Una investigación de Palo Alto Networks Unit 42 ha puesto al descubierto una vulnerabilidad crítica en Google Chrome que abría la puerta a que extensiones maliciosas tomaran el control de la nueva barra lateral de inteligencia artificial Gemini Live. Este fallo, identificado como CVE-2026-0628 y valorado con 8,8 en la escala CVSS, ya ha sido corregido por Google, pero ilustra con claridad los riesgos emergentes de integrar agentes de IA directamente en el navegador.
Vulnerabilidad CVE-2026-0628 en Gemini Live: qué ha ocurrido
El problema residía en la forma en que Chrome aplicaba sus políticas de seguridad al componente WebView responsable de cargar la interfaz de Gemini Live desde la URL interna chrome://glic. Gemini Live, incorporado al navegador en septiembre de 2025, funciona como un asistente de IA profundamente integrado con Chrome y con el servicio gemini.google.com.
Según el investigador de Unit 42 Gal Weizman, que reportó el fallo a Google en noviembre de 2025, una extensión con un conjunto de permisos relativamente básico podía inyectar código JavaScript arbitrario en el contexto de Gemini Live aprovechando el declarativeNetRequest API. Este API permite a las extensiones interceptar y modificar peticiones y respuestas HTTPS, y es ampliamente utilizado, por ejemplo, por bloqueadores de publicidad.
El error de diseño clave fue que el WebView asociado a chrome://glic no fue excluido del ámbito de las reglas de declarativeNetRequest. En consecuencia, las extensiones no solo podían afectar al tráfico de sitios web convencionales, algo esperado y en gran medida controlado, sino también al componente interno de alto privilegio encargado de la IA Gemini Live.
En términos de arquitectura de seguridad, esto rompe el modelo de separación de privilegios de Chrome: mientras la manipulación de contenido de páginas web por extensiones está contemplada, la interferencia directa en componentes de sistema del navegador se considera un riesgo de primer orden.
Cómo podían abusar las extensiones maliciosas de Gemini Live
A diferencia de una pestaña normal, la barra lateral de Gemini Live forma parte del propio navegador y opera en un contexto de confianza superior. Para ofrecer sus funciones, el asistente dispone de acceso ampliado, que puede incluir la lectura y procesamiento de archivos locales, la creación de capturas de pantalla y el acceso a cámara y micrófono, además de una mayor integración con el entorno del sistema.
Si un usuario instalaba una extensión maliciosa —por ejemplo, a través de un sitio de phishing, un supuesto “optimizador de rendimiento” o un clon de una herramienta popular—, esta podía modificar las respuestas de red utilizadas por la interfaz de Gemini Live. De este modo, era posible inyectar JavaScript propio en la barra lateral de IA y heredar los mismos privilegios que el asistente.
La industria ha documentado en múltiples ocasiones cómo extensiones aparentemente legítimas se convierten en módulos espía tras una actualización o un cambio de propietario, pasando a recolectar datos, inyectar anuncios o manipular tráfico web. En este caso, el impacto potencial aumentaba significativamente debido al nivel de acceso inherente a un componente de IA integrado en el navegador.
IA integrada en el navegador: un nuevo vector de ataque
La incorporación de agentes de inteligencia artificial en el navegador crea un vector de ataque distinto al de las amenazas tradicionales basadas en JavaScript. Para ser realmente útiles, estos asistentes necesitan visibilidad sobre el contenido de las pestañas, el sistema de archivos y, en algunos casos, sobre recursos del propio sistema operativo, lo que los convierte en un objetivo especialmente atractivo.
Riesgo de prompt injection y persistencia de instrucciones
Uno de los riesgos más relevantes es el prompt injection o inyección de instrucciones ocultas. Una página web maliciosa puede incluir indicaciones invisibles para el usuario —en comentarios HTML, iframes o texto oculto— que el asistente de IA procesa como órdenes válidas: abrir un archivo concreto, leer tokens de sesión visibles en otra pestaña, exfiltrar fragmentos de pantalla o tratar de eludir los controles de seguridad que el navegador impondría a un script convencional.
La amenaza se agrava si el agente de IA mantiene memoria entre sesiones. En ese escenario, una única visita a un sitio comprometido puede “infectar” el contexto interno del asistente con instrucciones persistentes, creando un canal continuo de fuga de datos o rutas de escalada de privilegios difíciles de detectar mediante técnicas tradicionales.
Desde la perspectiva de ingeniería de seguridad, alojar estos agentes en un contexto de alto privilegio aumenta la superficie para errores lógicos, fallos de aislamiento en WebView, XSS en interfaces internas y ataques de canal lateral, que pueden ser explotados tanto por sitios web menos privilegiados como por extensiones.
Actualizaciones de Chrome y recomendaciones de seguridad
Google ha corregido CVE-2026-0628 mediante actualizaciones de Chrome: versiones 143.0.7499.192/.193 para Windows y macOS y 143.0.7499.192 para Linux. Es fundamental que los usuarios verifiquen que el navegador está actualizado, ya que los parches de seguridad se distribuyen exclusivamente a través de estas versiones.
Como medidas preventivas, se recomiendan buenas prácticas básicas de ciberseguridad en extensiones de navegador: instalar únicamente desde fuentes confiables, revisar con atención los permisos solicitados, realizar auditorías periódicas de las extensiones instaladas y eliminar aquellas que no se utilicen. En organizaciones, resulta recomendable aplicar políticas centralizadas que restrinjan el catálogo de extensiones a una lista aprobada.
Para desarrolladores de navegadores y plataformas de IA, este incidente refuerza la necesidad de redefinir los modelos de amenaza para agentes de IA: aislar estrictamente los componentes de alto privilegio, separar de forma clara WebView y extensiones, excluir de declarativeNetRequest las URL internas y aplicar de manera rigurosa el principio de mínimo privilegio en las funciones de los paneles de IA. A medida que la inteligencia artificial se integra más profundamente en el navegador y el sistema operativo, la seguridad dependerá de diseñar mecanismos de aislamiento robustos que limiten el impacto de cualquier código potencialmente malicioso, ya provenga de un sitio web o de una extensión.
