Alguien en la Universidad de Washington ha decidido aguar la fiesta de los navegadores inteligentes. Y no es para menos: 4 de cada 7 de estos navegadores con IA tienen fallos de seguridad tan gordos que permiten robar datos con solo visitar una web cualquiera.
El estudio, presentado en el workshop Agents in the Wild, puso a prueba siete navegadores agénticos populares y descubrió que la mayoría no respetan algo tan básico como la política de mismo origen. Ese mecanismo, que nunca ves pero que sostiene toda la web moderna, impide que una página husmee en los datos de otra pestaña. Los navegadores con IA, sin embargo, se lo saltan con una facilidad desconcertante.
La promesa (rota) del superasistente
OpenAI habla de un 'verdadero superasistente', Perplexity resume Comet como 'el navegador que trabaja para ti' y Google nos vende Gemini en Chrome como una nueva era de la navegación. La idea es que dejemos de hacer clic y empecemos a delegar. Que un agente lea, compare y rellene formularios por nosotros mientras miramos otra cosa.
El problema es que ese mismo agente, diseñado para ahorrarnos pasos, acaba con un acceso privilegiado a todo lo que tenemos abierto. Ya no hablamos de una pestaña aislada: hablamos de un ente que cruza información entre sesiones, correos y servicios bancarios sin pedir permiso cada vez.
El riesgo no viene de una página maliciosa cualquiera, sino de la capacidad del agente para interpretar instrucciones ocultas como si fueran nuestras.
El viejo truco del 'prompt injection' ahora con esteroides
El prompt injection es justo lo que suena: colar una orden dentro de un contenido externo para que el modelo la ejecute sin rechistar. En un chatbot, el daño se limita a una respuesta absurda o a un dato suelto. En un navegador agéntico, la cosa cambia: el atacante podría esconder en un iframe de una web normal un comando que haga al agente copiar información de otra pestaña y enviársela por un formulario oculto.
Los investigadores ejecutaron una prueba de concepto completa con ChatGPT Atlas en Agent Mode. La web atacante no rompió la barrera de seguridad: usó al agente como puente para leer lo que no debía. Y funcionó.
Ya lo vivimos con los chatbots, pero ahora el agente tiene las llaves de tu casa digital
En cuanto a los asistentes conversacionales, el prompt injection lleva años dando dolores de cabeza sin demasiada solución. Pero un chatbot no navega por tus cuentas ni tiene a la vista tu bandeja de entrada. La diferencia aquí es abismal: estos navegadores están diseñados para ver, recordar y actuar sobre todo lo que tienes abierto, y eso les da un poder que, mal gestionado, convierte cualquier descuido en un desastre potencial.
No es que vayamos a ver ataques masivos mañana, pero sí es un aviso. Los navegadores que limitaban los permisos del agente salían mejor parados en el análisis, así que la clave no es tirar la IA a la basura, sino blindar lo que puede hacer y cuándo. El hype nos vendió un mayordomo todoterreno, pero a lo mejor necesitamos una puerta con cerradura.
Hype-O-Meter
Nivel de hype: 7,5/10. El hallazgo tiene miga y las implicaciones dan escalofríos, aunque por ahora no hay campañas salvajes en la naturaleza — que sepamos. La nota sube porque el sector ha ignorado las advertencias de seguridad mientras corría a meter agentes en todas partes. Prudencia, pero sin dramas.
El resumen para vagos (TL;DR)
- 🎯 ¿Qué ha pasado? Un estudio de la U. de Washington descubre que 4 de 7 navegadores con IA son vulnerables a ataques de robo de datos.
- 🔥 ¿Por qué importa? Los navegadores agénticos acceden a información privada de muchas pestañas y un prompt injection puede filtrarlo.
- 🤔 ¿Nos afecta o es solo un meme? Aún es pronto, pero si usas estos navegadores experimentales, mejor mantén los ojos bien abiertos.




