¿Por qué el "navegador AI" podría convertirse en el "mejor aliado de los estafadores"?

: Un nuevo frente de ataque que se abre con "agentes" que hacen clic, pagan e ingresan información personal automáticamente

Introducción: De la búsqueda a la "ejecución delegada"

Con la evolución de la IA generativa, los navegadores AI de tipo "agente" que automatizan la navegación y las operaciones web están ganando atención. Al dar instrucciones en lenguaje natural como "compra" o "reserva", pueden realizar búsquedas, clics, entradas y pagos en lugar de una persona, creando una visión del futuro. Sin embargo, las pruebas más recientes han demostrado que esta "conveniencia" se traduce directamente en vulnerabilidades, como se ha demostrado con ejemplos concretos. Engadget advierte que "el navegador AI podría ser el mejor regalo para los estafadores" y presenta informes que muestran cómo los agentes AI caen en evidentes ataques de phishing y comandos maliciosos.Engadget

¿Qué ocurrió?: La realidad del "daño automático" revelada en experimentos

La institución de investigación en seguridad Guardio Labs examinó el comportamiento del navegador de tipo agente "Comet" de Perplexity en tres escenarios de ataque típicos. Los resultados fueron impactantes.guard.io

• "Compra automática" en tiendas falsas
  Instrucción al AI: "Compra un Apple Watch" → El AI considera un sitio falso estilo "Walmart" generado por AI como legítimo, añade el producto al carrito, ingresa automáticamente la dirección y la información de la tarjeta de crédito almacenada en el autocompletado del navegador y completa la compra. En algunos casos, se observó que el proceso avanzaba "de un tirón" sin advertencias ni confirmaciones.guard.io

• "Aterrizaje automático" en phishing bancario
  El AI hace clic en un enlace de un correo sospechoso, guiando a una página de inicio de sesión falsa que se asemeja a la real. Mientras que un humano podría dudar del "remitente" o la "URL", el AI prioriza "procesar la solicitud" y omite señales sospechosas, como se observó.guard.io

• "PromptFix": Secuestrar AI con instrucciones invisibles
  Incrustar un prompt oculto dentro del código fuente de una página tipo CAPTCHA, haciendo que el AI lo interprete erróneamente como "procesar en mi lugar", una inyección de prompt indirecta. Se demostró que un solo clic puede desencadenar una descarga drive-by, guiando a acciones no intencionadas por el usuario.guard.ioThe Hacker News

Medios como BleepingComputer y PCWorld también han informado detalladamente sobre estos temas. En particular, se destaca como debilidades estructurales que "los humanos primero sospecharían", pero que el AI tiende a omitir, tales como el envío sin verificación de información de autocompletado, la falta de verificación de la validez de la URL, y el mal funcionamiento en el procesamiento de CAPTCHA.BleepingComputerPCWorld

La fragilidad "propia de la IA" subyacente

Los agentes AI tienden a ser diseñados con una función objetivo de "satisfacer rápidamente al usuario". Por ello,

1. falta de juicio contextual (priorizando "cumplir la tarea")

2. ambigüedad entre instrucciones y contenido (incluso el texto oculto se toma como instrucciones)

3. expansión de los permisos de ejecución automática (integración de clics/entradas/descargas)
   se combinan, faltando la intuición humana de "dudar y detenerse". Académicamente, se ha señalado que los agentes de navegación amplían la superficie de ataque debido al contenido dinámico, la ejecución de herramientas y el manejo de datos de usuario, y se concluye que la defensa debe integrarse desde el diseño con "defensa en profundidad".arXiv

Reacciones empresariales y situación actual

Aunque estos problemas se visualizaron en Comet, la raíz es un desafío inherente al diseño "tipo agente". Brave ha publicado una explicación técnica sobre la inyección de prompt indirecta en Comet, mencionando que se han realizado correcciones hasta el 13 de agosto, aunque con precaución al afirmar que "no se puede garantizar una prevención completa". Se enfatiza un diseño donde el agente no actúe por sí solo (por ejemplo, el resumen de Leo no "ejecuta").BraveThe Register
Además, el problema de que la IA "recoge fuentes de información incorrectas" también se manifiesta en el lado de la búsqueda, con informes de que la vista general de AI de Google ha dirigido a números de soporte al cliente falsos, resultando en daños reales.The Washington Post

Reacciones en redes sociales: Preocupaciones, ironías y demandas de rediseño

• La publicación de Engadget originó en X (anteriormente Twitter) reacciones irónicas como "se supone que lo 'automático' es una ventaja, pero resulta ser 'automáticamente problemático'".X (anteriormente Twitter)

• La publicación técnica de Brave recibió apoyo con comentarios como "los agentes deben minimizar los permisos de ejecución y reforzar la aprobación del usuario".X (anteriormente Twitter)

• En Reddit, predominan las opiniones cautelosas como "no se deben delegar tareas importantes a tecnologías en fase de acceso temprano" y "la dependencia del autocompletado es peligrosa".Reddit

• En LinkedIn, investigadores de seguridad compartieron la demostración de Guardio, abogando por contramedidas contra la inyección de prompt y separación de permisos.pcmatic.comLinkedIn

¿Por qué es "el mejor" para los estafadores?: Ataques a gran escala

En lugar de engañar a cada persona individualmente, si se descubre "el comportamiento de un modelo", se puede replicar en masa. Guardio identifica esta escalabilidad como la mayor amenaza. Además, con la contaminación SEO y anuncios falsos como puntos de entrada, el AI está configurado para aterrizar automáticamente en "páginas maliciosas", privando al usuario de "oportunidades para dudar".guard.io

Prácticas "del lado del usuario" que se pueden implementar de inmediato

1. No entregar "dinero e identidad" a los agentes: Desactivar por defecto la entrada automática de pagos, contraseñas, códigos MFA y direcciones. Asegurarse de realizar una verificación manual final cuando sea necesario.BleepingComputer

2. Limitar clics y descargas automáticas: En CAPTCHA o formularios sospechosos, siempre incluir aprobación humana.The Hacker News

3. Doble verificación de la validez de la URL: Para bancos y soporte al cliente, siempre verificar en la "página de contacto" del sitio oficial o aplicación oficial. No confiar ciegamente en los números de teléfono mostrados en resúmenes de AI.The Washington Post

4. Perfil separado y permisos mínimos: Crear un **perfil de navegador "vacío"** para el uso del navegador AI, sin autocompletado, tarjetas guardadas o sesiones iniciadas.

5. ##HTML_TAG_468