Google escaneó la web buscando trampas para los agentes de IA: ya existen y crecieron un 32% en tres meses

La conversación sobre seguridad en inteligencia artificial corrió por dos carriles paralelos. En uno, los laboratorios advertían sobre la inyección indirecta de prompts: la técnica que permite esconder instrucciones maliciosas dentro de una web, un correo o un documento para que la IA, al leerlos, ejecute órdenes que el usuario nunca pidió. En el otro carril, las empresas vendían agentes capaces de navegar, comprar y responder mail por nosotros. El primero sonaba a paper. El segundo, a futuro inevitable. Nadie cruzaba los datos.

El 23 de abril, Google cruzó los datos. Y lo que encontró rompe la película.

El Threat Intelligence Group, junto al equipo de DeepMind, salió a escanear la web abierta en busca de inyecciones ya plantadas. No en simulaciones: en sitios reales. Usaron Common Crawl, el archivo público que publica capturas mensuales de entre 2.000 y 3.000 millones de páginas en inglés. El reporte lo firmaron Thomas Brunner, Yu-Han Liu y Moni Pande.

El laboratorio se mudó a la web

La pregunta del equipo era simple: si los papers describen el ataque desde hace tiempo, ¿alguien lo está usando en serio? La respuesta es sí.

Clasificaron las inyecciones en seis categorías. Bromas inofensivas que ordenan al chatbot resumir el contenido imitando a un personaje de dibujos animados. Guías a los resúmenes generados por IA. Optimización para buscadores, donde el sitio le susurra al asistente que lo recomiende por encima de los competidores. Disuasión del tipo si sos una IA, no leas esta página, incluyendo una variante que arrastra al agente a una página que transmite texto infinito y nunca termina de cargar.

Las dos categorías que importan son las últimas: exfiltración de datos y destrucción. La primera intenta que el asistente filtre información del usuario. La segunda, que ejecute comandos para borrar archivos en la máquina de quien tenga el agente abierto.

Google aclara que la sofisticación detectada es baja. La mayoría parecen experimentos individuales, no operaciones a escala. Pero acá viene el dato que conviene leer dos veces.

El 32% no es ruido: es una curva

Entre noviembre de 2025 y febrero de 2026, los analistas repitieron el escaneo sobre versiones sucesivas del archivo. La categoría maliciosa creció un 32% en términos relativos en esos tres meses. El reporte lo describe como una tendencia ascendente que sugiere interés creciente en este vector de ataque.

Tres meses no fundan una serie histórica. El sentido económico de la curva sí lo funda. Los sistemas de IA actuales son mucho más capaces, lo que los vuelve objetivos más valiosos. Los actores hostiles empezaron a automatizar sus operaciones con IA agéntica, lo que baja el costo de atacar. Google espera que tanto la escala como la sofisticación crezcan en el futuro cercano.

Traducido: lo que era exótico y caro de explotar, ahora es barato. Y lo que era un blanco poco rentable, ahora vale la pena.

La industria vendía agentes asumiendo que el riesgo era teórico

Acá entra mi lectura, porque el reporte no la hace. Durante 2025 y lo que va de 2026, la conversación corporativa giró alrededor de los agentes. Anthropic empujó Claude Code y Claude en Chrome. OpenAI lanzó Operator. Google integró Gemini en el navegador. Microsoft repobló Copilot con capacidades agénticas. El agente lee tu correo, navega la web, completa formularios, dispara compras.

Toda esa narrativa descansaba sobre un supuesto implícito: que la inyección indirecta de prompts era un riesgo manejable, propio de papers académicos, sin manifestación en producción. El reporte de Google patea ese supuesto. El riesgo no está en el laboratorio; está en el archivo público de la web abierta, y crece.

Common Crawl no incluye redes sociales porque saltea sitios con login. LinkedIn, Facebook, X y la mayoría de los espacios donde los agentes corporativos van a operar quedaron fuera del barrido. Lo que Google muestra es la punta visible.

IA contra IA: el atacante también automatizó

Lo que importa no es la existencia de los ataques. Es quién los está fabricando. Los atacantes empezaron a usar IA agéntica para automatizar sus operaciones, dice el propio reporte. El costo marginal de producir una nueva inyección, probarla contra modelos populares y replicarla en mil sitios cae a casi cero.

La defensa sigue siendo cara. Requiere red teams humanos, programas de recompensa para investigadores, capas de filtrado, monitoreo continuo. Google describe esa inversión y la presenta como ventaja competitiva. El problema es que la ventaja en defensa no escala al mismo ritmo que la economía del ataque.

Es la lógica perversa de toda transición tecnológica madura: el ofensor se beneficia del progreso técnico antes que el defensor. Pasó con el spam, con el ransomware, con el deepfake de voz. Ahora pasa con los agentes.

El costo oculto lo paga el usuario, no el laboratorio

El escenario que el reporte describe es uno donde el agente que un ejecutivo, un periodista o un contador deja corriendo en segundo plano se transforma en superficie de ataque silenciosa. El asistente lee una página, la página le ordena algo que el dueño del asistente nunca aprobó, y el daño se consuma sin que aparezca una alerta del sistema. Pranks hoy, exfiltración mañana, comandos destructivos pasado.

La industria no va a frenar el despliegue de agentes: la curva comercial es demasiado fuerte. Los modelos seguirán mejorando en capacidades antes que en defensas robustas contra contenido hostil, porque la capacidad vende y la defensa cuesta.

Pocas veces un actor de primer nivel publicó en su propio blog corporativo un dato que socava el discurso de adopción que la industria sostuvo durante todo 2025. Treinta y dos por ciento en tres meses, en la categoría maliciosa, dentro del único pedazo de internet que se deja escanear.

Quien todavía tratara este vector como problema de paper, ya está corriendo atrás de la curva.