Riesgos de seguridad en navegadores con agentes de IA

Última actualización: 19 de diciembre de 2025
Autor: TecnoDigital
  • Los navegadores con agentes de IA integrados amplían la superficie de ataque al actuar con los mismos permisos y sesiones del usuario.
  • Las técnicas de prompt injection, uso del portapapeles y OCR permiten a atacantes manipular al agente para exfiltrar datos y ejecutar acciones no deseadas.
  • La combinación de extensiones con IA, Shadow AI y datos sensibles expone tanto a usuarios como a empresas a graves problemas de privacidad y cumplimiento.
  • Mitigar riesgos exige controles estrictos en el propio navegador, políticas claras de uso de IA y soluciones de seguridad adicionales centradas en la web.

Riesgos de seguridad en navegadores con agente de IA

La ola de navegadores con agente de IA integrado ya está aquí: Atlas de OpenAI, Comet de Perplexity, Brave con Leo, Chrome con Gemini, Edge con Copilot, Firefox incorporando funciones inteligentes… y lo que viene. Esta nueva generación de software promete que dejemos de “navegar” y pasemos a decirle a la máquina lo que queremos que haga: leer por nosotros, rellenar formularios, gestionar compras o incluso automatizar tareas complejas en la web.

Sin embargo, esta comodidad tiene un lado oscuro: el propio navegador pasa a ser un agente autónomo con tus permisos, tus sesiones abiertas, tus archivos y, en muchos casos, tus datos personales o corporativos. Si algo sale mal —ya sea por diseño, por un fallo de seguridad o por un ataque bien planteado—, el impacto puede ser mucho mayor que el de un navegador tradicional o un simple chatbot en la nube.

Qué es un navegador con agente IA y por qué cambia las reglas del juego

Un navegador con agente de IA es, en esencia, un navegador “normal” con un modelo de lenguaje profundamente integrado que ve las páginas que visitas, entiende su contenido y está autorizado a ejecutar acciones como si fuese el propio usuario. No se limita a resumir una web: puede hacer clic en botones, escribir en formularios, descargar ficheros, gestionar pestañas o interactuar con servicios donde ya estás autenticado.

Esto marca una diferencia importante respecto a usar un chatbot clásico en otra pestaña, donde tú copias y pegas contenido: ahora el agente está “dentro” del navegador, con acceso directo al contexto de tu navegación, a tus sesiones abiertas y, potencialmente, a tus archivos locales o a otros recursos del sistema.

Esta arquitectura resulta especialmente atractiva para las grandes tecnológicas. Perplexity ha lanzado su navegador Comet y llegó a plantearse la compra de Chrome, mientras que Google y Microsoft van inyectando sus modelos Gemini y Copilot directamente en Chrome y Edge. OpenAI, por su parte, ha presentado ChatGPT Atlas como su propio navegador basado en Chromium, con una capa de IA que opera en procesos separados para reducir riesgos.

La motivación de negocio es clara: millones de usuarios, uso constante y toneladas de datos. Un navegador así genera una enorme fidelización (da pereza cambiar de navegador y por eso es habitual usar varios navegadores) y, además, ofrece telemetría sobre todo el tráfico web y sobre cómo interactúan los usuarios con la red, algo extremadamente valioso para entrenar modelos, probar nuevas funciones y reducir costes de infraestructura moviendo parte del trabajo a los dispositivos de los propios usuarios.

Navegador con agente IA y ciberseguridad

Atlas de OpenAI: funciones clave y primeros límites de seguridad

El 21 de octubre de 2025 OpenAI liberó la primera versión pública de ChatGPT Atlas para macOS, su navegador con IA integrada que, según la propia compañía, se expandirá a Windows, Android e iOS. La idea es que la navegación “sea” ChatGPT: el usuario deja de copiar y pegar texto para que el modelo lo procese, y pasa a pedir directamente tareas sobre la página que está viendo.

Para reducir riesgos, OpenAI ha aplicado varias restricciones técnicas pensadas específicamente para el agente del navegador. Atlas se basa en Chromium, pero la IA corre en procesos separados, encapsulados en lo que llaman OpenAI Web Layer (OWL). Según la documentación inicial, el agente:

  • No puede ejecutar código ni instalar extensiones por su cuenta.
  • No tiene capacidad para descargar archivos de forma autónoma ni acceder a otras aplicaciones locales.
  • No ve ni usa contraseñas guardadas ni datos de autocompletado del navegador.
  • No puede acceder a información del dispositivo fuera de su ámbito de navegación.

En cuanto a privacidad, OpenAI promete un enfoque “privacy by default”: las interacciones con Atlas no se utilizan para entrenar modelos salvo que el usuario lo autorice explícitamente. Además, la memoria del navegador —la capacidad de recordar páginas y contextos— viene desactivada de fábrica y debe habilitarse manualmente.

El usuario puede, además, borrar historial y memorias y definir en qué webs ChatGPT puede interactuar o incluso bloquear totalmente la IA con un solo clic. En sitios críticos como bancos o servicios sensibles, Atlas exige una confirmación manual antes de que el agente realice acciones, con el objetivo de evitar operaciones no deseadas o movimientos financieros automáticos.

  7 estrategias de Seguridad y privacidad en la era digital

Estas salvaguardas son un paso en la dirección correcta, pero no eliminan el problema de fondo: un navegador con IA tiene mucho más poder que un navegador clásico, y basta una sola vulnerabilidad, mala configuración o decisión de diseño para convertirlo en un vector de ataque muy rentable.

Riesgos de seguridad específicos de los navegadores con agentes IA

La integración de IA genera una superficie de ataque completamente nueva. No hablamos solo de “bugs” clásicos de navegador, sino de fallos en la interacción entre el modelo de lenguaje, el contenido web y las acciones automatizadas. Estos son los riesgos más importantes que se han identificado hasta ahora.

Inyección de prompts e instrucciones ocultas

La llamada prompt injection (inyección de indicaciones) consiste en esconder instrucciones maliciosas dentro de la propia página web, en fragmentos de texto aparentemente inocuos, en HTML oculto, en comentarios de foros, en etiquetas markdown e incluso en imágenes que luego se procesan vía OCR.

Cuando el usuario pide al agente que resuma, analice o interactúe con esa página, el modelo puede interpretar esas instrucciones como órdenes legítimas del usuario, y ejecutarlas con todos los privilegios de su sesión: navegar a nuevas URLs, pulsar botones, copiar datos privados, rellenar formularios o publicar información sensible.

Un ejemplo práctico lo ha documentado Brave con Perplexity Comet: un usuario abre un hilo de Reddit que oculta, en un texto tipo “spoiler”, un conjunto de órdenes maliciosas. Al pulsar el botón de “resumir la página” con el agente activado, el navegador:

  • Accede a la configuración de cuenta de Perplexity y obtiene el correo del usuario.
  • Simula un inicio de sesión para generar un código OTP de verificación.
  • Abre Gmail (si ya está en sesión), encuentra el mensaje con el código y lo lee.
  • Publica en el propio hilo de Reddit el correo del usuario y el OTP, dejándolo a la vista del atacante.

Todo esto sucede exclusivamente mediante texto, sin necesidad de scripts maliciosos ni exploits de bajo nivel, y con un único clic del usuario. Es el contenido de la página el que “programa” al agente para que abuse de sus permisos.

Inyección a través del portapapeles y del OCR

Otro vector que empieza a ganar peso es la manipulación del portapapeles. El malware tradicional ya lo explota para cambiar direcciones de criptomonedas o interceptar credenciales; en el contexto de un navegador con IA, el agente podría leer lo que copias y actúar en consecuencia, o incluso pegar de vuelta contenido modificado sin que lo notes.

Más sofisticado todavía es el uso de instrucciones ocultas en imágenes procesadas por OCR. El navegador puede leer texto incrustado en gráficos o capturas de pantalla, y si un atacante esconde órdenes en píxeles que pasan desapercibidos al ojo humano pero no al sistema de reconocimiento, el agente podría ejecutarlas como si fueran parte legítima de la página.

En ambos casos, el problema es el mismo: el modelo no distingue de forma robusta entre contenido “descriptivo” y contenido “instruccional”, y tiende a obedecer todo lo que suena a orden, sobre todo si está formateado de forma persuasiva.

Exposición y abuso de datos personales y sensibles

Los navegadores con IA suelen incluir funciones de relleno automático inteligente o de gestión de formularios que van más allá del autocompletado clásico. Si una página maliciosa simula un formulario legítimo (por ejemplo, de un banco, una red social o un proveedor SaaS) y el agente considera que debe “ahorrarte trabajo”, puede introducir datos como nombre completo, dirección, teléfono o incluso identificadores internos de empresa sin solicitar una verificación explícita.

Si, además, el navegador tiene permisos para ver todas las pestañas abiertas o recientes, el riesgo se multiplica: el agente podría utilizar simultáneamente información de tu correo, tu calendario, tus contactos, tu CRM corporativo o tu gestor de proyectos para completar una tarea ampliando el alcance de una filtración. Aunque esto pueda ser útil en usos legítimos, en manos de un atacante se convierte en una mina de oro de datos sensibles.

En entornos empresariales el problema se agrava. Extensiones de navegador con IA, integradas en el flujo de trabajo, suelen pedir permisos muy amplios: leer y modificar el contenido de todas las webs, acceder a cookies y sesiones, interactuar con APIs, etc. Esa combinación es perfecta para robar propiedad intelectual, informes financieros, diseños en curso, código fuente o conversaciones confidenciales.

Sesiones persistentes y secuestro de cuentas

Un navegador moderno mantiene abiertas numerosas sesiones autenticadas: correo, almacenamiento en la nube, redes sociales, banca online, herramientas de trabajo, paneles de administración… Si el agente tiene la capacidad de interactuar con todos esos servicios y, además, la sesión no caduca o se reutiliza de forma indefinida, un atacante puede aprovechar cualquier inyección exitosa para realizar acciones en cadena sin necesidad de volver a comprometer al usuario.

  Le Chat de Mistral AI: Todo sobre el chatbot europeo de IA

Esto abre la puerta a ataques de secuestro de sesión y movimiento lateral: una vez que el agente ha sido engañado, puede descargar o borrar archivos, cambiar configuraciones, añadir llaves SSH a repositorios, modificar registros en un CRM o aprobar órdenes de compra, todo ello desde el contexto de distintos servicios donde el usuario ya había iniciado sesión.

Phishing, desinformación y falta de transparencia en las acciones

Los navegadores con IA también son especialmente vulnerables a campañas de phishing “invisibles”. El propio agente puede ser usado para visitar páginas fraudulentas, rellenar formularios de autenticación o confirmar transacciones sin que el usuario vea nunca la interfaz real, solo un resumen “amable” generado por el modelo.

Además, los sistemas que transforman contenido antes de mostrarlo al usuario complican la detección de sitios falsos: la IA puede suavizar señales de alerta, reordenar elementos e incluso generar explicaciones plausibles que hacen más difícil distinguir una web legítima de una copia diseñada para robar credenciales.

Otro riesgo menos tangible pero igual de serio es la susceptibilidad a la desinformación y al contenido manipulado. Un modelo mal configurado o entrenado con datos envenenados puede priorizar fuentes tendenciosas, omitir advertencias o generar respuestas que refuercen narrativas falsas. Si el navegador se usa de forma intensiva para informarse, el impacto en la percepción de la realidad o en decisiones críticas (por ejemplo, inversión, salud, política) puede ser considerable.

En todos estos casos pesa un problema transversal: la opacidad de las acciones que realiza el agente. Muchas interacciones suceden “por debajo del capó”, sin que el usuario vea exactamente qué pestañas se abren, qué datos se han copiado o qué botones se han pulsado. Esto dificulta la auditoría, la atribución de responsabilidades legales (¿ha sido el usuario o la IA?) y la detección temprana de comportamientos anómalos.

Omnibox, comandos disfrazados y exploits zero-click

La omnibox o barra única de direcciones y búsqueda, característica de navegadores modernos, añade su propia capa de peligro. En un escenario con IA, un comando malicioso puede camuflarse como una URL o una búsqueda inocente. Si el modelo analiza lo que escribes e intenta “ayudarte” ejecutando acciones directamente, puede terminar navegando a sitios controlados por atacantes o ejecutando secuencias de tareas no deseadas.

En paralelo, la explosión de vulnerabilidades de tipo zero-click en ecosistemas de IA demuestra que, a veces, ni siquiera hace falta interacción directa: basta con recibir un correo, una invitación de calendario o un mensaje en una plataforma integrada con el agente para que se active la lógica maliciosa. Ejemplos como EchoLeak en Microsoft 365 Copilot muestran cómo, aprovechando cargas automáticas de imágenes, interpretaciones de markdown y proxies internos, un atacante puede escalar privilegios y exfiltrar datos sin que el usuario haga nada.

Este tipo de ataques no se limita a grandes suites ofimáticas: cualquier navegador con agente IA expuesto al correo web, mensajería o paneles de administración podría convertirse en víctima si el modelo interactúa automáticamente con los contenidos recibidos.

Extensiones con IA, cadena de suministro y Shadow AI

Fuera de los navegadores “oficiales” con IA integrada, se está produciendo una proliferación de extensiones de navegador impulsadas por modelos de lenguaje que prometen productividad instantánea: asistentes de redacción, detectores de sentimiento, autocompletado avanzado, resúmenes de reuniones, etc. Estas extensiones suelen solicitar permisos muy intrusivos y, en muchos casos, envían datos a servicios externos poco transparentes.

Esta situación crea un cóctel explosivo de vulnerabilidades de cadena de suministro: bibliotecas de terceros, APIs no auditadas, servidores de inferencia ubicados en otros países, actualizaciones automáticas sin control… Una extensión inicialmente legítima puede ser comprada por un actor malicioso y actualizarse en silencio para recolectar datos sensibles o plantar malware en entornos corporativos.

Todo esto se ve agravado por la Shadow AI, es decir, el uso de estas herramientas sin aprobación ni visibilidad del departamento de TI. Empleados bienintencionados que instalan extensiones de IA para trabajar más rápido pueden, sin saberlo, estar exportando información protegida por GDPR, HIPAA o PCI DSS a proveedores terceros que no cumplen los requisitos legales ni de seguridad exigidos.

Impacto en privacidad, cumplimiento normativo y cibercrimen

La consecuencia directa de este nuevo escenario es un aumento drástico de los riesgos para la privacidad personal y la confidencialidad empresarial. Un navegador de IA o una extensión mal gestionada puede capturar libros, artículos científicos bajo suscripción, borradores de informes financieros, planes estratégicos, código propietario o datos de clientes sin que nadie lo detecte.

En el ámbito doméstico ya hemos visto fallos concretos: ChatGPT llegó a mostrar fragmentos de chats de otros usuarios por un error técnico, y la función de compartir conversaciones generó URLs indexables por buscadores, dejando miles de diálogos privados a la vista de cualquiera. Es fácil extrapolar lo que podría pasar cuando el asistente tenga acceso pleno al tráfico web y a archivos locales.

  Comparativa de asistentes de compras con IA: ChatGPT vs Perplexity

En el terreno corporativo, la exposición de propiedad intelectual o datos regulatorios puede implicar multas millonarias, pérdida de ventaja competitiva y daño reputacional. Si una extensión de transcripción de reuniones almacena conversaciones con clientes sensibles en servidores de terceros, o si un navegador con IA utiliza información financiera confidencial para entrenar modelos, la organización podría incumplir RGPD, CCPA, HIPAA u otras normativas sectoriales.

Al mismo tiempo, los ciberdelincuentes están aprovechando las mismas capacidades que las empresas buscan. Ransomware asistido por IA y malware polimórfico ya han sido observados en la naturaleza: familias como PromptLock generan scripts sobre la marcha para moverse por sistemas Windows, macOS o Linux, eludir detecciones y cifrar datos. Los llamados “Dark LLMs” —modelos abiertos modificados para fines criminales— permiten automatizar reconocimiento, robo de credenciales y campañas de intrusión completas.

Investigaciones recientes han demostrado que los LLMs integrados en flujos corporativos pueden ser coaccionados para instalar malware, extraer datos o manipular resultados simplemente a través de prompts bien diseñados o datos de entrenamiento envenenados. A medida que los navegadores con agente IA se vuelvan la interfaz principal con la web, esta amenaza se extenderá a prácticamente cualquier actividad en línea.

Mitigaciones implementadas y recomendaciones para reducir riesgos

Los proveedores de navegadores con IA están empezando a reaccionar. Además de las restricciones ya comentadas en Atlas, Brave ha propuesto buenas prácticas concretas para mitigar ataques de prompt injection y abusos de agente:

  • Diferenciar claramente las órdenes del usuario del texto de la web, evitando mezclar ambos en el mismo canal de instrucciones hacia el modelo.
  • Requerir confirmación explícita para cualquier acción sensible (compras, cambios de configuración, movimientos de dinero, acceso a correos).
  • Aislar las funciones avanzadas del agente de la navegación básica, de forma que el simple hecho de visitar una página no implique capacidad de actuar automáticamente.
  • Tratar todo contenido web como no confiable por defecto, exigiendo señales claras de intención del usuario antes de ejecutar acciones.

En paralelo, algunas compañías, como OpenAI, ofrecen controles granulares de visibilidad y memoria: bloquear IA en dominios específicos, desactivar por defecto el uso de datos para entrenamiento, permitir que el usuario borre conversaciones y memorias cuando lo desee o requieran aprobaciones manuales en sitios considerados críticos.

Desde el lado de la empresa usuaria, hay una serie de medidas de higiene básica que conviene implantar cuanto antes:

  • Política clara sobre uso de IA: qué navegadores y extensiones están permitidos, qué datos pueden procesar y en qué condiciones.
  • Formación continua para empleados, explicando riesgos de prompt injection, phishing dirigido a la IA y fuga de datos.
  • Uso de entornos virtualizados o aislados (VDI, sandboxes) para tareas de alto riesgo, de forma que un incidente sea más fácil de contener.
  • Implantación de soluciones de seguridad centradas en el navegador que monitoricen extensiones, comportamiento anómalo y exfiltración de datos.

Un “navegador de IA ideal”, según los expertos, debería permitir activar o desactivar el procesamiento inteligente por sitio con un solo clic, aislar el contexto del modelo entre dominios, confirmar siempre la introducción de datos sensibles, restringir por sistema operativo el acceso a archivos y permitir que el usuario elija incluso modelos locales sin envío de datos a la nube. Ninguno de los productos actuales cumple todavía todos estos requisitos, por lo que es imprescindible complementarlos con capas de seguridad externas.

El panorama que dibujan los navegadores con agente de IA es tan potente como delicado: si se gestionan bien, pueden democratizar la automatización avanzada en el día a día; si se descuidan, pueden convertirse en la herramienta preferida de los atacantes. La clave estará en cómo evolucionen las medidas técnicas (aislamiento, controles de usuario, detección de inyecciones) y en cuánto inviertan organizaciones y particulares en entender qué hace, exactamente, ese “asistente” que ahora vive dentro de su navegador.

diferencias entre Atlas y Comet navegador
Artículo relacionado:
Diferencias entre Atlas y Comet navegador: comparativa completa