Guillem Alsina Gonzàlez
En plena efervescencia de la IA, el siguiente paso tras la irrupción de la IA generativa, es la IA agéntica, un paso que ya estamos dando y, especialmente, en las empresas con herramientas que combinan la potencia de los grandes modelos de lenguaje (LLM) con la capacidad de operar de forma autónoma y, en algunos casos, imbricadas en los mismos navegadores web. Estos sistemas prometen liberar a los profesionales de tareas repetitivas al ejecutar instrucciones complejas, como realizar reservas o gestionar compras, interactuando directamente con los sitios web.
Ahora, una investigación conjunta realizada por la Universidad de California en San Diego, Brave Software y el Imperial College de Londres ha revelado que la automatización de tareas conlleva riesgos significativos para la privacidad que no estaban presentes en la navegación manual tradicional.
El análisis, que ha evaluado ocho de los agentes comerciales más relevantes del mercado actual incluyendo soluciones de empresas como OpenAI, Google, Amazon y Anthropic, ha identificado un total de treinta vulnerabilidades distintas que abarcan desde el uso de software obsoleto hasta la filtración incontrolada de información personal en formularios web, subrayando una paradoja preocupante: las mismas capacidades que hacen útiles a estos agentes también los convierten en puntos críticos de fallo de seguridad.
Una de las principales preocupaciones arquitectónicas detectadas es el procesamiento de los datos; la mayoría de los agentes analizados operan mediante modelos alojados en la nube, lo que implica que el contenido de las páginas web visitadas y las consultas realizadas abandonan el perímetro local del usuario para ser procesadas en servidores de terceros, una característica arquitectónica que plantea interrogantes sobre el control de la información corporativa, ya que el usuario pierde la supervisión sobre cómo se almacenan o reutilizan esos datos una vez son enviados al proveedor del modelo.
Además de esto, se detectó que herramientas como Director operaban sobre versiones del navegador Chromium significativamente desactualizadas, exponiendo a la organización usuaria a brechas de seguridad ya conocidas y parcheadas en versiones modernas.
Pero el aspecto sin lugar a dudas más alarmante para los departamentos de TI de las organizaciones, reside en cómo estos agentes interactúan con sitios web maliciosos. Los navegadores modernos han implementado durante años sistemas robustos, como las listas de navegación segura, para advertir a los usuarios antes de que accedan a sitios de phishing o con malware. El estudio evidencia que la mayoría de los agentes evaluados, incluidos ChatGPT Agent y Amazon Nova Act, no muestran estas advertencias críticas o las ignoran por completo, haciendo clic en enlaces peligrosos sin tener en cuenta medidas preventivas.
Esta falta de precaución se extiende a la validación de certificados de seguridad, habiéndose observado que algunos agentes no alertan sobre certificados TLS revocados o autofirmados, lo que podría facilitar ataques de intermediario (Man-in-the-Middle) en los que un atacante intercepta la comunicación cifrada. En casos extremos, el modelo de inteligencia artificial decidió proactivamente saltarse las advertencias de seguridad del navegador para intentar completar la tarea asignada, priorizando la funcionalidad sobre la integridad del sistema.
La gestión del consentimiento y el rastreo también presenta deficiencias notables en un entorno regulatorio estricto como el europeo: mientras que las normativas exigen un control granular sobre las cookies, varios agentes (entre ellos Browser Use y Claude Computer Use) mostraron una tendencia a aceptar todas las cookies automáticamente o, en algunos casos, a eludir los banners de consentimiento sin notificar al usuario. Esto redunda en que el agente expone a la organización a un mayor rastreo por parte de terceros sin que exista una aprobación explícita del operador humano.
Para testear la protección de la información personal, los investigadores sometieron a los agentes a pruebas con una identidad ficticia para observar su comportamiento ante formularios web. Los resultados mostraron que herramientas como Claude Computer Use y Director compartían información sensible, como correos electrónicos, códigos postales e incluso credenciales de acceso, con sitios web que ni siquiera requerían dicha información para mostrar su contenido, o que la solicitaban bajo pretextos de marketing. En un escenario particularmente severo, algunos agentes llegaron a completar campos con datos sobre raza, orientación sexual o números de tarjeta de crédito en formularios no seguros, basándose en información que el usuario había proporcionado en conversaciones anteriores o en documentos vinculados.
La respuesta de la industria ante estos hallazgos ha sido dispar; así, tras la divulgación responsable de estas vulnerabilidades por parte de los investigadores con noventa días de antelación, algunos proveedores clasificaron los fallos con una prioridad alta y procedieron a investigar soluciones, mientras que otros desestimaron los riesgos o no ofrecieron respuesta.
La lección que las organizaciones deben tomar es que, si bien la automatización mediante agentes en el navegador ofrece ventajas operativas indudables, su despliegue actual requiere una evaluación de riesgos rigurosa y, posiblemente, medidas de contención adicionales antes de integrarlos en flujos de trabajo que manejen datos confidenciales.
