• Chrome activará la opción 'Usar siempre conexiones seguras' por defecto para sitios públicos.
  • La medida se implementará en abril de 2026 para usuarios con Navegación Segura Mejorada y en octubre de 2026 para el resto.
  • El objetivo es proteger a los usuarios de ataques que aprovechan las conexiones HTTP inseguras.

Google ha anunciado que Chrome forzará el uso de conexiones HTTPS por defecto para todos los sitios web públicos a partir de abril de 2026. Esta medida busca aumentar la seguridad de los usuarios al navegar por internet, protegiéndolos de posibles ataques que se aprovechan de las vulnerabilidades del protocolo HTTP.

Chrome refuerza la seguridad web

La transición hacia un internet más seguro ha sido un proceso gradual. Si bien la mayoría de las navegaciones en Chrome ya utilizan HTTPS (entre el 95% y el 99% desde 2020), Google ha decidido dar un paso más para garantizar la protección de sus usuarios. A partir de abril de 2026, con el lanzamiento de Chrome 147, la opción 'Usar siempre conexiones seguras' se activará por defecto para aquellos usuarios que tengan habilitada la Navegación Segura Mejorada. Posteriormente, en octubre de 2026, con la versión Chrome 154, esta configuración se extenderá a todos los usuarios.

Cuando esta opción esté activa, Chrome solicitará permiso antes de acceder a un sitio web público que no utilice HTTPS. Esto significa que el navegador advertirá al usuario si una página no está cifrada, brindándole la oportunidad de decidir si desea continuar o no. Google lleva años promoviendo el uso de HTTPS, alertando sobre sitios HTTP inseguros desde 2018 y ofreciendo la opción de 'HTTPS-First' de forma voluntaria desde 2022.

Protección contra ataques en línea

La importancia de esta medida radica en la protección contra ataques maliciosos. Las conexiones HTTP, al no estar cifradas, son susceptibles a ser interceptadas y manipuladas por atacantes. Estos pueden redirigir la conexión para inyectar malware, realizar ataques de ingeniería social u otros tipos de exploits. Como señala el equipo de Chrome, estos ataques no son hipotéticos y el software para secuestrar navegaciones está fácilmente disponible. Un solo enlace HTTP inseguro puede ser suficiente para comprometer la seguridad de un dispositivo, especialmente porque muchas de estas conexiones inseguras son invisibles para el usuario.

Conexiones privadas y limitaciones

A pesar de la obligatoriedad para sitios públicos, las conexiones HTTP seguirán siendo posibles para sitios privados, como direcciones IP locales o intranets corporativas. La obtención de un certificado HTTPS para estos entornos puede ser compleja, ya que un mismo nombre privado puede apuntar a diferentes hosts en distintas redes. Por ejemplo, muchos fabricantes de routers utilizan '192.168.0.1' para acceder a sus paneles de administración. Aunque las navegaciones HTTP en sitios privados son inherentemente menos arriesgadas que en la web pública, el vector de ataque se limita a la red local.