VOLVER A NOTICIAS
InvestigaciónBajo

Chrome aplicará HTTPS por defecto en 2026: Lo que los equipos de seguridad deben saber

4 min de lecturaFuente: Google Security Blog
Chrome security settings showing 'Always Use Secure Connections' toggle for HTTPS enforcement

Google implementará HTTPS por defecto en Chrome a partir de octubre de 2026. Descubre el impacto, riesgos y recomendaciones para equipos de seguridad y administradores.

Chrome aplicará "Siempre usar conexiones seguras" por defecto a partir de octubre de 2026

Google ha anunciado que Chrome habilitará la opción "Always Use Secure Connections" (Siempre usar conexiones seguras) por defecto a partir de Chrome 154 en octubre de 2026. Este cambio requerirá permiso del usuario antes de acceder a cualquier sitio público sin HTTPS, marcando un giro significativo en la postura de seguridad del navegador.

Detalles clave

  • Cronograma: La configuración se implementará para usuarios de Enhanced Safe Browsing en Chrome 147 (abril de 2026) antes de convertirse en predeterminada para todos los usuarios en Chrome 154 (octubre de 2026).
  • Alcance: La función se aplicará solo a sitios públicos, excluyendo direcciones de redes privadas/locales (ej. 192.168.0.1, intranet/).
  • Impacto en usuarios: Chrome mostrará una advertencia evitable para sitios no HTTPS, con una frecuencia limitada a dominios nuevos o visitados con poca frecuencia para minimizar interrupciones.

Razón técnica

La decisión de Google surge de los riesgos de seguridad persistentes asociados con HTTP, incluyendo:

  • Ataques de intermediario (MITM): Los atacantes pueden secuestrar navegaciones para inyectar malware, explotar vulnerabilidades o realizar phishing. El Threat Analysis Group de Google ha documentado exploits reales que aprovechan HTTP para ataques dirigidos.
  • Redirecciones invisibles: Muchos sitios HTTP redirigen inmediatamente a HTTPS, ocultando la conexión inicial insegura tanto a los usuarios como a las advertencias de Chrome "No seguro".
  • Adopción estancada de HTTPS: Aunque el 95–99% de las navegaciones a sitios públicos ahora usan HTTPS (según el informe de transparencia de Google), el 5% restante de tráfico HTTP aún representa riesgos significativos. Los sitios privados/locales tienen una adopción aún menor, con solo 84% en Linux.

Análisis de impacto

Beneficios de seguridad

  • Reduce la superficie de ataque: HTTPS por defecto mitiga los riesgos de MITM en sitios públicos, que son objetivos principales para la explotación.
  • Fomenta la migración a HTTPS: Las organizaciones con sitios HTTP olvidados (ej. aquellos que usan redirecciones HTTP-a-HTTPS) tendrán un incentivo para adoptar HTTPS por completo.
  • Mejoras en redes locales: El permiso de acceso a la red local de Google permite que los sitios HTTPS eviten el bloqueo de contenido mixto para dispositivos locales aprobados, habilitando configuraciones seguras.

Posibles desafíos

  • Fricción en redes empresariales/locales: Los sitios privados (ej. routers, dispositivos IoT) pueden carecer de certificados HTTPS debido a nombres no únicos (ej. 192.168.0.1), aunque estos representan un riesgo menor que los sitios públicos.
  • Fatiga del usuario: Aunque las advertencias se limitan a sitios nuevos o poco frecuentados, algunos usuarios aún podrían encontrarlas disruptivas. La configuración seguirá siendo optativa (opt-out).

Recomendaciones

  1. Para equipos de seguridad

    • Auditar el uso de HTTP: Habilita "Always Use Secure Connections" en Chrome hoy (chrome://settings/security) para identificar sitios que requieren migración a HTTPS.
    • Priorizar sitios públicos: Enfócate en dominios con redirecciones HTTP o contenido mixto, ya que estos son los más propensos a activar advertencias.
    • Aprovechar permisos de red local: Usa la API de Local Network Access de Chrome para asegurar interacciones HTTPS con dispositivos locales.

  2. Para desarrolladores/administradores de TI

    • Revisar la guía de Google: Consulta la guía de adopción para mitigaciones específicas de empresas.
    • Probar con anticipación: Implementa Chrome 147 (abril de 2026) para validar la compatibilidad con herramientas internas y sitios privados.

  3. Para propietarios de sitios web

    • Eliminar redirecciones HTTP: Asegúrate de que todos los dominios públicos carguen directamente sobre HTTPS para evitar advertencias.
    • Obtener certificados para sitios privados: Explora soluciones como Let’s Encrypt o autoridades certificadoras internas para redes locales.

Mirando hacia el futuro

Google planea reducir aún más las barreras para la adopción de HTTPS, especialmente en sitios de redes locales. Futuras actualizaciones podrían extender las protecciones a dominios privados, aunque aún no se ha anunciado un cronograma.

Por ahora, los equipos de seguridad deben tratar este cambio como un catalizador para eliminar dependencias residuales de HTTP y fortalecer la infraestructura web frente a amenazas de MITM.

Publicado por el equipo de seguridad de Chrome (Chris Thompson, Mustafa Emre Acer, Serena Chen, Joe DeBlasio, Emily Stark, David Adrian).

Compartir

TwitterLinkedIn