Actualiza Chrome: falla en Gemini Live da acceso a cibercriminales a tus dispositivos

La vulnerabilidad de Google Chrome que permite a extensiones maliciosas acceder al panel de Gemini Live y acceder a cámara, micrófono y archivos. Ya hay parche: actualiza ya!

Actualizar las aplicaciones y programas de nuestros dispositivos no suele ser una recomendación agradable: sin embargo, el no hacerlo, es darle la llave maestra a los cibercriminales a nuestro hogar y a nuestros datos. En navegadores como Google Chrome —que domina la navegación en celulares y computadoras a nivel mundial con 65.55% de cuota en febrero de 2026, según StatCounter— donde, a diario, accedemos a nuestros correos, bancos, actividades laborales y sociales, una versión desactualizada del programa puede convertir una sesión cotidiana en un punto de acceso para cibercriminales.

Y hoy, en pleno auge y desarrollo de la Inteligencia Artifical, en el navegador, que ya integra funciones “agénticas” —capaces de ver el contexto, automatizar acciones y tocar recursos del sistema— el impacto de una falla deja de ser solo un problema del navegador: puede convertirse en una oportunidad para que te espíen o te roben información y hagas parte de la estadística de personas hackeadas este 2026.

Si bien la vulnerabilidad fue encontrada, catalogada y parcheada desde enero del presente año, importa ahora porque la condición previa (que un usuario instale una extensión) es realista tanto en entornos domésticos como en entornos empresariales.

El análisis reciente de Unit 42, la empresa que descubrió la vulnerabilidad, lo relaciona como un problema de Gemini porque el riesgo se consolida cuando la página de esta IA (gemini.google.com/app) se abre dentro del panel lateral de Gemini Live, ahí es donde el navegador puede darle más acceso del que debería, permitiendo escalar privilegios, es decir, tomar el control de tu dispositivo.

“Una aplicación insuficiente de políticas en la etiqueta WebView de Google Chrome, en versiones anteriores a la 143.0.7499.192, permitió que un atacante que convenciera a un usuario de instalar una extensión maliciosa pudiera inyectar scripts o HTML en una página privilegiada mediante una extensión de Chrome manipulada, según la descripción en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST.”

Según la descripción de la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST, en versiones de Google Chrome anteriores a la 143.0.7499.192 hubo una falla por “insuficiente aplicación de políticas” en la función WebView que permitió que un atacante, si lograba convencer a alguien de instalar una extensión maliciosa, pudiera inyectar scripts o HTML en una página con permisos especiales mediante una extensión de Chrome manipulada.

Google comenzó a integrar Gemini directamente en Chrome a partir de mayo de 2025, con un despliegue inicial en EE. UU. para escritorio, y lo fue ampliando por etapas durante 2025.

El asistente de IA, Gemini, vive dentro de una barra lateral dentro del navegador, lo cual permite que tenga el contexto de toda la actividad que tenemos mientras navegamos y permite cosas como resumir, traducir, e interactuar con el contenido y automatizar tareas en tiempo real.

No obstante, dichas funcionalidades abren la puerta a riesgos como los que precisamente la Unit 42 identificó y determinó como alto riesgo.

El punto crítico es que estas funciones “agénticas” —las que no solo leen, sino que pueden actuar— cambian el tamaño de la superficie de riesgo. Si un navegador con IA llega a ver más contexto y a tocar recursos del sistema (por ejemplo, abrir herramientas, capturar pantalla o interactuar con contenido), una falla deja de ser un problema menor: puede convertirse en una puerta de entrada para que alguien observe lo que haces, copie información o manipule tu sesión sin que sea evidente.

De acuerdo al análisis de la Unit 42, un cibercriminal que llegara a abusar de dicha vulnerabilidad, podría:

• Acceder al micrófono y cámara del dispositivo de la víctima.
• Tomar capturas de pantalla.
• Acceder a archivos y carpetas locales del sistema operativo.
• Insertar contenido malicioso dentro del panel de Gemini.

Para poder ayudarte con tareas del día a día, estos “asistentes” necesitan una visión más completa: en la práctica, ver en la pantalla lo mismo que ve el usuario. Además, se apoyan en la propia página web para entender qué está pasando y qué debe hacer, de modo que la IA pueda interpretar la información y moverse dentro del sitio según su diseño (botones, menús, formularios).

Pero esa misma capacidad —ver más y tener más acceso— también trae un riesgo: abre más puertas que alguien podría intentar aprovechar. En otras palabras, aparecen problemas de seguridad que no eran tan comunes en los navegadores tradicionales, precisamente porque antes el navegador hacía menos cosas “por ti”.

Como mencionamos anteriormente, la vulnerabilidad fue parcheada, es decir, corregida desde enero después de que fuera reportada.

Si bien la actualización puede realizarse de manera manual, las actualizaciones de Chrome se descargan y se aplican automáticamente cuando éste se cierra y se vuelve a abrir.

A pesar de ello, un gran porcentaje de los usuarios casi nunca cierra el navegador, lo cual hace que la actualización se posponga semanas e incluso meses.

Por lo tanto, para asegurarte que tu navegador esté actualizado, puedes hacerlo así:

Mantente al día con las últimas noticias de ciberseguridad y tecnología en @Hackernoticia a través de nuestras redes sociales.