Los navegadores con IA, como Comet de Perplexity y Leo de Brave, ofrecen ventajas que no se encuentran en los navegadores convencionales, pero también presentan riesgos potencialmente mayores.
“La capacidad de recopilar y resumir rápidamente la información disponible sin tener que invertir horas de clics y lectura es increíblemente valiosa”, observó Andy Bennett, CISO de Apollo Information Systems, proveedor de soluciones de ciberseguridad y TI en Dallas.
“Al mismo tiempo, los navegadores con IA ofrecen análisis y permiten al usuario obtener información que normalmente llevaría mucho tiempo o se perdería por completo”, declaró. “La IA puede ayudar a encontrar información en una mayor cantidad de fuentes de las que un usuario puede procesar física o manualmente en una experiencia de navegador tradicional”.
Pero ese gran poder conlleva un gran riesgo, como explicaron los investigadores de Brave en una entrada de blog:
“En lugar de simplemente pedir ‘Resume lo que dice esta página sobre los vuelos a Londres’, puedes ordenar: ‘Resérvame un vuelo a Londres el próximo viernes’. La IA no solo lee, sino que navega y completa las transacciones de forma autónoma”.
Continuaron señalando: “Este tipo de navegación agéntica es increíblemente potente, pero también presenta importantes desafíos de seguridad y privacidad. A medida que los usuarios se familiarizan con los navegadores de IA y comienzan a confiarles datos confidenciales en sesiones iniciadas, como sitios web bancarios, de atención médica y otros sitios web críticos, los riesgos se multiplican”.
“¿Qué sucedería si el modelo alucina y realiza acciones que no solicitaste?”, preguntaron. “O peor aún, ¿qué sucedería si un sitio web aparentemente inofensivo o un comentario dejado en una red social pudiera robar tus credenciales de inicio de sesión u otros datos confidenciales añadiendo instrucciones invisibles para el asistente de IA?”.
Riesgo de instrucciones ocultas.
Los investigadores encontraron una vulnerabilidad de “instrucciones ocultas” en el navegador Comet. Cuando se le pide que resuma una página web, el navegador la introduce en su modelo de lenguaje grande (LLM) sin distinguir entre las instrucciones del usuario y el contenido no confiable. “Esto permite a los atacantes incrustar cargas útiles de inyección indirecta de mensajes que la IA ejecutará como comandos”, explicaron.
“La inyección de avisos es una preocupación para todos los agentes de IA, pero especialmente grave para los navegadores de IA”, observó Lionel Litty, CISO y arquitecto jefe de seguridad de Menlo Security, proveedor de seguridad para navegadores en Mountain View, California.
“Esto se debe a que el contenido web es inherentemente poco confiable y, a menudo, proviene de diversas fuentes”, declaró. “Incluso al visitar un sitio de comercio electrónico confiable, el contenido que ve el navegador de IA puede incluir reseñas de clientes y anuncios de terceros, todas posibles fuentes de inyección de avisos”.
“En general, las herramientas de red no están bien posicionadas para abordar la inyección de avisos, ya que tienen una comprensión muy limitada de las actividades de navegación”, añadió. “Se necesitan soluciones que comprendan el contexto completo de la sesión de navegación y puedan proteger proactivamente al agente mediante la incorporación de medidas de seguridad estrictas”.
Acusaciones comerciales.
La seguridad fue una de las razones citadas por Amazon para ordenar a Perplexity que eliminara al minorista en línea de la experiencia Comet.
“Los Términos de Uso y el Aviso de Privacidad de Perplexity le otorgan amplios derechos para recopilar contraseñas, claves de seguridad, métodos de pago, historiales de compra y otros datos confidenciales de los clientes que acceden a la Tienda de Amazon o a otros sitios web de terceros, a la vez que declina cualquier responsabilidad por la seguridad de los datos”, escribió Amazon en una carta de “Cese y Desista” enviada a Perplexity.
“Al mismo tiempo”, continuó, “Perplexity está evadiendo intencionalmente la identificación del agente de IA de Comet por parte de Amazon cuando accede a la Tienda de Amazon, interfiriendo así directamente con los esfuerzos de Amazon para gestionar los riesgos de seguridad. Esto es particularmente preocupante dados los informes recientes que muestran que la IA de Comet es vulnerable a ataques de inyección rápida, phishing, estafas y otras formas de ciberataques”.
Perplexity replicó que el verdadero objetivo de Amazon es salvaguardar su lucrativo modelo de negocio basado en la publicidad. Cuando un agente de IA simplemente tiene la tarea de comprar el detergente para ropa más barato, omite los resultados patrocinados, las ventas adicionales y las ofertas confusas que generan ingresos para Amazon, argumentó. Perplexity comparó la situación con una tienda que solo permite a los clientes contratar a un asistente de compras personal que trabaja exclusivamente para la tienda; no un asistente de compras personal real, sino un vendedor.
Los navegadores con IA presentan riesgos que los navegadores tradicionales no presentan. «Los navegadores tradicionales no intentan interpretar una página ni actuar en consecuencia», explicó Dan Pinto, director ejecutivo y cofundador de Fingerprint, una empresa de inteligencia de dispositivos y huellas dactilares de navegadores, en Chicago.
«Con los navegadores con IA, el asistente de IA se convierte en parte de la experiencia de navegación», declaró. «Esto significa que interpretará una página y actuará según instrucciones ingeniosamente ocultas, porque para eso fue diseñado».
Los navegadores tradicionales renderizan el contenido mientras que los navegadores con IA lo interpretan, explicó Dylan Dewdney, cofundador y director ejecutivo de Kuvi.ai, un proveedor de productos de software integrado.
“Esa capa interpretativa es el multiplicador de amenazas”, declaró. “Un navegador normal podría cargar un sitio malicioso, pero un navegador con IA puede ser manipulado mediante ingeniería social, engañado o coaccionado lingüísticamente para que realice acciones en tu nombre, incluyendo acciones que no autorizaste o ni siquiera entendiste. Es menos como hackear un navegador y más como hackear el asistente en quien delegaste la toma de decisiones”.
Más peligroso que un navegador web promedio.
Pinto agregó que, en muchos casos, los ataques lanzados a través de navegadores con IA son más dañinos que los dirigidos a navegadores tradicionales.
“El peligro es que el asistente de IA pueda realizar acciones en tu nombre, como hacer clic en enlaces maliciosos, completar formularios y enviar información personal valiosa, todo sin tu conocimiento”, dijo. “Una vez que un atacante puede influir en esa automatización, la situación se agrava rápidamente y el usuario podría no ver ni una sola señal de alerta”.
Jon Knisley, jefe de IA de procesos en Abbyy, una empresa global de automatización inteligente, sostuvo que es un doble golpe lo que hace que los navegadores con IA sean más peligrosos que sus homólogos convencionales. «La naturaleza autónoma de los navegadores con IA y una mayor integración con los recursos del usuario amplían su radio de impacto», declaró.
«Con acceso a los datos del usuario a través de correos electrónicos y documentos, un ataque exitoso puede comprometer todo un flujo de trabajo en comparación con una sesión de navegador local», afirmó. «Además, los agentes carecen del filtro de ‘sentido común’ que puede interrumpir un ataque más tradicional de ingeniería social o phishing».
Dewdney explicó que la navegación con IA acorta la distancia entre la lectura y la acción. «Un mensaje malicioso no solo aparece en la pantalla. De hecho, puede desencadenar acciones, automatizar flujos de trabajo, acceder a cuentas o exfiltrar datos», afirmó. «Una vez que un atacante secuestra la ‘capa de interpretación’, el radio de acción es significativamente mayor. Con los usuarios humanos, hay fricción. Con los agentes, hay velocidad y obediencia».
Dar acceso a un navegador a través de agentes a contraseñas, nombres de usuario y otras credenciales también las vuelve potencialmente más peligrosas para los usuarios, añadió Nick Muy, CISO de Scrut Automation, empresa de automatización de ciberseguridad y cumplimiento normativo con sede en Milpitas, California. Muy advirtió a los usuarios que no almacenen nombres de usuario, contraseñas ni otras credenciales directamente en el navegador.
«Exigir que el navegador se autentique con una aplicación de terceros como 1Password», declaró. «Aun así, dar acceso al navegador a cualquier cosa conlleva un gran riesgo».
A un clic del caos.
Pinto señaló que la comunidad en línea está observando la primera ola de ataques, que se basan completamente en cómo los asistentes o agentes de IA ven la web, no en cómo la ven los humanos.
«Eso significa que las defensas también deben adaptarse», afirmó. «Cuanta más autorización tengan los asistentes de IA para actuar en nombre de los usuarios, más importante será contar con sistemas que puedan reconocer cuándo algo en un dispositivo, una sesión o el comportamiento de un usuario no tiene sentido, no solo si es humano o no».
“Esa capa adicional de información”, continuó, “puede ayudar a mantener las cuentas protegidas sin obstaculizar esta nueva forma en que los usuarios legítimos interactúan con la web”.
“Estamos entrando en una era donde el lenguaje es un vector de ataque”, añadió Dewdney.
“Los modelos de seguridad diseñados para humanos no se adaptan perfectamente a sistemas que razonan, resumen y actúan”, explicó. “La solución a largo plazo será una combinación de verificabilidad criptográfica (que acredite la integridad del contenido), sandbox de agentes y marcos de identidad descentralizados”.
“Hasta entonces, los usuarios deberían tratar los navegadores con IA de la misma manera que los primeros usuarios de internet trataban los archivos adjuntos de correo electrónico: potentes, prácticos y a un solo clic del caos”, concluyó.
