Google anuncia que Chrome hará obligatorias las conexiones seguras

Ya en 2026 Google Chrome pasará a una nueva política de seguridad y requerirá por defecto HTTPS al abrir sitios públicos. Google anunció que con el lanzamiento de la versión 154 en octubre del próximo año la opción «Siempre usar conexiones seguras» se convertirá en estándar. Al mismo tiempo, el acceso a páginas sin HTTPS irá acompañado de una advertencia y de una solicitud para continuar —pero solo en la primera visita al recurso no cifrado. Las visitas repetidas al mismo sitio sin HTTPS no provocarán notificaciones adicionales, para evitar molestar en exceso a los usuarios.

En Google subrayan que la amenaza procedente de las conexiones HTTP no es teórica. Herramientas para interceptar y suplantar tráfico llevan tiempo disponibles, y las vulnerabilidades en transmisiones no cifradas ya se han utilizado en ataques —desde la instalación de código malicioso hasta técnicas de ingeniería social. Incluso una única solicitud por HTTP puede dar al atacante acceso al dispositivo, especialmente si la página carga recursos sin cifrado. En Chrome estas conexiones a menudo pasan desapercibidas, ya que un sitio HTTP puede redirigir al usuario inmediatamente a HTTPS sin dar tiempo al navegador para mostrar la advertencia.

La función de forzar HTTPS existe desde hace tiempo como opcional. Apareció por primera vez en 2022. En modo activo Chrome intenta cargar cualquier página por HTTPS y muestra una advertencia que se puede desactivar si la versión cifrada no está disponible. Hasta ahora la opción estaba disponible a elección del usuario, pero ahora se aplicará por defecto —aunque solo a recursos públicos. Las direcciones privadas, por ejemplo la IP de un dispositivo en la red doméstica o enlaces del tipo intranet/, no entrarán en esta regla.

La distinción entre sitios públicos y privados fue una decisión clave que permitió reducir la carga sobre los usuarios. Como mostraron los datos del experimento interno en Chrome 141, la mayoría de los usuarios se encuentran con la advertencia no más de una vez por semana, y el 95 % de los participantes no más de tres veces en ese periodo.

El volumen principal de las navegaciones por HTTP corresponde precisamente a direcciones privadas, que son difíciles de migrar a HTTPS por la falta de un propietario único que permita obtener un certificado. Además, esas conexiones son menos peligrosas porque el atacante tendría que estar en la misma red local.

Para los usuarios que interactúan con servicios internos con frecuencia y no necesitan notificaciones excesivas, se prevé un modo aligerado en el que el requisito de HTTPS se aplica solo a sitios públicos. Esta será la opción que se utilizará por defecto a partir de Chrome 154. El primer paso será activar la configuración en abril de 2026 —en la versión Chrome 147— para los usuarios que previamente eligieron protección mejorada del navegador.

Para prepararse ante los cambios, en Google ya comenzaron a ponerse en contacto con los propietarios de sitios que aún usan HTTP, incluidos aquellos que realizan redirecciones silenciosas a páginas cifradas. En esos casos, la migración a HTTPS no requiere esfuerzos significativos, pero hasta ahora no se había priorizado.

Además, la compañía sigue desarrollando el mecanismo de acceso seguro a dispositivos locales —por ejemplo, mediante permisos que permiten a un sitio HTTPS enviar solicitudes a IP locales sin bloquearse por «contenido mixto». Esto puede facilitar la migración de portales internos al protocolo protegido.

El equipo de seguridad de Chrome espera que la activación automática de las conexiones HTTPS aumente significativamente la protección de los usuarios. En el futuro, los desarrolladores planean reducir las barreras para obtener certificados incluso en redes locales, con el fin de ampliar la cobertura y eliminar las lagunas restantes en el modelo de seguridad del navegador.