Engañan a la IA de Perplexity Comet para Realizar Phishing en Menos de Cuatro Minutos
Los navegadores web «agénticos» son impulsados por inteligencia artificial (IA) para realizar tareas de forma autónoma en nombre del usuario Pero han demostrado tener una vulnerabilidad crítica: pueden ser engañados para caer en trampas de phishing. La firma de ciberseguridad Guardio ha logrado manipular el navegador Perplexity Comet para que sea víctima de una estafa. Y lo consiguió en menos de cuatro minutos.
El Peligro del «Agentic Blabbering»
El ataque se basa en una característica inherente a estos sistemas: su necesidad de «razonar» y «narrar» sus acciones. Los investigadores denominan a esto «Agentic Blabbering» (el parloteo del agente). Al interceptar el tráfico de datos entre el navegador y los servidores de IA, los atacantes pueden observar qué elementos de una página web el agente considera sospechosos, qué duda le generan y cómo piensa actuar.
Entrenando una Máquina de Estafas contra la IA
Con esta información, los investigadores alimentaron una Red Generativa Antagónica (GAN) para crear y optimizar iterativamente una página de phishing. El objetivo: modificar la página hasta que el navegador Comet dejara de mostrar objeciones y realizara la acción deseada. Un ejemplo de esas acciones era introducir credenciales en un formulario falso de reembolso.
Lo más peligroso de este método es que, una vez que los atacantes logran que una página funcione contra un modelo de IA específico, esa misma página engañará a todos los usuarios que utilicen ese agente. El objetivo del ataque ya no es engañar al humano, sino al «empleado digital» que actúa en su nombre.
Otros Ataques a Perplexity Comet: «PerplexedBrowser»
Esta investigación se suma a otras recientes que revelan la fragilidad de estos sistemas:
- Inyección de Prompt. Trail of Bits demostró cómo se puede engañar al asistente de Comet para que extraiga información privada de Gmail cuando el usuario pide resumir una página web controlada por el atacante.
- Ataques de «Clic Cero» (PerplexedBrowser). Zenity Labs detalló dos ataques que usan inyección de prompt en invitaciones de reunión para lograr el secuestro de cuentas de 1Password o la exfiltración de archivos locales. Perplexity ya ha solucionado estos problemas específicos.
¿Tiene Solución?
La inyección de prompt sigue siendo un desafío de seguridad fundamental y, según OpenAI, es «poco probable» que se resuelva por completo en los navegadores agénticos. Aunque se pueden reducir los riesgos con entrenamiento adversarial y nuevas salvaguardas, la investigación demuestra que, por ahora, estos agentes autónomos pueden ser manipulados con relativa facilidad.
Conclusión: Un Nuevo Panorama de Amenazas
La llegada de los navegadores de IA cambia las reglas del juego en ciberseguridad. Ya no basta con educar al usuario para que no haga clic en enlaces sospechosos; ahora también debemos asegurarnos de que las herramientas que lo asisten no sean el eslabón débil.
¿Quieres saber cómo proteger a tu equipo de las nuevas amenazas basadas en IA?