos del 3% del tráfico global de Chrome aún utiliza HTTP. No obstante, la exposición de millones de usuarios a ataques de interceptación persiste, en especial en redes públicas WiFi y entornos corporativos sin segmentación adecuada.

El impacto para administradores de sistemas, analistas SOC y CISOs es doble: por un lado, la reducción de la superficie de ataque en sus organizaciones; por otro, la necesidad de migrar urgentemente cualquier servicio legado a HTTPS, bajo riesgo de perder tráfico, funcionalidad, e incluso incurrir en sanciones regulatorias (GDPR, NIS2).

## Medidas de Mitigación y Recomendaciones

Google recomienda encarecidamente a todos los administradores que migren sus servicios web a HTTPS antes de la fecha de implementación. Las principales acciones a considerar incluyen:

– Emisión e instalación de certificados TLS válidos (recomendado: Let’s Encrypt, ACME).
– Redirección automática 301 de todas las peticiones HTTP a HTTPS.
– Habilitación de HSTS (HTTP Strict Transport Security) con pre-carga en navegadores.
– Revisión de frameworks y librerías que puedan estar generando contenido mixto.
– Monitorización activa de logs para identificar intentos de acceso a HTTP.

Además, se recomienda formar a los equipos técnicos en la identificación y mitigación de conexiones inseguras, y actualizar la documentación interna de seguridad.

## Opinión de Expertos

Expertos en ciberseguridad como Troy Hunt (creador de «Have I Been Pwned») y Scott Helme han respaldado la medida, subrayando que la persistencia de HTTP es ya injustificable en 2024, especialmente ante la facilidad para implementar TLS y el bajo coste de los certificados. Desde el sector SOC, se apunta a la importancia de revisar las aplicaciones internas y portales legacy, que suelen ser los grandes olvidados en estos procesos.

## Implicaciones para Empresas y Usuarios

Las organizaciones que mantengan servicios accesibles solo por HTTP experimentarán un descenso inmediato en el tráfico web desde Chrome a partir de octubre de 2026, con posibles pérdidas económicas, impacto en la reputación y riesgo de sanciones regulatorias. Los usuarios, por su parte, se beneficiarán de una protección adicional, pero pueden experimentar fricción al acceder a plataformas obsoletas.

Para empresas sujetas a normativas como el RGPD o la directiva NIS2, la transmisión de datos personales o críticos por HTTP podría considerarse una violación de la seguridad, con sanciones económicas que pueden superar el 2% de la facturación anual.

## Conclusiones

La decisión de Google de restringir por defecto el acceso a webs HTTP representa un avance clave en la protección del usuario final y la reducción de la superficie de ataque en Internet. Las organizaciones deben acelerar la migración de todos sus servicios a HTTPS y adoptar prácticas de seguridad actualizadas, bajo pena de quedar aisladas del tráfico web y expuestas a riesgos regulatorios y de ciberataques.

(Fuente: www.bleepingcomputer.com)