Google continúa avanzando en su visión de un navegador capaz de ejecutar tareas complejas de forma autónoma gracias a la inteligencia artificial. Con la integración cada vez más profunda de Gemini en Chrome, el navegador comienza a actuar menos como un simple visor de páginas y más como un asistente operativo capaz de tomar decisiones. Pero ese salto también implica riesgos: cuanto más poder tiene la IA, mayor es la superficie de ataque para actores maliciosos. Para anticiparse a este escenario, la compañía está desplegando una arquitectura de seguridad inédita diseñada específicamente para IA que actúa dentro del navegador.
-La llegada de “la navegación agentica”: cuando Chrome empieza a operar por su cuenta
En septiembre, los usuarios de escritorio en Estados Unidos recibieron las primeras funciones de Gemini integradas en Chrome. Google bautizó este enfoque como navegación agentica, un concepto que va más allá de generar texto o resumir contenidos.
La idea de Google es permitir que Chrome pueda analizar páginas, moverse entre pestañas, ejecutar flujos de trabajo complejos y realizar acciones antes reservadas al usuario. Es decir, que la IA deje de limitarse a responder preguntas y pueda, por ejemplo, tramitar una reserva, comparar formularios o automatizar tareas repetitivas dentro del navegador.
Este cambio coloca al navegador en un rol muchísimo más activo, pero también abre la puerta a un problema señalado desde hace años por expertos en ciberseguridad: si una inteligencia artificial puede pulsar botones o interactuar con elementos web, también puede ser engañada por sitios maliciosos.
-La amenaza de la inyección indirecta: el truco con el que una web puede controlar a la IA
Los investigadores advierten desde hace tiempo sobre una técnica conocida como inyección indirecta de instrucciones. Consiste en esconder mensajes invisibles para el usuario dentro del código HTML o en elementos de la interfaz, con el objetivo de que un modelo de IA los interprete como órdenes legítimas.
A diferencia de los ataques de inyección directa (cuando un usuario escribe algo malicioso), la versión indirecta explota debilidades en cómo los modelos absorben y procesan información del contexto. Basta con que el asistente lea el contenido de una página manipulada para que, sin que el usuario lo note, ejecute acciones que el sitio desea. En un escenario donde Gemini tiene la capacidad de realizar tareas reales no solo generar texto este tipo de ataque se convierte en una amenaza mayor.
-“User Intent Aligner”: la nueva capa de seguridad diseñada para vigilar a Gemini
Para enfrentar este riesgo, Google está introduciendo un mecanismo interno llamado “User Intent Aligner”, un modelo dedicado exclusivamente a verificar que cada acción propuesta por Gemini realmente coincide con lo que el usuario pidió.
La clave de este sistema es su aislamiento:
el Aligner no accede directamente a la web ni a su contenido crudo. En su lugar, recibe un conjunto de metadatos estructurados que describen la acción que Gemini quiere ejecutar, sin exponerlo a instrucciones ocultas.
Si el Aligner detecta que la acción se desvía del propósito declarado por el usuario aunque sea ligeramente, la bloquea por completo. Este paso extra convierte al Aligner en un filtro obligatorio por el que deben pasar todas las decisiones ejecutables de la IA, impidiendo que un sitio manipulado altere el comportamiento del asistente.
-Más límites, más aislamiento: Gemini solo podrá interactuar con los dominios relevantes
Google también está ampliando las reglas de aislamiento dentro de Chrome. Gemini queda limitado a:
- interactuar únicamente con los dominios estrictamente necesarios para completar la tarea,
- evitar solicitudes de red que no hayan sido solicitadas,
- y operar dentro de un entorno acotado que impide que la IA “se desvíe” hacia páginas no relacionadas.
Este tipo de restricciones ya existía para procesos sensibles dentro del navegador, pero ahora se adaptan para escenarios en los que una IA puede actuar como un agente que toma decisiones.
-Detección de amenazas, supervisión humana y pruebas de estrés intensivas
El refuerzo de seguridad no depende únicamente del Aligner. Google afirma haber añadido:
- sistemas internos de detección de comportamientos sospechosos,
- capas de confirmación explícita del usuario para operaciones de alto impacto,
- y rondas continuas de trabajo de “red teaming”, donde expertos tratan de vulnerar las funciones antes de que lleguen al público.
La compañía plantea este esquema como una defensa en profundidad, donde cada módulo cubre a los demás para reducir la posibilidad de que una vulnerabilidad aislada derive en un abuso mayor.
-Recompensas para quienes logren romper el sistema: hasta 20.000 dólares por vulnerabilidad
Google parece lo suficientemente confiada en su nueva arquitectura como para poner dinero en juego. El Programa de Recompensas por Vulnerabilidades ha sido actualizado para incluir estas defensas agenticas, ofreciendo hasta 20.000 dólares a cualquier investigador que consiga saltarse las nuevas barreras. Es una señal clara de que la compañía entiende los riesgos de dotar al navegador de capacidades cuasi autónomas y quiere ser la primera en detectar cualquier fisura antes de que lo haga un atacante real.
Estas medidas llegan justo cuando Google se prepara para expandir las funciones de agente de Gemini. En los próximos meses, el navegador obtendrá nuevas capacidades que permitirán a la IA ejecutar tareas más avanzadas, intervenir en webs más complejas y asumir un rol más significativo dentro de la experiencia de navegación. El futuro que plantea Google es el de un navegador que no solo muestra información, sino que actúa, decide y automatiza. Y ante ese salto, la compañía parece decidida a blindar cada paso para que la seguridad no quede supeditada al entusiasmo por la innovación.