AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Protección de datos

**Google refuerza la privacidad en Chrome revocando permisos de notificaciones a webs inactivas**

admin

### Introducción

Google ha anunciado una actualización significativa en la gestión de permisos de notificaciones en su navegador Chrome, orientada a mejorar la experiencia de usuario y reducir la sobrecarga de alertas. Esta medida, que implica la revocación automática de los permisos de notificaciones para sitios web que no hayan sido visitados recientemente, responde tanto a la fatiga de notificaciones como al creciente abuso de este canal en campañas de phishing, malvertising y otros vectores de amenaza. El cambio afecta a millones de usuarios y refuerza el posicionamiento de Google Chrome como un navegador que prioriza la seguridad y la privacidad.

### Contexto del Incidente o Vulnerabilidad

En los últimos años, el abuso del sistema de notificaciones push web se ha convertido en un vector común para la distribución de contenido no deseado o incluso malicioso. Sitios web legítimos y fraudulentos explotan la función de notificaciones para enviar anuncios intrusivos, enlaces a malware o campañas de ingeniería social, aprovechando la tendencia de los usuarios a conceder permisos sin la debida consideración.

El problema se agrava por la acumulación de permisos concedidos a webs que, con el tiempo, dejan de visitarse pero conservan la capacidad de enviar notificaciones. Según un estudio de Google Chrome, más del 80% de las notificaciones push provienen de sitios no visitados en los últimos 30 días. Además, diversos informes de organizaciones como ENISA y el propio MITRE han evidenciado el uso de este canal en campañas avanzadas de phishing y distribución de troyanos bancarios.

### Detalles Técnicos

La nueva función, implementada a partir de Chrome versión 115, introduce una política de revocación automática de permisos de notificación. El mecanismo se activa cuando un usuario no interactúa con un sitio web durante un periodo definido (por defecto, 90 días). En ese momento, el permiso de notificación concedido previamente se revoca de forma silenciosa, aunque el usuario puede volver a otorgarlo manualmente si así lo desea.

Desde una perspectiva técnica, el cambio se apoya en la API de permisos del navegador, gestionada localmente en el dispositivo. Chrome monitoriza el historial de interacción y, mediante un proceso periódico, identifica aquellos sitios cuya inactividad supera el umbral establecido. La revocación afecta únicamente al permiso de notificaciones (Notification API), sin modificar otros permisos como geolocalización, acceso a cámara o micrófono.

En términos de TTPs (Tactics, Techniques and Procedures) de MITRE ATT&CK, el abuso de notificaciones web suele enmarcarse en técnicas de Initial Access (T1566.001 – Spearphishing Attachment, T1189 – Drive-by Compromise) y en Persistence (T1546.007 – Event Triggered Execution: Web Notifications). Indicadores de compromiso (IoC) asociados incluyen solicitudes excesivas de permisos, URLs con patrones sospechosos, y burst de notificaciones con enlaces a dominios de alto riesgo.

### Impacto y Riesgos

La acumulación de permisos de notificaciones concedidos a dominios inactivos representa un riesgo significativo tanto para usuarios finales como para organizaciones. Entre los principales impactos destacan:

– **Phishing y malvertising**: Las notificaciones pueden incluir enlaces a sitios de phishing, descargas de malware o campañas de scareware.
– **Pérdida de productividad**: La saturación de notificaciones distrae a los usuarios y disminuye la eficacia operativa.
– **Shadow IT y fuga de información**: Las notificaciones pueden ser utilizadas para exfiltrar datos o como canal de C2 (Command & Control) en ataques dirigidos.

Empresas sujetas a normativas como GDPR o la directiva NIS2 deben prestar especial atención, ya que la gestión inadecuada de permisos puede derivar en incidentes de seguridad y sanciones regulatorias.

### Medidas de Mitigación y Recomendaciones

Google recomienda a los administradores y responsables de seguridad:

– Revisar y auditar periódicamente los permisos concedidos en los navegadores corporativos.
– Implementar políticas de gestión de permisos centralizadas mediante GPOs o soluciones MDM.
– Sensibilizar a los usuarios sobre los riesgos de conceder permisos indiscriminadamente.
– Aprovechar las nuevas funciones de Chrome para reducir la exposición y la superficie de ataque.
– Monitorizar logs de actividad relacionados con notificaciones y analizar patrones anómalos.

Para entornos empresariales, es recomendable utilizar extensiones de seguridad que gestionen y restrinjan la concesión de permisos, así como soluciones EDR que detecten posibles abusos del canal de notificaciones.

### Opinión de Expertos

Especialistas en ciberseguridad como Tanya Janca (We Hack Purple) y Jake Williams (SANS, Rendition Infosec) han subrayado la importancia de limitar los canales de persistencia en el endpoint. Según Williams, “la proliferación de permisos concedidos a sitios inactivos es terreno abonado para atacantes que buscan vectores alternativos”. Por su parte, el equipo de Google Chrome Security señala que esta actualización es parte de una estrategia más amplia para reducir el abuso de APIs web y proteger la privacidad de los usuarios.

### Implicaciones para Empresas y Usuarios

Para las empresas, este cambio supone una oportunidad para reforzar sus políticas de seguridad del puesto de trabajo. Las organizaciones que operan en sectores regulados (finanzas, salud, administración pública) deberán revisar sus procedimientos de gestión de permisos y considerar la integración de controles adicionales en los navegadores corporativos.

Los usuarios se beneficiarán de una reducción en la fatiga de notificaciones y en la exposición a amenazas. Sin embargo, deberán estar atentos a no perder alertas legítimas de sitios críticos y a revisar manualmente los permisos para servicios esenciales.

### Conclusiones

La revocación automática de permisos de notificaciones en Google Chrome representa un avance relevante en la protección frente a amenazas persistentes y la reducción de la sobrecarga de alertas. En un contexto de creciente sofisticación de los ataques basados en ingeniería social y abuso de APIs web, la gestión proactiva de permisos se consolida como una práctica fundamental tanto para usuarios finales como para equipos de ciberseguridad corporativos. Se recomienda a las organizaciones revisar sus políticas internas y aprovechar las capacidades de las nuevas versiones de Chrome para minimizar riesgos.

(Fuente: www.bleepingcomputer.com)