Si tienes Chrome con Gemini, actualiza ya: un fallo grave permitía acceder a tu cámara y archivos sin permiso

Google ha integrado su IA Gemini en Chrome para hacernos la vida más fácil, pero esta mejora ha traído consigo un grave agujero de seguridad que, si bien ya ha sido solucionado, pone a todo el mundo en alerta y obliga a tomar preocupaciones clave en el futuro.

Investigadores de Palo Alto Networks han revelado que un fallo en el panel lateral del asistente permitía a los ciberdelincuentes tomar el control de los permisos del navegador, pudiendo acceder a la cámara, el micrófono o los archivos locales del usuario sin que este se diera cuenta.

La vulnerabilidad, registrada como CVE-2026-0628 y catalogada con un riesgo alto (puntuación CVSS de 8.8), reside en cómo Chrome gestionaba los permisos de su nuevo panel de IA. Extraoficialmente conocido en el sector de la ciberseguridad como ataque Glic Jack, este método se aprovechaba de una inconsistencia en el diseño del navegador.

Para que un atacante tomara el control, solo necesitaba engañar al usuario para que instalara una extensión de navegador aparentemente inofensiva y con permisos básicos, una técnica cada vez más habitual.

Al usar una herramienta de programación estándar (la API declarativeNetRequest, usada habitualmente por los bloqueadores de anuncios), la extensión lograba saltarse el aislamiento de seguridad (sandbox) e inyectar código directamente en el panel privilegiado de Gemini.

Los graves peligros de este fallo de seguridad

Como el panel de Gemini funciona de forma nativa con permisos muy superiores a los de una pestaña web normal, el código malicioso heredaba automáticamente esos "superpoderes".

Según el informe de la Unidad 42 de Palo Alto Networks, una vez secuestrada la sesión, los atacantes podían:

• Acceder a la cámara y al micrófono del ordenador sin pedir consentimiento.
• Realizar capturas de pantalla de cualquier página o documento abierto.
• Leer archivos y carpetas locales almacenados en el equipo.
• Propagar malware y ejecutar scripts dentro de la interfaz de la IA.

Este tipo de vulnerabilidades se suma a otros avisos recientes sobre fallos críticos en Chrome que obligan a actualizar con urgencia, lo que confirma que el navegador sigue siendo uno de los principales objetivos de los ciberdelincuentes.

El precio de la inteligencia artificial integrada

Este incidente ilustra el gran reto tecnológico de 2026: asegurar los llamados "navegadores agénticos". Al dotar a la inteligencia artificial de la capacidad para leer correos, resumir webs o actuar en nuestro nombre, se le otorgan permisos muy profundos en el sistema.

Esta integración choca con el modelo tradicional de seguridad, donde las páginas web viven en un entorno aislado. Ahora, cualquier fallo en la arquitectura de la IA abre una puerta directa a los datos más sensibles del dispositivo.

No es casualidad, por tanto, que España esté cada vez más expuesta, con una media de tres ciberataques al día.

Pasos para protegerte y actualizar Google Chrome

Afortunadamente, Google ya ha solucionado el problema. Aunque la vulnerabilidad fue notificada en octubre de 2025, la compañía lanzó un parche definitivo el 5 de enero tras reproducir y aislar el fallo.

Para asegurarte de que tu equipo está protegido, puedes forzar la actualización del navegador siguiendo estos pasos:

• Abre Google Chrome y pulsa en el menú de los tres puntos verticales (arriba a la derecha).
• Despliega el menú de Ayuda y haz clic en Información de Google Chrome (o ve a Configuración - Información de Chrome).
• El navegador buscará e instalará la última versión automáticamente. Cuando termine, pulsa en Reiniciar.