La llegada de nuevas capacidades de agentes a Chrome marca uno de los cambios más profundos en la historia reciente del navegador y abre un nuevo escenario en el que ciberseguridad, navegadores e inteligencia artificial convergen, ya que gracias a la integración de Gemini, Chrome empieza a ofrecer agentes capaces de planificar y ejecutar acciones en nombre del usuario —buscar información, rellenar formularios o avanzar en procesos de compra—, un salto tecnológico que promete eficiencia y comodidad, pero que también introduce riesgos que van más allá del modelo de amenazas tradicional del navegador.
Google es consciente de que un navegador con agentes mal protegidos puede convertirse en una herramienta poderosa para los atacantes. No se trata solo de mostrar contenido engañoso, sino de lograr que un agente actúe contra los intereses del usuario. Para evitarlo, el equipo de seguridad de Chrome ha diseñado una arquitectura específica que amplía principios clásicos del navegador —como el aislamiento de origen— y los adapta al nuevo contexto de la web agéntica.
La inyección indirecta, una amenaza emergente
El principal riesgo al que se enfrentan los navegadores con agentes es la inyección indirecta. A diferencia de los ataques tradicionales, este tipo de amenaza no busca engañar directamente al usuario, sino al modelo de IA que controla al agente. Puede materializarse a través de contenido aparentemente inocuo: comentarios de usuarios, anuncios, iframes de terceros o incluso textos diseñados para influir en la toma de decisiones del modelo.
El peligro es evidente: un agente comprometido podría iniciar transacciones financieras, filtrar datos sensibles o ejecutar acciones no solicitadas. Ante este escenario, Chrome apuesta por una estrategia de defensa en profundidad, combinando controles deterministas con modelos de detección probabilísticos que dificultan y encarecen los ataques.
Una de las innovaciones más relevantes es el Crítico de Alineación de Usuario (User Alignment Critic). Se trata de un modelo independiente, también basado en Gemini, cuya función es revisar cada acción propuesta por el agente antes de que se ejecute en el navegador.
Limitar dónde puede leer y actuar un agente
La otra gran pieza del sistema son los Conjuntos de Origen del Agente, una evolución de la política del mismo origen y del aislamiento de sitio que Chrome lleva años aplicando. Los agentes necesitan interactuar con múltiples sitios para completar tareas, pero permitirles acceder libremente a cualquier origen supondría un riesgo grave si el agente se viera comprometido.
Para evitarlo, Chrome restringe arquitectónicamente los orígenes con los que el agente puede interactuar, en función de la tarea en curso o de lo que el usuario haya autorizado explícitamente. Estos orígenes se agrupan en dos categorías: los de solo lectura, de los que el agente puede consumir contenido, y los de lectura y escritura, en los que también puede realizar acciones como hacer clic o introducir texto.
El navegador se encarga de que el agente no tenga acceso a contenidos de orígenes no relacionados. Los iframes ajenos a la tarea ni siquiera se muestran al modelo, reduciendo así el riesgo de filtraciones entre sitios. Las funciones que deciden qué orígenes son relevantes operan fuera del alcance del contenido web no confiable, y el agente no puede ampliar estos conjuntos por sí solo.
Navegaciones y URLs bajo control
Las navegaciones a nuevos sitios también están sujetas a controles estrictos. Si el agente propone visitar un origen que no está incluido en el conjunto permitido, una variante del Crítico de Alineación evalúa su relevancia antes de que Chrome inicie la navegación. Además, se aplican verificaciones deterministas para evitar que URLs generadas por el modelo incluyan información privada, limitándolas a dominios públicos conocidos.
Pese al alto grado de automatización, Chrome mantiene al usuario como actor clave en los momentos críticos. Cada acción del agente queda reflejada en un registro de trabajo visible, y el usuario puede pausar o cancelar la tarea en cualquier momento.
Además, el navegador exige confirmaciones explícitas antes de acciones sensibles: navegar a sitios relacionados con banca o salud, iniciar sesiones mediante Google Password Manager o completar pagos y compras. En estos casos, el agente se detiene y pide permiso, actuando como una última línea de defensa frente a errores del modelo o intentos de ingeniería social.
