Navegadores con IA incorporada como el Comet de Perplexity no son todavía la norma pese a estar ganando popularidad (aunque esta sea en los medios de comunicación, y no tanto entre los usuarios), pero de lo que muchas veces no somos conscientes es que su uso comporta abrir una serie de vectores de ataque inherentes, precisamente, a sus capacidades de IA y, por lo tanto, endémicas de este tipo de programas.
Esos vectores son, precisamente, los que exploran en SquareX Labs con una investigación que se centra en el antes mencionado Comet, pero cuyas conclusiones podemos generalizar a todo el elenco de estas herramientas, más teniendo en cuenta que las grandes compañías del sector tecnológico como son Microsoft y Google, han incorporado (Copilot a Edge) o están a punto de hacerlo (Gemini en Chrome), asistentes de IA en sus navegadores web, con lo que los vectores de ataque que explican, se podrán extender también a los browsers mayoritarios, que detentan tres cuartas partes del mercado en conjunto.
El artículo define dos categorías de productos: navegadores con chatbots integrados, que limitan su acción al resumen y asistencia dentro del propio chat (el caso de Edge y Chrome), y navegadores con agentes capaces de ejecutar tareas dentro de la web en nombre del usuario (el caso de Comet). A partir de ahí, la investigación estructura sus hallazgos en tres puntos débiles en la seguridad de la arquitectura de estos browsers, los cuales dan lugar a varios escenarios de riesgo.
De cada una de estas tres debilidades, se presentan casos de uso que desde SquareX Labs han hallado siendo explotados por grupos de ciberdelincuentes.
El phishing y la ‘inocencia’ del navegador
A nivel de captar que un contenido online es, en realidad, una trampa de phishing (por ejemplo, una página web que afirma ser de un determinado banco no se corresponde, en realidad con la página oficial de dicha entidad), los agentes de IA no son mejores en la detección de estas tretas que el usuario medio. Es más, adolecen de menor experiencia y medidas de protección, e incluso de esa cosa indefinible que poseemos los seres humanos y a la cual llamamos intuición.
Los navegadores de IA están diseñados para completar tareas, no para ser conscientes de la seguridad. Sin embargo, como el navegador de IA realiza tareas en nombre del usuario, generalmente con los mismos niveles de privilegio, los atacantes pueden engañarlos fácilmente para que realicen tareas maliciosas, como otorgar permisos a la aplicación SaaS corporativa (y, por lo tanto, accesible a través del navegador) que esté empleando el usuario, lo que les permite exfiltrar datos confidenciales sin que la víctima lo sepa.
Este vector de ataque se ve potenciado por el hecho de que las aplicaciones que se operan vía web son cada día más utilizadas por las empresas.
Instrucciones maliciosas en aplicaciones de confianza
No importa que la aplicación o el contenido con los que esté trabajando el agente de IA incorporado en el navegador estén alojados en servidores supuestamente de confianza, como los de SharePoint, Vercel y OneDrive, ya que los atacantes también pueden insertar prompts e instrucciones maliciosos en aplicaciones de confianza donde la víctima ha iniciado sesión.
Como en el caso anterior, los agentes de IA tienen menos conciencia de seguridad que el empleado promedio. Por lo tanto, el browser puede ser inducido a realizar tareas maliciosas, como la exfiltración de datos y la inserción de enlaces maliciosos en invitaciones de calendario mediante ataques de inyección de avisos desde dentro de estas aplicaciones.
Descarga de ficheros maliciosos
Al igual que muchos otros navegadores, Comet no puede inspeccionar los archivos que descarga, por lo que los atacantes pueden disfrazar fácilmente archivos maliciosos como archivos inofensivos necesarios para completar el flujo de trabajo, lo que provoca la descarga y ejecución de malware o ransomware en el endpoint.
Si bien es posible detectar algunos de estos archivos mediante herramientas EDR, muchos pasan los escáneres.
Esto puede ser especialmente peligroso para los trabajadores que utilizan sus propios dispositivos (lo que se conoce como BYOD) y que no disfrutan de la protección EDR cuando están operando a distancia.
¿Qué podemos hacer al respecto?
El análisis de SquareX Labs termina con una propuesta de medidas de mitigación de estos problemas inherentes a los navegadores con IA que, según la firma, requiere de un enfoque compartido entre usuarios, fabricante del navegador y actores del sector de la ciberseguridad, y no puede depender en exclusiva de soluciones de red o de endpoint tradicionales, con lo que plantean la necesidad de controles nativos en el navegador que distingan entre las acciones que realiza el agente de IA, y las que lleva a cabo el usuario.
La primera medida es establecer una identidad diferenciada para el agente, lo que permitiría aplicar políticas específicas, como limitar permisos en aplicaciones no autorizadas, restringir la instalación de extensiones que comporten riesgos, o impedir inicios de sesión en cuentas personales de servicios de IA generativa.
A esa separación se suma una prevención de fuga de datos orientada al agente, con reglas para el uso del portapapeles, el intercambio de información sensible y la carga de ficheros hacia servicios no permitidos, además de un escaneo local de descargas para bloquear archivos dañinos antes de que lleguen al dispositivo.
El análisis y la puntuación del riesgo en las extensiones, con revisiones estáticas y dinámicas tras cada actualización, completa el conjunto de medidas sugeridas.
El texto concluye describiendo una solución de SquareX basada en extensión para el navegador, que combina la detección y la respuesta en el mismo browser, funciones de acceso seguro a aplicaciones corporativas, y controles de prevención de pérdida de datos con compatibilidad indicada para los navegadores más extendidos y para navegadores con agente como Comet.
La compañía enmarca esta aproximación como una vía para llevar los controles mencionados a entornos gestionados y no gestionados.
