Guillem Alsina Gonzàlez
Pese a que los navegadores que incorporan agentes de IA, como el Comet de Perplexity, todavía no se han ganado una parte significativa de los usuarios, los medios especializados siguen cubriendo su actualidad y dedicándoles artículos en los que detallan sus ventajas y puntos fuertes, así como, en algunos casos, sus flaquezas.
Una de estas últimas podría ser su seguridad, según un análisis publicado por SquareX Labs que ha detectado tres vectores de ataque que estos navegadores pueden sufrir, y que no encontramos en los navegadores tradicionales, por otra parte, sujetos a otros riesgos y peligros.
La investigación reviste interés, en cuanto que Microsoft primero, y Google más recientemente, ya han integrado sus asistentes Copilot y Gemini en sus respectivos navegadores Edge y Chrome, aunque no dispongan todavía de capacidades agénticas. Y es aquí donde reside el principal peligro: que el navegador, mediante la IA, pueda llevar a cabo acciones por su cuenta.
El equipo de SquareX Labs identifica tres vulnerabilidades de arquitectura en los navegadores con IA, fruto de analizar el Comet de Perplexity, pero advirtiendo que las conclusiones se pueden extrapolar a otros browsers con agentes integrados, y también como advertencia de cara a un futuro en el que browser e IA no se entenderán de una manera separada. De cada uno de los vectores se explican casos de uso.
El primer vector de ataque analizado es el que permite al agente caer en flujos de trabajo maliciosos mientras navega como, por ejemplo, esquemas de phishing. El problema es que el agente de IA incorporado está diseñado para completar tareas, pero no es «consciente» (a su manera, claro) de los peligros que corre, y puede no distinguir un correo de phishing de un correo legítimo. En este sentido, los investigadores apuntan a que la IA no es más «lista» que el trabajador medio, más bien al contrario.
Aquí el problema radica, principalmente, en que el agente actúa con los mismos niveles de privilegio que el usuario, y en ser más fácil engañarlo, el peligro se incrementa.
El segundo vector de ataque citado por los investigadores de SquareX Labs son las instrucciones o enlaces que apuntan a sitios maliciosos pero alojados en sitios de confianza, como SharePoint u OneDrive. Con ello, pueden inducir a la IA a realizar tareas maliciosas, tales como la exfiltración de datos y la inserción de enlaces maliciosos en invitaciones de calendario para atacar a otros usuarios de la misma organización o de otras.
Finalmente, los nuevos navegadores de IA también pueden ser muy vulnerables a la descarga de archivos maliciosos que contengan ransomware u otro tipo de malware si, por ejemplo, los atacantes los consiguen disimular como ficheros necesarios para completar el flujo del trabajo.
Si bien algunos de estos archivos pueden detectarse mediante herramientas EDR, los trabajadores que abrazan el BYOD y, por lo tanto, utilizan dispositivos propios para llevar a cabo el trabajo diario que no están tan protegidos como los equipos corporativos.
¿Qué podemos hacer para mitigar los riesgos?
Desde SquareX Labs no solamente se expone el problema, sino que se busca una posible solución, abogando en este caso por medidas nativas en el navegador, como distinguir la identidad del agente de IA de la del usuario, aplicar políticas de prevención de fugas adaptadas al agente, escanear desde el cliente todas las descargas y auditar las extensiones que se instalen con análisis estático y dinámico.
En la práctica, separar identidades permitiría, por ejemplo, bloquear permisos de alto riesgo en aplicaciones no autorizadas, impedir copiados/pegados de datos sensibles en destinos no aprobados o vetar subidas de ficheros a cuentas personales de servicios de IA. La evaluación continua de extensiones ayudaría a detectar cambios de código malicioso tras actualizaciones o adquisiciones.
