El navegador web ha pasado de ser una simple herramienta para explorar la web, a convertirse en el centro de nuestra vida digital: lo usamos para trabajar, comprar, comunicarnos y buscar. Esto lo convierte también en un objetivo clave para los ciberdelincuentes, que aprovechan desde extensiones maliciosas hasta fallos y vulnerabilidades para intentar penetrar nuestros dispositivos. Al mismo tiempo, su arquitectura compartida y la cantidad de complementos amplían la superficie de ataque, lo cual vuelve más urgente que nunca prestarle atención a su seguridad.

Nueva medida de Chrome: advertencia al abrir sitios HTTP

Google Chrome ha anunciado que, a partir de su versión 154 prevista para octubre de 2026, activará por defecto la función denominada “Always Use Secure Connections”, de modo que advertirá al usuario antes de cargar un sitio que utilice HTTP en lugar de HTTPS. Una función que ya existe, no solo en Chrome, pero pocos usuarios la tienen activada por defecto.

Google advierte que cuando no se emplea HTTPS, un atacante puede secuestrar la navegación, forzar la carga de recursos maliciosos y exponer al usuario a malware o ataques de ingeniería social.

Firefox y Brave refuerzan la privacidad

Mozilla Firefox empezará a exigir desde el 3 de noviembre de 2025 que los desarrolladores de extensiones indiquen explícitamente en su archivo manifest.json si recogen o comparten datos de usuario, incluyendo nombres, correos, términos de búsqueda o actividad de navegación. Esta nueva política también exige que las extensiones que no recogen datos lo declaren expresamente, para que los usuarios lo vean de forma clara en el momento de la instalación y en la página de gestión de complementos.

Por otro lado Brave Search, el buscador del navegador Brave, ha conseguido una certificación SOC 2 Tipo II, una auditoría independiente que avala que sus controles de seguridad y privacidad funcionan realmente y no solo “en teoría”. La empresa afirma que no tuvo que cambiar sustancialmente sus prácticas para lograrlo, lo que refuerza que su promesa de proteger datos y evitar rastreadores no es solo marketing, sino un compromiso real y tangible.

Vulnerabilidades para todos: genéricas y específicas

En los últimos días se ha detectado un nuevo exploit denominado “Brash” que afecta a la mayoría de los navegadores basados en Chromium (como Google Chrome, Microsoft Edge, Brave, entre otros). Este exploit aprovecha una debilidad de arquitectura para provocar que el navegador se bloquee instantáneamente mediante una única URL (enlace) maliciosa. El hecho realmente preocupante es que no se trata de un fallo aislado de uno o dos navegadores, sino de un fallo que afecta a miles de millones de usuarios potenciales, por compartir la misma base Chromium. El mismo exploit puede golpear varios navegadores al mismo tiempo.

También se ha documentado un caso más grave aún: un fallo zero-day en Chrome (CVE‑2025‑2783) que ya ha sido explotado para lanzar una campaña de espionaje llamada Operation ForumTroll, dirigida a organizaciones rusas. En este caso, los atacantes enviaban correos con enlaces personalizados que, al abrirse en Chrome o cualquier navegador Chromium, permitían saltarse el sandbox del navegador y entregar software espía (spyware) sofisticado.

Las vulnerabilidades en el navegador no solo son molestos crashes, bloqueos o anuncios, sino puertas de entrada a la instalación de malware, robo de información o vigilancia. Para completar, el hecho de que tantos navegadores compartan el mismo núcleo (Chromium) significa que un problema técnico en ese núcleo ya no es un riesgo aislado: es un riesgo generalizado. Cuando aparece una falla allí, todo el ecosistema de navegadores puede quedar expuesto.

Las recomendaciones más extendidas son: mantener tu navegador siempre actualizado, ya que muchas vulnerabilidades se corrigen rápidamente una vez detectadas. Evitar extensiones y complementos desconocidos, poco revisados o sospechosos, y revisar los permisos al instalarlos. Activar modos de conexión seguros con HTTPS, bloquear cookies de terceros y, de vez en cuando, limpiar el caché y cookies para reducir rastreo y exposición de datos.