La llegada de agentes de inteligencia artificial integrados en el navegador está cambiando la forma en que usamos la web. En Chrome, estos agentes basados en Gemini ya no se limitan a mostrar páginas: pueden buscar información, completar formularios o avanzar en procesos de compra por nosotros, lo que abre la puerta a una navegación mucho más automatizada, pero también a nuevos riesgos de seguridad que preocupan especialmente en Europa, donde la protección de datos y la ciberseguridad son un tema sensiblemente regulado.
Google ha decidido adelantarse a esos riesgos con un refuerzo específico de las defensas de Chrome frente a ataques de inyección. La compañía sabe que un agente con demasiada libertad y poca protección podría convertirse en una herramienta muy peligrosa en manos de un atacante, capaz de realizar acciones que el usuario nunca habría autorizado. Por eso, el equipo de seguridad del navegador ha diseñado una arquitectura propia para estos agentes, extendiendo principios clásicos como el aislamiento de origen y adaptándolos al nuevo contexto de la llamada “web agéntica”.
Agentes en Chrome: potencia y nuevos riesgos de seguridad
Con la integración de Gemini, Chrome empieza a incorporar agentes capaces de planificar y ejecutar cadenas de acciones en nombre del usuario. Por ejemplo, pueden recopilar datos desde varias webs, analizarlos, completar un formulario o incluso iniciar un proceso de compra sin que la persona tenga que intervenir en cada paso. Este salto tecnológico promete comodidad y productividad, tanto para usuarios particulares como para empresas en España y el resto de Europa.
El problema es que, si estos agentes no están correctamente blindados, el foco del ataque deja de ser el usuario y pasa a ser el propio modelo de IA. Deja de tratarse solo de mostrar una web maliciosa o un anuncio engañoso, y pasa a consistir en manipular el contenido que ve el agente para que tome decisiones que perjudican al usuario: autorizar pagos, compartir datos confidenciales o visitar sitios no deseados.
Con este escenario en mente, Google ha optado por una arquitectura específica de seguridad que amplía las medidas ya conocidas del navegador tradicional. Se trata de aplicar principios como el aislamiento entre sitios o el control estricto de permisos, pero llevados al terreno en el que un modelo de IA actúa de intermediario entre el usuario y la web, algo que hasta ahora no estaba cubierto por los modelos de amenazas clásicos.
Este enfoque resulta especialmente relevante en mercados donde la regulación de datos personales y servicios digitales es estricta, como el entorno europeo. Aunque Google no ha detallado medidas exclusivas para la UE, el diseño de estas defensas apunta a reducir el riesgo de fugas de información y acciones no autorizadas, algo muy alineado con las exigencias de los reguladores comunitarios.
Inyección indirecta: el nuevo punto débil de los agentes
La amenaza que más preocupa en este nuevo contexto es la llamada inyección indirecta. A diferencia de otros ataques más clásicos, donde el objetivo suele ser engañar directamente al usuario, aquí el blanco es el modelo de inteligencia artificial que controla al agente. El atacante intenta colar instrucciones o contenido malicioso que el modelo interprete como legítimo y acabe siguiendo.
Lo delicado de este tipo de ataques es que las instrucciones maliciosas pueden esconderse en contenido aparentemente inocuo. Comentarios de usuarios en una página, anuncios, textos incrustados mediante iframes de terceros o incluso fragmentos escritos de forma intencionada para desviar la toma de decisiones del modelo pueden servir de canal para alterar el comportamiento del agente.
Si ese intento tiene éxito, las consecuencias pueden ser serias: un agente manipulado podría iniciar transacciones financieras sin supervisión suficiente, filtrar datos sensibles o ejecutar acciones que el usuario no ha autorizado claramente. En el caso de usuarios en España o en otros países europeos, esto podría impactar tanto en su seguridad económica como en el cumplimiento normativo sobre protección de datos.
Para minimizar estos riesgos, el equipo de Chrome ha optado por una estrategia de defensa en profundidad. No se confía todo a un único filtro, sino que se combinan controles deterministas —reglas claras, basadas en permisos y políticas técnicas— con modelos de detección probabilísticos, también basados en IA, que intentan identificar comportamientos o contenidos sospechosos antes de que el agente los tome por válidos.
De esta manera, manipular a un agente se vuelve mucho más caro y complicado para un atacante. No basta con introducir un texto malicioso en una página: ese contenido tiene que superar varias capas de revisión, algunas basadas en reglas rígidas del navegador y otras en modelos que valoran si la acción propuesta tiene sentido para el usuario y el contexto.
El Crítico de Alineación de Usuario: un segundo modelo que vigila al primero
Entre las novedades más destacadas se encuentra el llamado Crítico de Alineación de Usuario (User Alignment Critic). En esencia, es un modelo independiente, también basado en la tecnología de Gemini, cuya tarea es revisar lo que el agente quiere hacer antes de que el navegador lo ejecute realmente.
Este crítico funciona como una especie de supervisor interno: cada vez que el agente propone una acción —por ejemplo, enviar un formulario, visitar una nueva web o interactuar con un elemento sensible de la página—, el crítico evalúa si esa acción parece estar alineada con lo que el usuario espera y con la tarea que está realizando.
Si el crítico detecta algo extraño, puede bloquear la acción, pedir una confirmación adicional o aplicar reglas más restrictivas. La idea es que no baste con que el modelo principal haya “decidido” hacer algo, sino que exista una segunda opinión automatizada que actúe como freno cuando sea necesario, especialmente en los pasos con mayor impacto potencial.
Este enfoque encaja con la tendencia del sector a introducir mecanismos de supervisión y alineación en sistemas de IA complejos. En el contexto europeo, donde se está impulsando una regulación específica para la inteligencia artificial, contar con este tipo de salvaguardas puede ser clave para que navegadores con agentes cumplan con los estándares esperados y resulten aceptables para autoridades y usuarios.
Además, Google indica que existen variantes de este crítico especializadas en distintas fases de la navegación. Por ejemplo, antes de cargar un nuevo sitio o procesar ciertos datos, una versión adaptada del crítico revisa si la acción propuesta es razonable o si podría exponer información privada, reduciendo así la probabilidad de fugas involuntarias.
Conjuntos de Origen del Agente: dónde puede leer y dónde puede actuar
Otra de las piezas centrales de esta estrategia son los llamados Conjuntos de Origen del Agente. Se trata de una evolución de la política del mismo origen y del aislamiento de sitio que Chrome ya aplica desde hace años, pero llevada al terreno de los agentes de IA que tienen que interactuar con múltiples webs para completar una tarea.
En la práctica, cuando un usuario le pide algo complejo al agente —por ejemplo, comparar precios en varias tiendas online europeas y completar una reserva—, Chrome no le permite acceder de forma indiscriminada a cualquier origen de internet. En su lugar, define de forma arquitectónica un conjunto limitado de sitios con los que ese agente puede trabajar en función de lo que el usuario ha pedido o de lo que haya autorizado de forma explícita.
Estos conjuntos se dividen en dos categorías principales. Por un lado están los orígenes de solo lectura, desde los que el agente puede consumir contenido —leer texto, analizar precios, revisar opiniones— pero sin poder realizar acciones. Por otro lado, se encuentran los orígenes de lectura y escritura, en los que además de ver la información, el agente puede interactuar: hacer clic, introducir texto o enviar formularios.
De esta forma, el navegador se asegura de que el agente no tenga acceso a contenidos de sitios irrelevantes para la tarea actual. Los iframes o elementos incrustados que no tengan relación con lo que el usuario está intentando hacer ni siquiera se exponen al modelo, lo que reduce significativamente las posibilidades de filtraciones entre sitios o de inyecciones indirectas a través de contenido secundario.
Un aspecto importante es que las funciones que deciden qué orígenes entran o no en estos conjuntos se ejecutan fuera del alcance del contenido web no confiable. Es decir, un sitio malicioso no puede influir directamente en la lista de webs a las que el agente podrá acceder. Además, el propio agente no tiene capacidad para ampliarla por su cuenta: cualquier cambio en esos conjuntos requiere pasar por la lógica de seguridad del navegador.
Navegaciones, URLs y papel del usuario en las decisiones críticas
El control no se limita a los sitios con los que el agente puede interactuar; también afecta a las navegaciones que propone y a las URLs que genera. Si el modelo sugiere visitar un nuevo origen que no está dentro del conjunto permitido, Chrome no lo hace sin más. Antes de iniciar la carga de la página, una variante del Crítico de Alineación analiza si esa navegación tiene sentido para la tarea en curso o si podría ser un intento de desviar al agente hacia un entorno menos seguro.
Además, el navegador aplica comprobaciones deterministas adicionales para evitar que las URLs generadas por el modelo contengan información privada o identificadores sensibles. En la medida de lo posible, se limita al uso de dominios públicos conocidos, reduciendo así la exposición de datos personales y la probabilidad de que se construyan enlaces que revelen más de la cuenta.
A pesar del alto grado de automatización, Chrome mantiene al usuario como figura clave en los momentos delicados. Todas las acciones del agente quedan reflejadas en un registro visible de trabajo, de modo que la persona puede seguir qué está haciendo el sistema, pausar una tarea o cancelarla por completo si detecta algo que no le encaja.
En las operaciones especialmente sensibles, el navegador exige siempre una confirmación explícita. Hablamos de pasos como acceder a webs de banca o salud, iniciar sesión mediante Google Password Manager, o completar pagos y compras online. En estos casos, el agente se detiene y solicita permiso de manera clara, convirtiéndose en una última barrera frente a errores del modelo o intentos de ingeniería social que busquen forzar una acción sin que el usuario se dé cuenta.
Todo este entramado de controles, modelos de supervisión y participación activa del usuario muestra hasta qué punto Google está intentando adaptar Chrome a un futuro en el que los agentes de IA tendrán un papel protagonista. Con medidas como el Crítico de Alineación de Usuario, los Conjuntos de Origen del Agente y las restricciones a la inyección indirecta, el navegador pretende ofrecer más automatización sin renunciar al control ni a la seguridad, un equilibrio especialmente relevante para los millones de personas y organizaciones que dependen de Chrome en España y en el resto de Europa.
