Los atacantes podrían haber explotado esta vulnerabilidad para escalar privilegios, violar la privacidad del usuario durante la navegación y acceder a recursos sensibles.
Google ha corregido un fallo de alta gravedad en su implementación de Gemini AI en el navegador Chrome. Este fallo podría haber permitido a los atacantes escalar privilegios, vulnerar la privacidad del usuario mientras navega y acceder a recursos sensibles del sistema. Los investigadores señalaron que la vulnerabilidad demuestra los nuevos peligros de seguridad que surgen con el despliegue y uso de navegadores agentes (agentic browsers) que integran inteligencia artificial de forma nativa.
Específicamente, el fallo identificado como CVE-2026-0628 podría haber permitido que extensiones de navegador maliciosas, con solo permisos básicos, escalaran privilegios para acceder a la cámara y el micrófono de la víctima sin su consentimiento, realizar capturas de pantalla de cualquier sitio web y acceder a archivos y directorios locales, según un informe publicado hoy por investigadores de la Unit 42 de Palo Alto Networks, quienes descubrieron el fallo.
«La vulnerabilidad ponía en riesgo de compromiso del sistema a cualquier usuario de la nueva función de Gemini en Chrome si tenía instalada una extensión maliciosa», explica Gal Weizman, investigador principal senior de Palo Alto Networks, a Dark Reading. «Más allá de los usuarios individuales, el perfil de riesgo se amplificaba significativamente en entornos empresariales y organizacionales».
En Chrome, la función Gemini Live opera dentro de un panel lateral privilegiado del navegador, lo que le otorga capacidades elevadas para realizar acciones como acceder al contenido en pantalla e interactuar con recursos del sistema local para completar tareas complejas. De hecho, muchos navegadores integran ahora capacidades de IA agente, lo que permite una difusión rápida de datos y la ejecución de operaciones complejas y de varios pasos que antes eran imposibles o requerían extensiones y pasos manuales por parte del operador.
Sin embargo, con esta capacidad expandida y el acceso privilegiado llega «una nueva y ampliada superficie de ataque» que introduce nuevos riesgos tanto para usuarios domésticos como corporativos, escribió Weizman en el informe. «Esto crea implicaciones de seguridad que no están presentes en los navegadores tradicionales».
El fallo de seguridad en Gemini AI y su solución
Los investigadores descubrieron el fallo en una extensión del panel lateral de Gemini con acceso a un conjunto de permisos básicos a través de la API «declarativeNetRequests», la cual no lograba mantener un límite de seguridad adecuado. Esto «permitía permisos que podrían haber facultado a un atacante para inyectar código JavaScript en el nuevo panel de Gemini», escribió Weizman.
Esta función de la API puede usarse para fines legítimos, como cuando AdBlock detiene solicitudes que podrían conducir a anuncios que socavan la privacidad. De hecho, está permitida por diseño para ciertos comportamientos de las extensiones y no sería problemática si se cargara en una pestaña típica del navegador, señala Weizman.
Sin embargo, en este caso, fue la integración específica de Gemini AI con el navegador lo que hizo que la función fuera potencialmente maliciosa. El fallo permitía que ocurriera la misma inyección de código cuando la aplicación se cargaba dentro del nuevo componente del panel lateral de Gemini —confiable y altamente privilegiado—, momento en el que «Chrome lo vincula con acceso a capacidades potentes», escribió Weizman. «Estas incluyen poder leer archivos locales, realizar capturas de pantalla, acceder a la cámara y al micrófono, entre otras, para que la aplicación pueda realizar tareas complejas. Poder interceptarlo bajo esa configuración habría permitido a los atacantes obtener acceso también a esos poderes».
Los investigadores de Palo Alto demostraron en octubre cómo una extensión ordinaria podía secuestrar el panel de Gemini y realizar las actividades maliciosas mencionadas; Google respondió, pudo reproducir las condiciones del exploit y, posteriormente, parcheó el fallo a principios de enero, según el informe.
Los navegadores con IA agente aumentan el riesgo de seguridad
El riesgo de que vulnerabilidades como esta expongan a los navegadores a actividades maliciosas aumenta a medida que la IA se integra más en su diseño, señalaron los investigadores de Palo Alto. Esto se debe a la naturaleza proactiva de la tecnología de IA, que crea un nuevo modelo de riesgo porque no solo muestra contenido, como hace un navegador típico, sino que también actúa sobre él.
«Estos agentes pueden heredar la sesión de navegación autenticada de un usuario y realizar acciones privilegiadas dentro de aplicaciones empresariales, incluyendo la modificación de datos o la activación de flujos de trabajo», comenta Anupam Upadhyaya, vicepresidente senior de gestión de productos para Prisma SASE de Palo Alto Networks.
Esto, a su vez, significa que los desarrolladores de navegadores agentes necesitan replantear y reforzar la seguridad, creando navegadores con seguridad nativa que sea «continua y basada en políticas, no añadida después del despliegue», afirma Upadhyaya. «Los diseñadores deberían integrar la inspección en tiempo real de los prompts, las respuestas de la IA y el contenido renderizado directamente dentro del navegador, donde interactúan los usuarios, los datos y la IA».
Los defensores, en general, también deben comprender que esta nueva superficie de ataque es algo que «los controles tradicionales de red y de endpoint nunca fueron diseñados para monitorear», y deben ajustar sus estrategias en consecuencia, concluye Upadhyaya.
Un buen punto de partida sería tratar al navegador como «una superficie de ataque primaria y un plano de control potencial». Esto implica:
-
Obtener visibilidad sobre qué navegadores y extensiones de IA se están utilizando.
-
Visibilidad interna del navegador sobre la navegación del usuario, cargas de archivos, actividad de copiar/pegar y comportamiento de las extensiones.
-
Aplicar controles de políticas en tiempo real antes de que los datos salgan del navegador.
Fuente: DarkReading