Navegadores con IA, el nuevo blanco de ciberataques invisibles

El auge de los navegadores con inteligencia artificial ha abierto una puerta inesperada a los ciberdelincuentes, quienes ahora pueden vaciar cuentas bancarias o acceder a información privada de los usuarios con solo ocultar instrucciones maliciosas en publicaciones públicas de plataformas como Reddit. Esta alarmante vulnerabilidad, identificada en el navegador Comet de Perplexity, fue expuesta recientemente por la compañía de privacidad Brave, que advirtió sobre los riesgos inherentes a la integración de asistentes de IA en la navegación web.

El problema radica en una técnica conocida como ataque de inyección indirecta de instrucciones. Según el análisis publicado este método permite que actores maliciosos inserten comandos ocultos en el contenido de páginas web o redes sociales, los cuales son interpretados y ejecutados por el asistente de IA del navegador como si provinieran del propio usuario.

De este modo, el navegador puede ser manipulado para llevar a cabo acciones no autorizadas, como acceder a correos electrónicos, cuentas bancarias o sistemas corporativos, utilizando los privilegios y credenciales almacenados en el navegador.

La investigación de Brave detalla que la vulnerabilidad surge porque Comet procesa el contenido de las páginas web sin diferenciar entre las instrucciones legítimas del usuario y el texto potencialmente peligroso incrustado en la propia página. Cuando un usuario solicita al asistente de IA que resuma una página, el sistema transmite parte del contenido directamente a su modelo de lenguaje, lo que permite que cualquier instrucción oculta sea tratada como una orden válida. “Esto permite a los atacantes insertar cargas de inyección indirecta de instrucciones que la IA ejecutará como comandos”, advierte el informe.

El alcance de la amenaza es considerable. El asistente de IA opera con todos los privilegios del usuario en sesiones autenticadas, lo que le otorga acceso potencial a cuentas bancarias, sistemas corporativos, correos electrónicos privados, almacenamiento en la nube y otros servicios.

Un ejemplo práctico presentado en el blog del navegador web gratuito muestra cómo un atacante puede ocultar instrucciones en un comentario de Reddit utilizando texto blanco sobre fondo blanco, invisible para el usuario pero legible para la IA. Al pedir un resumen de la página, el asistente ejecuta las órdenes ocultas, como navegar a sitios bancarios o de criptomonedas y transferir fondos, empleando datos delicados ya almacenados en el navegador, incluidas contraseñas e información financiera.

La demostración realizada por Brave ilustra el proceso: un usuario visita una publicación de Reddit con un comentario que contiene instrucciones maliciosas ocultas. Al activar la función de resumen de Comet, el asistente procesa el contenido y sigue las órdenes, como acceder a la cuenta de correo del usuario para obtener una contraseña de un solo uso y, posteriormente, tomar control de la cuenta de Perplexity. “El ataque que desarrollamos demuestra que las suposiciones tradicionales de seguridad web no se aplican a la IA agente, y que necesitamos nuevas arquitecturas de seguridad y privacidad para la navegación con agentes”, concluye el informe.

La facilidad con la que puede explotarse esta vulnerabilidad ha sorprendido a la comunidad tecnológica. Un programador expresó en redes sociales: “Por esto no uso un navegador con IA. Literalmente puedes ser víctima de una inyección de instrucciones y que te vacíen la cuenta bancaria solo por navegar en Reddit”. Otro usuario ironizó sobre la simplicidad del ataque, comparándolo con las complejas vulnerabilidades tradicionales: “Aquí es literalmente ‘escribimos un comentario en Reddit y luego se filtraron todos los datos bancarios y fotos privadas del usuario’”.

El impacto de este tipo de ataques va más allá de Comet. Según un informe de Wired citado por Futurism, investigadores de seguridad han demostrado que es posible robar información altamente sensible de una cuenta de Google Drive explotando una falla de seguridad en ChatGPT de OpenAI. Asimismo, el año pasado se descubrió que la IA Copilot de Microsoft podía ser manipulada para revelar datos confidenciales de organizaciones, incluidos correos electrónicos y transacciones bancarias.

La investigación del navegador subraya que los mecanismos de seguridad web tradicionales, como la política de mismo origen (SOP) o el intercambio de recursos de origen cruzado (CORS), resultan ineficaces frente a estos ataques, ya que la IA puede ejecutar instrucciones incrustadas en cualquier sitio web, incluso en contenido generado por usuarios en plataformas que el atacante no controla directamente. “Las instrucciones maliciosas pueden incluirse incluso en contenido generado por usuarios en un sitio que el atacante no controla (por ejemplo, instrucciones de ataque ocultas en un comentario de Reddit)”, señala el informe.

Para mitigar estos riesgos, Brave propone varias estrategias: el navegador debe distinguir claramente entre las instrucciones del usuario y el contenido de la página, tratar siempre el contenido web como no confiable y requerir interacción explícita del usuario para acciones sensibles de seguridad o privacidad.

Además, recomienda aislar la navegación agente de la navegación regular, limitando los permisos y capacidades del asistente de IA para evitar que se activen funciones peligrosas de manera accidental.

El navegador informó que descubrió y notificó la vulnerabilidad a Perplexity a finales de julio, y confirmó que el problema “parece haber sido corregido” a principios de agosto. No obstante, la compañía advierte que los navegadores con IA aún presentan importantes brechas de seguridad y que la facilidad para explotar estas vulnerabilidades reduce la barrera de entrada para los atacantes, quienes pueden diseñar ataques sofisticados sin necesidad de conocimientos avanzados de programación.

La conclusión es contundente: “Esta vulnerabilidad en Perplexity Comet pone de manifiesto un desafío fundamental con los navegadores de IA agente: garantizar que el agente solo realice acciones alineadas con lo que el usuario desea”, señaló Brave.

La compañía insiste en que los desarrolladores de navegadores deben implementar defensas robustas antes de desplegar asistentes de IA con capacidades avanzadas de interacción web, ya que la seguridad y la privacidad no pueden ser una consideración secundaria en la carrera por crear herramientas de IA más potentes.