Hace poco, investigadores de seguridad pusieron a prueba uno de los nuevos navegadores de IA “de agente”. La lista de tareas era bastante básica: buscar un producto, completar un formulario y finalizar una compra. En cuestión de horas, el navegador había hecho clic en un anuncio de phishing, ingresado detalles de la tarjeta de crédito en un sitio falso y completado una transacción fraudulenta, todo sin que un ser humano se diera cuenta de la estafa.
Fue un recordatorio inquietante de lo poderosos que ya son los navegadores. Saben a dónde vamos, qué buscamos y qué compramos. Almacenan cookies, credenciales, tokens y datos para autocompletar que nos autentican silenciosamente en toda la web. Cada hábito digital, cada inicio de sesión, cada rastro de metadatos de comportamiento fluye a través de esa única aplicación. Cuando una capa de IA comienza a operar dentro de ella, el resultado no es solo una interfaz más inteligente, sino también una superficie de ataque expuesta.
Del error humano al error de la máquina a gran escala
El phishing y la ingeniería social se han basado durante mucho tiempo en el comportamiento humano, aprovechándose de la curiosidad, la distracción y la confianza. Los atacantes sacan provecho de los errores y el volumen: siempre alguien, en algún lugar, hará clic.
Los navegadores de IA trastocan ese patrón. Esto se debe a que los agentes de IA no son impulsivos, pero son obedientes y están dispuestos a hacer lo que sea necesario para completar una tarea para su humano. Si una página maliciosa incluye una instrucción oculta o una solicitud manipuladora, un agente de IA puede recibirla y ejecutarla sin dudas. Una vez que un atacante encuentra un método de ataque que funciona, ya sea a través de la inyección de solicitudes, HTML modificado o texto invisible, ya no necesita engañar a las personas. Puede apuntar directamente a los sistemas que actúan en su nombre.
El antiguo manual de estrategias de ataque sigue funcionando: inicios de sesión falsos, ventanas emergentes engañosas, anuncios manipulados u omisiones de CAPTCHA. La diferencia es la escala. Un navegador de IA puede tomar la misma mala decisión miles de veces por segundo, en innumerables sesiones, todo mientras parece legítimo para los sistemas con los que se vincula.
El multiplicador de amenazas oculto a simple vista
Durante la mayor parte de la historia de la Web, los navegadores se trataron como herramientas que muestran contenido, pero no interactúan con él. Esa idea nunca fue del todo cierta. Los navegadores llevan mucho tiempo siendo una mina de oro de datos, como el historial de navegación, las contraseñas guardadas, las cookies de sesión y los documentos en caché. Ya se encuentran en la intersección entre identidad, datos y comportamiento.
La aparición de navegadores “de agente”, como Atlas de OpenAI, Comet de Perplexity o el modo Copilot de Microsoft Edge, aumenta exponencialmente ese riesgo. Estos navegadores no solo renderizan páginas, sino que interpretan, resumen y actúan. Conocen el contexto del usuario y sus preferencias. Pueden recuperar información, ejecutar flujos de trabajo e incluso completar transacciones.
Para un sistema empresarial, esas acciones parecen normales con tokens válidos, encabezados correctos y comportamiento adecuado. Para un atacante, esa legitimidad es una oportunidad. Si ataca al agente, accederá a la confianza, la identidad y el alcance del usuario. El navegador siempre ha sido uno de los componentes de software con más privilegios en cualquier dispositivo.
Cómo se propaga el riesgo
Los modos de error potenciales son extensiones de patrones que los equipos de seguridad ya comprenden, y que ahora se mueven más rápido y tienen más acceso:
- Exposición de datos. Los navegadores con IA pueden resumir paneles con información confidencial o almacenar datos confidenciales en la memoria caché, lo que los deja fuera de los controles de cumplimiento normativo y DLP.
- Fraude y transacciones. Los agentes a los que se les inyectan solicitudes pueden iniciar compras, transferencias o aprobaciones sin confirmación humana.
- Robo de credenciales. Se puede engañar a las API de autocompletado y las sesiones guardadas para que compartan datos de inicio de sesión con páginas suplantadas.
- Daño a la reputación. Los sistemas automatizados pueden publicar o enviar mensajes en nombre de los usuarios, lo que genera riesgos para la confianza pública y la autenticidad.
Individualmente, cada uno de estos riesgos es conocido. En conjunto, forman una amenaza que opera dentro del perímetro con total legitimidad.
Responsabilidad, intención y confianza
El desafío más complejo no se trata de detección, sino de responsabilidad. Nuestros marcos de seguridad actuales dan por sentado que hay una persona detrás de cada acción. Pero cuando los navegadores actúan de forma autónoma, eso ya no es una certeza.
Un navegador con IA puede acceder a datos confidenciales, aprobar flujos de trabajo o compartir información con otro servicio, todo mientras usa las credenciales correctas en la red correcta. Desde una perspectiva de supervisión, todo se ve normal. Sin embargo, la intención ya no forma parte de la ecuación.
Sin una manera clara de identificar y restringir a estos actores no humanos, las organizaciones pierden tanto la visibilidad como el control. No pueden determinar fácilmente quién o qué realizó una acción, o si fue autorizada en primer lugar. En este nuevo contexto, la identidad se convierte en la manera de volver a introducir la responsabilidad en estas interacciones.
Si una entidad, ya sea un ser humano o una máquina, puede iniciar sesión, acceder a los datos y ejecutar comandos, debe tener una identidad, permisos claramente definidos y un comportamiento auditable. Y, en el caso de los agentes de IA, debe estar vinculado a un propietario humano responsable. De lo contrario, la confianza se convierte en un acto a ciegas y la “actividad normal” se convierte en la próxima amenaza interna.
Lo que los líderes de seguridad deberían preguntar
Los CISO ya enfrentan presión entre los casos de uso emergentes de la IA y las exigencias normativas. Pero unas pocas preguntas simples pueden revelar dónde está creciendo más rápido el riesgo:
- ¿Podemos determinar si la actividad en nuestros registros es iniciada por humanos o por agentes?
- ¿Son nuestras políticas de acceso lo suficientemente granulares como para regular las acciones delegadas del navegador?
- Nuestros sistemas de DLP y de detección de fraude, ¿distinguen la automatización de agentes del comportamiento del usuario?
- ¿Qué ocurre si un navegador con IA se ve comprometido y comienza a filtrar datos a través de API legítimas?
- ¿Cómo establecemos registros de auditoría que prueben la intención en un entorno autónomo?
Las respuestas a estas preguntas definirán qué tan preparadas están las empresas para la próxima generación de automatización web.
Proteger la Web de agentes
El navegador siempre ha sido un objetivo valioso. Sabe quiénes somos, qué hacemos y dónde residen nuestros datos. La incorporación de IA no hace más que aumentar el riesgo.
A medida que los navegadores con IA y los agentes de IA se conviertan en parte del trabajo diario, los equipos de seguridad deberán adaptar principios familiares a un territorio desconocido. La verificación, el privilegio mínimo, la supervisión continua y la revocación rápida de sesiones siguen siendo las piedras angulares; la diferencia es que, ahora, deben aplicarse a los actores de software, no solo a los usuarios humanos.
Proteger los datos en este entorno significa extender los controles basados en la identidad a cada entidad capaz de actuar en la red. Solo vinculando cada acción a una identidad verificada y evaluando continuamente su comportamiento, podremos preservar la responsabilidad de la que depende la seguridad moderna.
