Tu navegador no será el mismo en 2026... y Chrome ya implementa cambios en el HTTP

La seguridad web no deja de escalar y Google mueve ficha: a partir de octubre de 2026 el navegador activará Chrome 154 por defecto la opción “Usar siempre conexiones seguras”. En la práctica, Chrome pedirá permiso antes de conectarse por primera vez a cualquier sitio público que solo ofrezca HTTP, el protocolo sin cifrado. El viraje no surge de la nada: desde 2021 existía el modo " HTTPS-First" como ajuste opcional que intentaba forzar el uso de HTTPS y mostraba una advertencia omisible si no estaba disponible. La novedad es que ese comportamiento se vuelve la regla y coloca el candado del cifrado en el centro de la experiencia. El objetivo es claro: reducir la superficie de ataque de técnicas como el "man-in-the-middle", que pueden interceptar o alterar datos cuando la conexión no está protegida.

chrome

Imagen extraída de la web

Cómo funcionará y qué verá el usuario

Google adelanta un despliegue por etapas. Primero, con Chrome 147 (abril de 2026), el navegador habilitará “siempre seguro” específicamente para sitios públicos, afinando la interacción y las métricas. Luego, en octubre, la política se ampliará como predeterminada para toda la navegación. ¿Qué cambia para el día a día?

• Permiso al entrar a HTTP: si un usuario abre por primera vez (o muy esporádicamente) un sitio sin HTTPS, Chrome mostrará una solicitud de permiso antes de cargarlo.
• Menos “ruido” en sitios habituales: si visitás con frecuencia una web HTTP, no verás avisos repetitivos; el diálogo se limita al primer acceso o a ingresos poco frecuentes para evitar fatiga de alertas.
• Control granular: se podrá restringir los avisos solo a sitios públicos o también incluir privados (intranets, redes internas). Google aclara que, aunque los entornos privados no están exentos de riesgo, suelen ser menos expuestos que los públicos y el abuso de HTTP se limita a contextos locales (por ejemplo, una Wi-Fi doméstica).

Esta aproximación busca equilibrar seguridad y usabilidad. Y no debería saturar al usuario: más del 95% de la web ya usa HTTPS (Google Transparency Report), por lo que los avisos serán la excepción, no la norma.

chrome3

Imagen extraída de la web

Impacto para la web: empujón final al cifrado (y a las buenas prácticas)

La decisión de Chrome normaliza definitivamente a HTTPS como un estándar. Para el usuario, el beneficio es concreto: cifrado de extremo a extremo que protege la privacidad y la integridad de lo que se envía y recibe. Para administradores y desarrolladores, el mensaje es inequívoco: migrar a HTTPS (con redirecciones 301, HSTS y contenido mixto resuelto) dejará de ser recomendable para volverse imprescindible si no quieren fricciones como diálogos de permiso o pérdida de confianza.

En términos de “review” de la medida, el balance es favorable. Chrome sube el listón sin bloquear de plano a HTTP: informa, pide consentimiento y educa. El timing —primero una fase pública en abril de 2026, luego el switch general en octubre— da margen a organizaciones para auditar certificados, renovar cadenas de confianza, corregir embeds inseguros y ajustar políticas de caché o CDN.

google-chrome-one-year-validity.jpg

Imagen extraída de la web

¿Riesgos o costos?

Sitios heredados, servicios de intranet y dispositivos con firmware antiguo podrían requerir trabajo adicional (certificados válidos, SNI, TLS modernos). Pero el beneficio sistémico —menos ataques de intermediario, menos inyección de recursos maliciosos, más privacidad por diseño— supera el peaje de la transición. Con la adopción ya por encima del 95%, este empujón luce más como cierre de brecha que como salto al vacío.

En síntesis, Chrome 154 cambiará el comportamiento por defecto para que el cifrado sea la norma y el texto plano la excepción consciente. Es un paso esperado, coherente con la evolución del ecosistema y con un impacto claro: una web más segura, predecible y confiable para la mayoría, y un deadline nítido para quienes aún postergan la migración.