06
Lun, Jul

Riesgos de Seguridad en Navegadores con Inteligencia Artificial: Un Estudio Alerta sobre Vulnerabilidades

Tecnologia
Un estudio reciente de la Universidad de Washington ha puesto de manifiesto los riesgos de seguridad emergentes en los navegadores agénticos con inteligencia artificial. La investigación revela que cuatro de los siete navegadores analizados presentan vulnerabilidades significativas, especialmente en relación con la política de mismo origen, lo que podría permitir ataques de inyección de prompts y acceso no autorizado a información sensible.

Los navegadores que incorporan inteligencia artificial han surgido con una ambición considerable, más allá de ofrecer pestañas más inteligentes o resultados de búsqueda mejorados. Empresas como OpenAI, Perplexity y Google han presentado estos sistemas bajo la promesa de una nueva era de navegación, donde los usuarios delegarían parte de sus tareas en la web. Sin embargo, esta promesa comienza a revelar una faceta más delicada.

La Universidad de Washington ha centrado su atención en este riesgo emergente. En una investigación presentada en el workshop Agents in the Wild y divulgada el 30 de junio, un equipo analizó siete navegadores agénticos populares para evaluar su interacción con una protección fundamental de la web moderna: la política de mismo origen. La conclusión fue contundente: cuatro de ellos presentaban vías de riesgo relevantes, y los investigadores lograron ejecutar una prueba de concepto completa en ChatGPT Atlas en Agent Mode.

Un navegador tradicional se limita a mostrar páginas y esperar las decisiones del usuario, quien realiza cada paso, como copiar datos, rellenar formularios o comparar opciones. En contraste, los navegadores agénticos modifican esta lógica al integrar sistemas capaces de interpretar el contenido en pantalla y avanzar de forma autónoma dentro del navegador. Esto implica no solo resumir una página, sino también coordinar tareas entre pestañas, operar sobre páginas abiertas y completar acciones que antes eran exclusivas del usuario.

El riesgo no se limita a páginas maliciosas, sino que reside en la capacidad del agente de interpretar una página como parte de sus instrucciones. Aquí entra en juego la inyección de prompts, una técnica donde un contenido externo intenta alterar el comportamiento del modelo mediante órdenes ocultas, camufladas o insertadas inesperadamente. Si bien esto ya representa un problema en un chatbot, en un navegador agéntico el alcance es mayor, ya que el sistema puede procesar información de una página y convertirla en acciones dentro del navegador.

La política de mismo origen es una protección fundamental, a menudo invisible, que sustenta gran parte de la web moderna. Su función principal es evitar que una página pueda leer o manipular libremente información de otra, simplemente porque ambas están abiertas en el navegador. Esta separación impide que una página web cualquiera acceda sin permiso a datos bancarios, correos electrónicos o servicios privados. Sin embargo, el problema surge cuando un agente agrupa información que antes estaba mucho más segmentada.

Imaginemos que un usuario visita una página aparentemente normal y solicita al agente que la resuma o le ayude a completar una tarea en ella. Bajo ciertas condiciones, esa página podría contener contenido de otro origen, como un iframe, junto con una instrucción maliciosa dirigida al modelo y no al usuario. Si el agente posee los permisos adecuados, podría acceder a contenido que la web atacante no debería poder leer directamente y transferir parte de esa información a un formulario controlado por el atacante. De este modo, la web no rompería directamente la barrera, sino que utilizaría al agente como un intermediario.

Es importante destacar que el estudio no afirma que todos los usuarios serán víctimas de un ataque ni que todos los navegadores con IA sean inherentemente inseguros. Los investigadores analizaron versiones específicas en un momento determinado y realizaron pruebas de concepto, no ataques contra servicios reales o con datos sensibles de usuarios. También se observaron diferencias significativas entre los productos: aquellos navegadores que concedían menos permisos al agente tendían a reducir el riesgo.

Estos navegadores resultan atractivos por su promesa de simplificar tareas, comprender páginas, relacionar información y ejecutar acciones con menor intervención del usuario. Sin embargo, esa misma capacidad es la que amplifica las consecuencias de un fallo: no ocurre en una pestaña aislada, sino en un entorno donde pueden existir sesiones abiertas, datos personales y acciones pendientes. Aunque aún no son un hábito masivo, el debate sobre su seguridad ya está presente, precisamente porque su propuesta radica en otorgarles mayor autonomía.