Los navegadores impulsados por IA pueden ser engañados para robar tus datos. Las empresas que los construyen han decidido que es un riesgo que vale la pena tomar.

Cheng Xin/Getty Image
Una versión de este artículo apareció originalmente en el boletín de AI & Tech de Quartz. Regístrate aquí para recibir las últimas noticias, análisis e insights de AI y tecnología directamente en tu bandeja de entrada.
En octubre, OpenAI lanzó Atlas, su navegador impulsado por ChatGPT diseñado para competir directamente con Google $GOOGL Chrome. Perplexity tiene Comet. Opera (¿los recuerdas?) presentó Neon. Mozilla, que construyó toda su marca sobre ser el navegador en el que puedes confiar, acaba de anunciar una "Ventana AI" para Firefox.
Únete a más de 500.000 lectores que comienzan su día con Quartz.
Al suscribirte, aceptas nuestros Términos de servicio y Política de privacidad.
El mensaje desde Silicon Valley es inequívoco. Todas estas empresas prometen navegadores que no solo cargan páginas web, sino que realmente las entienden. Navegadores que pueden comprar por ti, resumir tus correos electrónicos, reservar tus viajes y manejar las cosas tediosas mientras haces algo más interesante. La propuesta es convincente. La situación de seguridad no lo es.
El equipo de seguridad del navegador Brave (que también está introduciendo funciones de IA) publicó una serie este otoño mostrando cuán vulnerables son los navegadores de IA a la inyección de comandos, un tipo de ataque en el que instrucciones ocultas manipulan a una IA para hacer cosas que el usuario nunca pidió. En pruebas con Comet de Perplexity, los investigadores incrustaron comandos invisibles dentro de una imagen en una página web. Cuando un usuario pidió al navegador resumir la página, en su lugar navegó a la cuenta de Perplexity del usuario, extrajo su dirección de correo electrónico y envió esos datos a un servidor externo. No se pidió aprobación, no se dio.
Otra prueba demostró que Atlas de OpenAI podría ser manipulado por instrucciones ocultas en documentos en línea ordinarios, haciendo que cambie la configuración sin el consentimiento del usuario. El jefe de seguridad de la información de OpenAI reconoció en X $TWTR que la inyección de comandos sigue siendo "un problema de seguridad sin resolver en la frontera." La compañía lanzó Atlas de todos modos.
Hasta ahora, los ataques demostrados han sido bastante limitados: direcciones de correo electrónico, códigos de verificación, configuraciones del navegador. Pero las vulnerabilidades no se vuelven más pequeñas a medida que las capacidades crecen. Google ya ha anunciado un protocolo de pagos que permite a los agentes de IA comprar cosas en tu nombre mientras duermes. Los mismos trucos de inyección de comandos que roban un correo electrónico hoy podrían vaciar una cuenta bancaria mañana.
¿Entonces por qué la prisa? Porque los navegadores ya no son solo navegadores. Durante tres décadas fueron ventanas a la web. Ahora se están convirtiendo en centros de comando para agentes de IA que pueden acceder a tus correos electrónicos, calendarios, documentos, carritos de compras y cuentas bancarias.
Controlar esa interfaz significa controlar la relación entre los usuarios y básicamente todo en línea. Cuando Perplexity hizo una oferta de $34.5 mil millones por Chrome a principios de este año, el director de negocios de la compañía explicó la lógica claramente. El navegador ofrece a las empresas de IA "una superficie mucho más grande" y acceso a mucho más contexto sobre los usuarios.
Las matemáticas financieras son sencillas. Chrome de Google sirve a aproximadamente 3 mil millones de usuarios y ha dominado el mercado durante una década. ChatGPT de OpenAI atrae a 800 millones de usuarios semanales, pero muchos de ellos acceden a él a través de Chrome. Para OpenAI, llevar a esos usuarios a su propio navegador significa capturar datos que de otro modo fluirían hacia Google, creando nuevas oportunidades publicitarias y reduciendo la dependencia de la infraestructura de un competidor.
La "app para todo" ha sido una ballena blanca de Silicon Valley durante años, una que nunca se ha materializado en Occidente sin importar cuán arduamente las empresas hayan intentado recrear el WeChat de China, que permite a los usuarios enviar mensajes, pagar facturas, reservar médicos, pedir comida y comprar sin salir de la app. Pero con cientos de miles de millones fluyendo hacia la IA, la industria está haciendo otro intento. Los navegadores son el camino más rápido hacia esa visión. Incluso si no están listos para el horario estelar.
En diciembre, Gartner aconsejó a los clientes empresariales bloquear los navegadores de IA por completo. La firma de investigación advirtió que la configuración predeterminada en estos productos prioriza la experiencia del usuario sobre la seguridad, dejando a las organizaciones expuestas a ataques de inyección de comandos y fugas de datos. Los analistas también señalaron un riesgo más mundano: empleados que utilizan agentes de IA para completar en su nombre la capacitación obligatoria en seguridad.
Investigadores de seguridad que estudia estas vulnerabilidades tienden a llegar a la misma conclusión incómoda. La inyección de mensajes no es un error que se pueda corregir. Es una clase de ataques que existirá mientras los modelos de IA lean texto que los atacantes puedan influenciar. Las mitigaciones recomendadas incluyen limitar lo que los agentes de IA pueden hacer, restringir el acceso a datos privados y mantener una supervisión humana constante.
Pero la supervisión constante derrota todo el propósito. La propuesta de valor de estos navegadores es que manejan las cosas de forma autónoma mientras haces otra cosa. Al momento en que dejas de mirar, estás confiando en un sistema imperfecto con defensas imperfectas para tomar decisiones usando tus credenciales y tus datos.
Las empresas de IA entienden este compromiso. Han decidido lanzar de todos modos. En la carrera por convertirse en la nueva puerta de entrada a Internet, ser el primero aparentemente importa más que ser seguro. Para los usuarios, el resultado es una nueva generación de herramientas que prometen manejar Internet por nosotros, incluso cuando nos hacen más vulnerables a él que nunca.