El nuevo riesgo de la IA no está en el chatbot, sino en el navegador que puede actuar por nosotros

El nuevo riesgo de la IA no está en el chatbot, sino en el navegador que puede actuar por nosotros

Los navegadores con inteligencia artificial no llegaron prometiendo simplemente mejores búsquedas. Llegaron con una idea mucho más ambiciosa: que dejemos de movernos solos por la web y empecemos a delegar acciones. Que el navegador lea páginas, entienda formularios, compare opciones, resuma correos, busque datos entre pestañas y avance por nosotros. Perplexity define Comet como “el navegador que trabaja para ti”, Google presenta Gemini en Chrome como una asistencia capaz de usar el contexto de las pestañas abiertas, y OpenAI describe el modo agente de ChatGPT Atlas como una función capaz de ver páginas y realizar acciones dentro del navegador, con clics y escritura como lo haría el usuario.

La promesa es cómoda. El problema es que la comodidad también puede abrir una puerta nueva a los ataques. El agente puede convertirse en el puente que la web intentaba evitar Una investigación de la Universidad de Washington puso el foco en una protección básica de la web moderna: la política de mismo origen, conocida como same-origin policy. Esta regla impide, en términos simples, que una página pueda leer o manipular libremente la información de otra solo porque ambas estén abiertas en el navegador.

Es una frontera silenciosa, pero fundamental para que una web cualquiera no pueda espiar lo que ocurre en tu correo, banco o cuenta privada. El equipo de la Universidad de Washington estudió siete navegadores agénticos populares y encontró que cuatro creaban vías para que actores maliciosos pudieran sortear esa frontera. Además, ejecutaron una prueba de concepto completa contra ChatGPT Atlas: una web consiguió robar información de otra página incrustada, como si un anuncio dentro de un correo pudiera capturar datos del propio correo. La clave está en que el agente no se comporta como un script tradicional.

Una página maliciosa no necesariamente rompe la barrera técnica por sí sola. En cambio, puede intentar manipular al agente mediante prompt injection: instrucciones escondidas o camufladas dentro del contenido que el modelo procesa. Si el agente tiene demasiados permisos, puede leer información de una página, interpretarla como parte de la tarea y trasladarla a otra. En un chatbot normal, una inyección de prompt puede hacer que el modelo responda mal.

En un navegador agéntico, el riesgo sube de nivel porque el sistema puede actuar dentro del navegador : abrir páginas, leer contenido, completar formularios o enviar información. OpenAI reconoce que el prompt injection es uno de los riesgos más importantes para los agentes en navegadores y advierte que estos sistemas se enfrentan a una superficie enorme de datos no confiables: correos, documentos, redes sociales, foros y páginas web. La misma función que los hace útiles los vuelve delicados La paradoja es evidente. Estos navegadores resultan atractivos porque pueden relacionar información que antes estaba dispersa.

Pueden mirar una página, recordar otra pestaña, resumir un documento, comparar precios o completar una tarea sin que el usuario haga cada paso manualmente. Pero esa misma capacidad de cruzar contexto es la que complica la seguridad. El navegador tradicional separaba mucho mejor los espacios : una pestaña era una pestaña, un origen era un origen y el usuario funcionaba como intermediario. El navegador agéntico introduce una nueva capa que puede observar, interpretar y actuar sobre varios espacios a la vez.

Navegadores de inteligencia artificial: promesas incumplidas y riesgos crecientes: Los navegadores de inteligencia artificial han llegado al mercado con la ambición de revolucionar la forma en que interactuamos con la web. Empresas como OpenAI y Google… https://t.co/WVJYZrwVAY pic.twitter.com/gWeZMyJuTn Juan Antonio Tirado (@jatirado) July 6, 2026 El estudio no dice que todos los usuarios vayan a ser atacados ni que todos los navegadores con IA sean inseguros por definición. Analizó versiones concretas, en un momento concreto, con pruebas controladas. También encontró diferencias importantes: los navegadores que otorgaban menos permisos al agente tendían a ser más seguros.

Ese matiz importa, porque el problema no es la IA dentro del navegador en sí misma. El problema es cuánto puede hacer, qué datos puede ver, qué acciones puede ejecutar y cómo distingue una instrucción legítima del usuario de una orden maliciosa escondida en una página. Los navegadores con IA todavía están en una etapa temprana, pero el debate de seguridad llegó antes que su adopción masiva. Tiene sentido: si el futuro de la web consiste en delegar más tareas a un agente, entonces ese agente no puede ser tratado como una simple extensión cómoda.

Prometían trabajar por nosotros. Y quizás algún día lo hagan muy bien. Pero antes tienen que resolver una pregunta básica: cómo evitar que, al abrirles la puerta de la web, también se la abramos a cualquiera que sepa hablarles en el idioma correcto. Fuente: Xataka.