Google Chrome instala un modelo local de IA de 4GB, sin solicitar la aprobación del usuario
Polémica por privacidad, espacio y energía
El navegador Google vuelve a estar en el centro del debate sobre privacidad tras descubrirse que Google Chrome está descargando automáticamente un modelo de inteligencia artificial de 4 GB en las computadoras de los usuarios, sin notificar ni solicitar su consentimiento.
El hallazgo lo documentó el investigador de privacidad Alexander Hanff, quien detectó el comportamiento en instalaciones recientes del navegador.
¡Cómo ha cambiado Chrome!
Para entender la sorpresa de los usuarios:
Chrome 1.0 (2008): instalador de 8,4 MB
Chrome 2026: descarga silenciosa de 4 GB
Tras instalar o actualizar Chrome, aparece una carpeta oculta llamada:
OptGuideOnDeviceModel
Dentro se descarga un archivo enorme: weights.bin → contiene el modelo local Gemini Nano
Y lo más polémico:
Si lo borras → Chrome lo vuelve a descargar automáticamente.
Solo puede desactivarse con flags avanzados, políticas empresariales o desinstalando el navegador.
¿Para qué sirve realmente ese modelo?
Curiosamente, no es utilizado para la función principal de “AI Mode” ya que las consultas del modo IA siguen enviándose a la nube de Google.
El modelo local se usa para funciones “silenciosas”:
“Help me write” (asistente de redacción)
Resúmenes de páginas en el dispositivo
Detección avanzada de phishing
Funciones contextuales de seguridad
Requisitos para usarlo:
22 GB libres en disco
16 GB de RAM
CPU de 4 núcleos o GPU con >4 GB VRAM
El problema es que Google no informa que esos archivos se descargarán automáticamente.
Posibles problemas legales en Europa
El caso podría chocar con normativas como:
GDPR
Directiva ePrivacy (Artículo 5(3))
Estas leyes exigen consentimiento previo antes de almacenar datos o software en el dispositivo del usuario, salvo excepciones muy limitadas.
Un modelo de 4 GB descargado sin aviso podría no encajar en esas excepciones.
Un impacto ambiental sorprendente
También existe un coste ecológico enorme.
Estimación del investigador:
Si llega al 15 % de usuarios (~500 millones de equipos):
Significa la emisión de unas 30.000 toneladas de CO₂
El equivalente a las emisiones anuales de 6.500 coches
Y eso solo para la descarga inicial.
Chrome, un ejemplo del nuevo dilema de la IA
Este caso refleja un cambio importante. Antes, el software pedía permiso para instalarse. Ahora, los modelos de IA se integran silenciosamente en el sistema.
La carrera por integrar IA en todos los productos está acelerando la innovación, pero también está abriendo preguntas incómodas sobre la falta de control por parte del usuario, la transparencia y el costo oculto de la inteligencia artificial.
Google Chrome no protege a sus usuarios de ser rastreados
La plaga del Device Fingerprinting
Google promociona su navegador Chrome destacando sus funciones de seguridad superiores, pero si miras bajo el capó, surge una realidad inquietante y desconocida por la mayoría de los usuarios. El navegador que probablemente usas ahora mismo, te está traicionando.
No hablamos de vulnerabilidades teóricas de papers académicos. Hablamos de rastreo real, en producción, desplegado en millones de sitios web para identificarte sin tu conocimiento ni consentimiento. Esto significa que los sitios web son capaces de reconocer un visitante en cuanto llega y crear un historial de visitas, sin necesidad de que se registre.
Para luchar contra este fenómeno es importante que los usuarios tomen conciencia de lo que está pasando y entiendan cómo nos rastrean, perfilan y explotan.
El auge del fingerprinting del navegador
Hace aproximadamente una década, cuando los navegadores centrados en la privacidad empezaron a bloquear eficazmente las cookies de terceros, la industria publicitaria giró hacia algo mucho más insidioso, el fingerprinting del navegador.
Cada vez que visitas un sitio, dejas una huella digital compuesta por datos técnicos como:
El sistema operativo que usas
La resolución de la pantalla de tu dispositivo
Las fuentes tipográficas que tienes instaladas
Capacidades del hardware que manejas
Dirección IP
Tipo de navegador
CPU y GPU
Zona horaria
Incluso el nivel de batería
Etc.
Una vez combinados, estos datos crean un identificador único.
Un estudio de 2021 encontró técnicas de fingerprinting en más del 10% de los 100,000 sitios más visitados. Peor aún, una investigación publicada en Nature reveló que conocer solo los cuatro sitios web que visitas con mayor frecuencia bastaba para identificar al 95% de las personas.
Las consecuencias son enormes. Estas técnicas no solo venden calzado deportivo. Un informe de Citizen Lab reveló que los datos de vigilancia publicitaria se venden a gobiernos y fuerzas de seguridad en todo el mundo.
El fracaso del Privacy Sandbox
En 2019, Google reconoció el problema y declaró que el fingerprinting “socava la elección del usuario”. Anunció el Privacy Sandbox, prometiendo mejorar radicalmente la privacidad y dificultar el fingerprinting.
Pero tras seis años de presión de la industria y tropiezos:
En 2024 Google cambió su postura, el fingerprinting sería aceptable “si se divulga”.
En abril de 2025, Privacy Sandbox fue cancelado sin lanzar ninguna mitigación real.
La eliminación de cookies de terceros también fue abandonada.
Hoy:
Brave usa “farbling” para confundir rastreadores.
Firefox tiene privacy.resistFingerprinting.
Safari ofrece Advanced Tracking and Fingerprinting Protection
Chrome no tiene nada equivalente.
El arsenal del fingerprinting
Existen al menos 30 técnicas activas de fingerprinting que funcionan en Chrome hoy.
Canvas y hardware fingerprinting
Presente en ~12.7% de los 20,000 sitios principales.
Los sitios dibujan gráficos invisibles en tu pantalla. Las diferencias en GPU, sistema operativo y renderizado crean una imagen única que luego se convierte en hash.
Otros métodos:
WebGL / WebGPU para identificar tu tarjeta gráfica exacta
Web Audio API que permite crear una huella acústica única
Chrome no mitiga ninguna de estas técnicas.
Filtraciones del sistema
Los rastreadores también examinan tu entorno:
Renderizado de emojis (revela sistema operativo)
Layout del teclado (QWERTY, AZERTY, etc.)
Filtraciones de IP vía WebRTC
Safari y Firefox bloquean varias de estas APIs. Chrome no.
Los mecanismos que te siguen por toda la web
Aunque el fingerprinting identifica tu dispositivo, otros sistemas garantizan que te sigan entre sitios.
CNAME Cloaking
Una técnica extremadamente engañosa:
El rastreador se disfraza como subdominio del sitio.
Evita bloqueadores de anuncios y cookies de terceros.
Chrome es el único navegador principal que no lo bloquea ni permite detectarlo fácilmente con extensiones.
Bounce tracking y link decoration
Ejemplos:
Redirecciones invisibles antes de llegar al sitio final.
URLs con identificadores como fbclid o gclid.
Estos ID se guardan y vinculan tu identidad entre sitios.
Supercookies sin estado
Uso de encabezados de caché (ETag) para almacenar un ID único sin cookies ni JavaScript.
¿Cómo detectar a los que nos rastrean?
Aunque Chrome no protege, los desarrolladores pueden construir herramientas de detección usando extensiones Manifest V3.
Una arquitectura eficaz incluye:
Content scripts en el contexto principal
Interceptar APIs como Canvas.toDataURL
Registrar intentos de fingerprinting
Inyectar ruido para romper el rastreo
Chrome DevTools Protocol
Acceso a iframes y Web Workers
Observación de red
Monitorizar cabeceras y scripts de tracking
Bloquear scripts conocidos
APIs de cookies
Seguimiento completo de cookies entre sitios
Esto está bien, pero lo mejor es presionar a Google evitando usar su navegador. Ese es el único tipo de presión que realmente funciona.
Conclusión
Tres hechos son innegables:
Chrome ofrece casi cero defensas nativas contra fingerprinting.
Técnicas como CNAME cloaking siguen sin mitigación.
Google prometió una revolución de privacidad durante seis años y luego la abandonó.
Estas técnicas no son teóricas, se aplican a miles de millones de personas cada día.
Comprender esta realidad es únicamente el primer paso. No debemos aceptar que la vigilancia masiva sea simplemente “la forma en la que funciona la web”.
Chrome sigue incrementando sus medidas de seguridad, ahora protegiendo las cookies con DSBC
Así protege Google las sesiones de Chrome con DBSC
Durante años, los ciberdelincuentes han buscado robar las cookies de sesión. Estos pequeños archivos permiten que permanezcamos conectados a correo, banca y redes corporativas sin tener que volver a introducir la contraseña constantemente. El problema es que, si se roban, los atacantes obtienen acceso directo a nuestras cuentas.
Para combatir esta amenaza, Google ha lanzado una defensa criptográfica estructural llamada Device Bound Session Credentials (DBSC) y que ya está disponible públicamente para usuarios de Windows en Google Chrome 146 desde el 9 de abril de 2026.
El problema, los infostealers y el robo de sesiones
El robo de sesiones suele comenzar con malware. Los llamados infostealers , como la familia LummaC2, están diseñados para extraer silenciosamente cookies de autenticación almacenadas en el navegador.
Una vez robadas, estas cookies permiten:
Evitar las contraseñas y la autenticación multifactor
Secuestrar cuentas activas
Revender accesos en mercados clandestinos
Este tipo de ataque se hizo más frecuente cuando las aplicaciones web empezaron a basarse en micro servicios y cambió la forma de autentificar a los usuarios.
Hasta ahora, la defensa era principalmente reactiva, detectando el fraude después de que ocurría.
Con DSBC, ahora las cookies están ligadas al dispositivo
DBSC introduce un enfoque preventivo muy eficaz, vinculando criptográficamente la sesión al hardware del dispositivo.
Chrome ahora utiliza módulos de seguridad físicos como el TPM en Windows (y próximamente el Secure Enclave en macOS). De esta forma, ahora cuando se inicia una sesión:
Chrome genera un par de claves criptográficas.
La clave privada queda guardada dentro del chip de seguridad.
Nunca puede exportarse ni copiarse.
Cada renovación de cookie requiere demostrar que la clave sigue en el dispositivo original.
El resultado es que ahora, para robar la cookie, ya no basta para secuestrar la cuenta. En la práctica, el atacante necesitaría también robar el equipo físico.
En dispositivos sin hardware compatible, Chrome seguirá usando el sistema tradicional.
DSBC está pensado para proteger la privacidad, desde el diseño
Google afirma que DBSC fue diseñado para evitar el rastreo de los usuarios:
Cada sesión usa una clave única.
No se comparten identificadores del dispositivo.
No puede utilizarse como técnica de fingerprinting.
El estándar comenzó a desarrollarse en 2024 dentro del consorcio W3C, en colaboración con Microsoft, y fue probado con empresas como Okta antes de su lanzamiento oficial.
Lo que viene
El despliegue actual es solo el inicio:
Soporte para macOS llegará en próximas versiones de Chrome.
Futuras mejoras protegerán los procesos de Single Sign-On (SSO).
Se integrarán certificados mTLS y llaves de seguridad hardware.
También se investigan claves software para equipos sin chips seguros.
Con DBSC, Google busca inutilizar uno de los métodos más efectivos del cibercrimen moderno. Si la adopción se generaliza, el robo de cookies podría convertirse en una amenaza del pasado.
Google Chrome en versión de escritorio estrena funcionalidades
Dos funcionalidades muy esperadas
Google acaba de lanzar una de las actualizaciones más esperadas de Google Chrome en escritorio: pestañas verticales y un modo lectura inmersivo a pantalla completa. Dos funciones pensadas para reducir el caos de las pestañas abiertas y mejorar la concentración al navegar.
We’re also introducing immersive reading mode, a new full-page interface for deep focus. Right-click on any page and select “Open in Reading Mode” to remove visual distractions so you can focus on the text. pic.twitter.com/bs25wapafl
Pestañas verticales por fin también en Google Chrome
Durante más de una década, Chrome mantuvo su clásica barra horizontal de pestañas. El diseñador original Glen Murphy explicó que el equipo veía cada pestaña como la “barra de título” de una app, lo que justificaba mantenerlas arriba.
Sin embargo, los tiempos cambian y Chrome finalmente adopta una función que navegadores como Safari y Mozilla Firefox llevan años ofreciendo.
Activarlas es muy sencillo:
Haz clic derecho en la parte superior de la ventana de Chrome
Selecciona “Mostrar pestañas verticales”
Al hacerlo, las pestañas se moverán a una columna en el lado izquierdo.
Ventajas clave
Permite leer títulos completos de las páginas
Facilita la gestión de grupos de pestañas
Mejora el trabajo multitarea con muchas pestañas abiertas
Ahorra espacio en pantalla
Posibilidad de minimizar la barra a solo favicons
Para quienes trabajan con decenas de pestañas, este cambio supone un salto enorme en productividad.
Nuevo modo lectura inmersivo a pantalla completa
La segunda gran novedad es un modo lectura completamente renovado.
Muchas webs actuales están saturadas de:
Pop-ups
Barras laterales
Anuncios y distracciones visuales
El nuevo modo lectura elimina todo ese ruido y transforma cualquier página en una experiencia limpia y centrada en el texto.
Se puede activar de dos formas:
Clic derecho seguido de Abrir en modo lectura
Usar el icono “Reading Mode” en la barra de direcciones
Funciones del modo lectura
Interfaz limpia a pantalla completa
Opciones de personalización visual
Herramienta integrada de texto a voz para escuchar artículos
Este rediseño mejora notablemente la versión anterior, que solo funcionaba en un panel lateral.
Disponibilidad
Las nuevas funciones comienzan a desplegarse desde hoy. Como suele ocurrir con las actualizaciones de Google, podrían tardar unos días en llegar a todos los equipos.
Google Chrome adoptará un nuevo ciclo de actualizaciones, ahora cada dos semanas
La web evoluciona a gran velocidad, y Chrome quiere seguirle el paso. A partir del 8 de septiembre de 2026, el navegador más utilizado del mundo abandonará su actual ciclo de lanzamientos de cuatro semanas para adoptar un nuevo calendario de actualizaciones cada dos semanas.
El cambio debutará con la versión estable Chrome 153 y tiene un objetivo claro: entregar nuevas funciones, mejoras de rendimiento y parches críticos de seguridad con mayor rapidez tanto a usuarios como a desarrolladores.
Actualizaciones de Google Chrome más frecuentes, pero más pequeñas
Aunque duplicar la frecuencia de lanzamientos puede parecer arriesgado, Google asegura que el impacto será positivo.
Según Ben Mason (Chrome Browser Release Team Manager) y Deepak Ravichandran (Distinguished Engineer), cada actualización será más acotada, lo que reducirá riesgos y facilitará la detección y corrección de errores tras el lanzamiento.
Además, Google afirma haber mejorado sus procesos internos para mantener los estándares de estabilidad del navegador.
Cómo funcionará el nuevo calendario
Con el nuevo esquema:
Habrá una nueva versión Beta y Stable cada dos semanas en escritorio, Android e iOS.
La versión Beta de cada hito se lanzará tres semanas antes de su versión estable, dando margen a desarrolladores para probar compatibilidad.
Los canales experimentales Dev y Canary no sufrirán cambios.
Se mantendrán las actualizaciones semanales de seguridad entre lanzamientos principales.
¿Qué pasa con las empresas y las Chromebooks?
Google reconoce que no todas las organizaciones pueden adaptarse a un ritmo tan rápido. Por ello:
El canal Extended Stable, introducido en 2021 para entornos empresariales, mantendrá su ciclo actual de ocho semanas.
No obstante, Google recomienda el canal estable de dos semanas para aquellas organizaciones para las que la seguridad sea prioritaria.
En el caso de las Chromebooks, las actualizaciones continuarán pasando por pruebas específicas de plataforma antes de su despliegue. Google está ajustando los canales administrados a este nuevo calendario y ofrecerá más detalles próximamente.
Una evolución progresiva
Este movimiento forma parte de una estrategia gradual:
En 2021, Chrome pasó de seis a cuatro semanas por versión.
En 2023, se añadieron parches de seguridad semanales.
Ahora, en 2026, el ciclo se reduce a dos semanas.
Con esta decisión, Google refuerza su apuesta por un navegador más ágil, seguro y alineado con el ritmo de la web moderna.
