Los navegadores de IA llegaron con la promesa de cambiarlo todo. No solo no lo han hecho: son un peligro

Los navegadores de IA llegaron con la promesa de cambiarlo todo. No solo no lo han hecho: son un peligro

Los navegadores de inteligencia artificial no llegaron prometiendo una pestaña más lista ni un buscador con mejores respuestas. Llegaron con una ambición bastante mayor: OpenAI habla de acercarse a un “verdadero superasistente”, Perplexity resume Comet como “el navegador que trabaja para ti” y Google presenta Gemini en Chrome bajo la idea de una nueva era de navegación . La promesa es clara: que dejemos de movernos solos por la web y empecemos a delegar parte del camino. El problema es que esa misma promesa empieza a mostrar una cara más delicada.

La advertencia . La Universidad de Washington ha puesto ahora el foco en ese riesgo emergente. En una investigación presentada en el workshop Agents in the Wild, y difundida por la propia universidad el pasado 30 de junio, un equipo analizó siete navegadores agénticos populares para comprobar cómo se relacionan con una protección básica de la web moderna: la política de mismo origen . Su conclusión fue clara: cuatro de ellos abrían vías de riesgo relevantes y los investigadores llegaron a ejecutar una prueba de concepto completa en ChatGPT Atlas en Agent Mode.

El salto de fondo . Un navegador tradicional nos muestra páginas y espera nuestras decisiones. Podemos abrir un servicio, copiar un dato, pegarlo en otro sitio, comparar opciones o rellenar un formulario, pero cada paso depende de nosotros. Los navegadores agénticos alteran esa lógica porque incorporan sistemas capaces de interpretar lo que aparece en pantalla y avanzar dentro del propio navegador.

Ya no hablamos solo de resumir una página, sino de coordinar tareas entre pestañas, operar sobre páginas abiertas y completar acciones que antes quedaban en manos del usuario. Un nuevo frente . El riesgo no aparece solo porque una página sea maliciosa, sino porque el agente puede interpretar esa página como parte de sus instrucciones. Ahí entra el prompt injection , una técnica en la que un contenido externo intenta alterar el comportamiento del modelo con órdenes escondidas, camufladas o simplemente insertadas donde el usuario no espera encontrarlas.

En un chatbot, eso ya es un problema. En un navegador agéntico, el alcance cambia, porque el sistema puede procesar información de una página y convertirla en acciones dentro del navegador. La barrera que estaba ahí . La política de mismo origen es una de esas protecciones que casi nunca vemos, pero que sostienen buena parte de la web moderna.

Su función, simplificando, es impedir que una página pueda leer o manipular libremente información de otra solo porque ambas están abiertas en el navegador. Gracias a esa separación, una web cualquiera no debería poder acceder sin más a lo que tenemos en un banco, un correo o un servicio privado. El problema aparece cuando un agente agrupa información que antes estaba mucho más separada. ⌛️ SORTEO ACTIVO EN XATAKA XTRA Gana estos JBL Live 780NC Suscríbete por solo 2€/mes hasta el 10 de julio y entra en el sorteo En Xataka Los nombres de usuario de WhatsApp parecían una buena idea. Entonces apareció la sombra de la suplantación de identidad Imaginemos que visitamos una página aparentemente normal y pedimos al agente que la resuma o que nos ayude a completar una tarea dentro de ella.

En determinadas condiciones, esa página puede incluir contenido de otro origen, como un iframe, junto a una instrucción maliciosa pensada para el modelo y no para nosotros. Si el agente tiene permisos suficientes, podría acceder a contenido que la web atacante no debería poder leer directamente y trasladar parte de esa información a un formulario controlado por el atacante. La web no habría roto directamente la barrera; habría usado al agente como puente. El matiz importante .

Cabe señalar que el estudio no dice que todos los usuarios vayan a sufrir un ataque ni que cualquier navegador con IA sea inseguro por definición. Los investigadores analizaron versiones concretas, en un momento concreto, y trabajaron con pruebas de concepto, no con ataques contra servicios reales ni con datos sensibles de usuarios. También observaron diferencias relevantes entre productos: los navegadores que concedían menos permisos al agente tendían a reducir el riesgo. La paradoja .

Estos navegadores resultan atractivos porque prometen ahorrar pasos, entender páginas, relacionar información y ejecutar tareas con menos intervención nuestra. Pero esa misma capacidad es la que hace que el fallo pese más: no ocurre solo en una pestaña aislada, sino en un entorno donde puede haber sesiones abiertas, datos personales y acciones pendientes. Puede que todavía no sean un hábito masivo, pero el debate de seguridad ya está aquí, precisamente porque su propuesta consiste en darles más margen. Imágenes | Xataka con Nano Banana En Xataka | Seleccionar todos los semáforos ya no es suficiente para demostrar que no eres un robot.

Ahora hay que escanear códigos QR