Los flags de Chrome son parámetros experimentales que permiten activar funciones antes de que aparezcan en la configuración habitual. Parte de ellos ya se ha trasladado a secciones estables, pero muchos siguen escondidos en chrome://flags y aumentan notablemente la protección sin instalar extensiones. A continuación se presenta un análisis amplio de los flags más útiles desde el punto de vista de la seguridad y la privacidad, con explicaciones sobre para qué sirven, qué riesgos conllevan y cómo combinarlos con cuidado.
Cómo abrir los flags, aplicar y revertir cambios
Abra la página chrome://flags, introduzca una palabra clave en el campo de búsqueda y cambie el elemento deseado a Enabled o Disabled. Tras modificar un flag, Chrome sugerirá reiniciar: solo entonces el flag se activará. Si algo sale mal, puede volver al estado inicial con el botón grande Restablecer todo en la parte superior de la página de flags o iniciando con un nuevo perfil de usuario.
En este artículo doy «enlaces rápidos» a flags concretos: puede pegarlos en la barra de direcciones completos, por ejemplo: chrome://flags/#https-upgrades. Recuerde que los flags son experimentales. En determinadas compilaciones o versiones los nombres pueden variar y algunas funciones pueden migrar a la interfaz principal. Por eso active uno a la vez, compruebe el funcionamiento y anote sus cambios.
Antes de empezar: ajustes básicos de seguridad sin flags
Antes de profundizar en los flags, revise las configuraciones habituales: Comprobación de seguridad, Seguridad, Cookies y otros datos de sitios, Borrar datos de navegación. Active «Usar siempre conexiones seguras» (modo HTTPS), configure el DNS seguro y verifique el bloqueo automático de sitios y descargas peligrosas. Estas opciones ofrecen una mejora inmediata sin experimentar.
Después, puede reforzar mediante flags. Los he agrupado por tareas: cifrado y conexiones, permisos y seguimiento, aislamiento de sitios, cookies y comportamiento entre sitios, WebRTC y fugas de IP, descargas y contenido mixto, más un bloque de herramientas para usuarios avanzados y administradores.
Protección de la conexión: HTTPS por defecto y advertencias más estrictas
1. HTTPS Upgrades — chrome://flags/#https-upgrades. Cuando es posible, el navegador redirige automáticamente una petición HTTP a la versión HTTPS del sitio. Esto reduce el riesgo de intercepción de tráfico y de sustitución de contenido en redes públicas. Combina bien con la opción del sistema «Usar siempre conexiones seguras» en Seguridad.
2. HTTPS-First Mode Setting — chrome://flags/#https-only-mode-setting (en versiones nuevas puede estar ya en la configuración). En modo estricto, Chrome advierte y detiene las redirecciones a páginas HTTP no seguras. Para la navegación habitual es cómodo, pero en sitios obsoletos puede implicar clics adicionales: sopese el compromiso.
3. Insecure download warnings — chrome://flags/#insecure-download-warnings. Alertas adicionales al descargar desde fuentes no seguras o en contenido mixto. Al principio resulta molesto, pero pronto se adquiere la costumbre de no descargar archivos de orígenes dudosos.
Permisos y control de acceso: menos rastros, menos molestias
4. One-time permissions — chrome://flags/#one-time-permission. Concesión de geolocalización, cámara o micrófono por una sola vez: el sitio tendrá acceso solo durante la sesión actual, sin permisos permanentes. Es un buen compromiso entre comodidad y privacidad.
5. Permission Chip — chrome://flags/#permission-chip y las variantes asociadas (en algunas versiones ya viene activado por defecto). Las solicitudes de permiso aparecen como un «chip» discreto junto al icono del candado, lo que facilita detectarlas y controlarlas. Reduce el riesgo de clics automáticos en ventanas emergentes.
6. Quiet notification prompts — chrome://flags/#quiet-notification-prompts. Solicitudes de notificación silenciosas sin banners intrusivos. Más orden y menos aceptaciones accidentales, lo que reduce el seguimiento oculto vía notificaciones push.
Aislamiento de sitios: un «contenedor» adicional contra ataques entre sitios
Chrome moderno ya aplica aislamiento en escenarios sensibles, pero los flags permiten reforzar el modelo de procesos y separar el contenido con más rigor.
7. Isolate Origins — chrome://flags/#isolate-origins. Permite enumerar manualmente dominios que deben ejecutarse en procesos separados. Es útil para bancos, portales corporativos y todo aquello donde la protección de sesiones sea crítica.
8. Origin-keyed processes by default — chrome://flags/#origin-keyed-processes-by-default. Aislamiento más estricto a nivel de origen. Mejora la protección frente a ciertas clases de vulnerabilidades (incluidos canales laterales), pero puede incrementar el uso de memoria. En equipos potentes es una buena opción.
Cómo probar el aislamiento: active los flags de uno en uno, compare el consumo de memoria en chrome://memory-internals, verifique el funcionamiento de sitios corporativos y aplicaciones web complejas. Si algo falla, desactive el último flag activado en lugar de revertir todo de golpe.
Cookies, solicitudes entre sitios y seguimiento
9. Cookies without SameSite must be secure — chrome://flags/#cookies-without-same-site-must-be-secure. Refuerza la exigencia para cookies sin el atributo SameSite correcto: esos archivos solo deben transmitirse por HTTPS. Reduce el riesgo de intercepción y fugas de sesión.
10. Partitioned cookies (CHIPS) — chrome://flags/#partitioned-cookies y entradas relacionadas. Cookies particionadas (CHIPS) segmentan las cookies por contextos de inserción y reducen el seguimiento entre sitios. En la práctica, se le rastrea menos al visitar distintos sitios y los rastreadores publicitarios pierden la correlación entre sesiones.
11. First-Party Sets — chrome://flags/#use-first-party-set (el nombre puede variar). Agrupa dominios relacionados de una misma organización con reglas más previsibles de intercambio de datos. Para el usuario suele ser positivo para la privacidad: es más difícil que terceros unan perfiles.
WebRTC y la exposición de la IP local
Aun usando VPN, los sitios pueden intentar conocer su IP local vía WebRTC. Los flags ayudan a limitar esas fugas.
12. Anonymize local IPs exposed by WebRTC — chrome://flags/#enable-webrtc-hide-local-ips-with-mdns. Las direcciones locales se sustituyen por nombres mDNS y no se exponen directamente. Para videollamadas todo funciona como siempre, pero la privacidad mejora.
13. WebRTC IP handling policy (más estricto) — chrome://flags/#webrtc-stun-origin y entradas afines. En compilaciones donde están disponibles permiten endurecer qué candidatos ICE y en qué condiciones se anuncian. Si utiliza llamadas en navegador con frecuencia, pruebe el comportamiento antes de activarlo de forma permanente.
Descargas y contenido mixto
14. Treat insecure downloads as active mixed content — chrome://flags/#treat-unsafe-downloads-as-active-content. Las descargas desde HTTP en páginas HTTPS se tratan como contenido activo no seguro. Esto aumenta la sensibilidad de los mecanismos de protección ante tales operaciones.
15. Enable download bubble + deep scanning — chrome://flags/#download-bubble y chrome://flags/#download-bubble-v2. La nueva interfaz de descargas hace que los archivos riesgosos sean más visibles y fáciles de gestionar. Combinado con la función de protección contra sitios peligrosos, reduce la probabilidad de ejecutar malware.
Acceso a red privada: bloqueo de solicitudes «ocultas» a la red local
16. Block insecure private network requests — chrome://flags/#block-insecure-private-network-requests. Impide que sitios desde Internet público (HTTP/HTTPS) contacten con nodos de su red local sin cumplir condiciones adicionales. Es una protección importante contra escenarios en los que una página web intenta sondear el router, impresora o NAS de la red doméstica.
17. Reglas PNA más estrictas para WebSockets/Workers — en versiones nuevas de Chrome pueden aparecer entradas adicionales que amplían el alcance de las reglas de PNA a distintos protocolos y escenarios. Si nota que aplicaciones web locales dejan de funcionar, revise este bloque de flags y relaje temporalmente la regla para hosts de confianza.
Protección frente a ataques silenciosos mediante gráficos y renderizado
18. Strict Origin Isolation / RenderDocument — chrome://flags/#strict-origin-isolation, chrome://flags/#enable-renderdocument. Estas opciones refuerzan los límites entre documentos y procesos de renderizado. Para el usuario significa menos probabilidad de que un fallo en un contenido afecte a otro.
19. GPU rasterization: solo con confianza — chrome://flags/#enable-gpu-rasterization. No es estrictamente una opción de seguridad, pero la aceleración gráfica por GPU a veces muestra fallos en controladores. Si usa portales corporativos con gráficos complejos, actívela con prudencia: la seguridad también implica previsibilidad.
Herramientas de diagnóstico y perfiles
20. Safety Check fast path — en algunas compilaciones hay flags que aceleran o amplían la comprobación. Pero incluso sin ellas conviene adquirir el hábito de abrir periódicamente Comprobación de seguridad y pulsar «Comprobar ahora». Actualizará la protección contra phishing, comprobará fugas de contraseñas y la vigencia de las actualizaciones.
21. Perfil separado para tareas de riesgo. No es un flag, sino una práctica: cree un perfil de Chrome separado para la banca/trabajo y otro para pruebas, streaming y sitios experimentales. Diferentes perfiles implican cookies, caché y extensiones aisladas. Se reduce el riesgo de «traslado» de seguimiento y sesiones.
Flags y políticas corporativas: cuando usted es administrador
Si supervisa un parque de dispositivos, los flags no son la mejor vía para una configuración a largo plazo. Es preferible aplicar políticas de Chrome Enterprise, que se pueden gestionar centralmente. No obstante, los flags sirven para pilotar: evaluar si rompen escenarios de trabajo, cuánto aumenta el consumo de memoria o si hay problemas de compatibilidad con complementos.
- IsolateOrigins y políticas afines — para forzar el aislamiento de dominios sensibles.
- BlockInsecurePrivateNetworkRequests — para PNA en equipos gestionados.
- CookiesWithSameSiteMustBeSecure — modo estricto para cookies problemáticas.
En la fase piloto mantenga una lista de excepciones y registre la retroalimentación de los usuarios: es preferible detectar un «falso negativo» en funcionamiento que activar una decena de opciones a ciegas.
Riesgos y efectos secundarios: qué puede salir mal
Las funciones experimentales a menudo entran en conflicto entre sí o con extensiones. El aislamiento de sitios incrementa el número de procesos y el uso de memoria. PNA puede romper el acceso a dispositivos de la red local a través de interfaces web. Los modos estrictos de HTTPS y de descargas dificultan sitios antiguos y portales corporativos legados.
Regla básica: active los flags uno a uno y, tras cada reinicio, verifique los escenarios de trabajo habituales. Si aparece un problema, vuelva a chrome://flags, desactive solo el último experimento y márquelo como «en duda». Tras un par de versiones vuelva a intentarlo: muchas funciones se estabilizan con el tiempo y pasan a la configuración estándar.
Lista de verificación breve para el endurecimiento seguro de Chrome
- En la configuración active «Usar siempre conexiones seguras», «DNS seguro» y «Solicitudes de notificación silenciosas».
- En la página de flags active: HTTPS Upgrades, Insecure download warnings, One-time permissions, Permission Chip.
- Refuerce el aislamiento: Origin-keyed processes by default (si está disponible) y/o configure Isolate Origins para bancos y portales corporativos.
- Limite fugas de WebRTC: Hide local IPs with mDNS.
- Proteja la red local: Block insecure private network requests.
- Revise descargas y contenido mixto: Treat insecure downloads as active content, y si lo desea, el nuevo interfaz de descargas.
- Una vez al mes ejecute la «Comprobación de seguridad», limpie caché y cookies de sesiones antiguas y revise la lista de permisos de los sitios.
Enlaces rápidos útiles (pegue en la barra de direcciones)
- Redirección a HTTPS:
chrome://flags/#https-upgrades - HTTPS-First (si está disponible como flag):
chrome://flags/#https-only-mode-setting - Advertencias de descargas no seguras:
chrome://flags/#insecure-download-warnings - Permisos de una sola vez:
chrome://flags/#one-time-permission - Permission Chip:
chrome://flags/#permission-chip - Aislamiento de dominios:
chrome://flags/#isolate-origins - Procesos por origen:
chrome://flags/#origin-keyed-processes-by-default - Ocultar IP local en WebRTC:
chrome://flags/#enable-webrtc-hide-local-ips-with-mdns - Bloqueo de solicitudes inseguras a la red local:
chrome://flags/#block-insecure-private-network-requests - Más estricto con cookies sin SameSite:
chrome://flags/#cookies-without-same-site-must-be-secure - Cookies particionadas (CHIPS):
chrome://flags/#partitioned-cookies - Tratar descargas no seguras como contenido activo:
chrome://flags/#treat-unsafe-downloads-as-active-content
Algunos escenarios prácticos
Ordenador doméstico con banco en línea
Active: flags de HTTPS, advertencias de descargas, Permission Chip y One-time permissions. Para el banco añada el dominio en Isolate Origins para que la sesión viva en su propio proceso. Si usa llamadas por navegador, compruebe el funcionamiento del ocultamiento de IP de WebRTC antes de dejarlo activo permanentemente.
Estación de trabajo para periodista/editor
Use dos perfiles: uno de trabajo y otro para navegación/pruebas. En el perfil de trabajo mantenga HTTPS estricto, solicitudes de notificación silenciosas, bloqueo PNA e aislamiento de orígenes para el CMS y el dominio de correo. En el perfil de navegación puede experimentar con el resto de flags.
Portátil ligero con 8 GB de RAM
El aislamiento aumenta la seguridad pero consume memoria. Pruebe primero Permission Chip, permisos de una sola vez, funciones HTTPS y PNA. Si el navegador se vuelve «pesado» tras activar origin-keyed processes, desactive ese flag en concreto.
Resumen
Los flags son una herramienta potente para mejorar la protección de Chrome sin extensiones adicionales. Empiece por el modo HTTPS, reglas estrictas para descargas y solicitudes a la red local, añada permisos de una sola vez y una interfaz de solicitudes clara. Luego, si es necesario, refuerce el aislamiento de sitios y el tratamiento de cookies. Lo principal es avanzar paso a paso, documentar los cambios y recordar que la estabilidad es más importante que marcar muchas casillas por sistema.
Nota: los nombres de algunos flags y su disponibilidad pueden cambiar según la versión. Si no encuentra un flag por el enlace de la lista, pruebe a buscar por palabra clave en chrome://flags o compruebe si la función se ha movido a la configuración habitual.
Ajustes útiles que vale la pena revisar: Seguridad, Cookies y datos de sitios, Borrar datos de navegación, Permisos de sitios.
