Una falla de seguridad en el navegador Comet, desarrollado por Perplexity, ha sido descubierta por expertos en ciberseguridad. El problema permite a atacantes robar información confidencial, como datos vinculados a servicios de correo y calendario, al aprovechar la ejecución de prompts ocultos a través de enlaces disfrazados.
El ataque, conocido como CometJacking, revela cómo herramientas basadas en inteligencia artificial pueden convertirse en vectores de riesgo si no se aplican controles adecuados.
Ataque CometJacking: método y alcance de la amenaza
El ataque denominado CometJacking explota una vulnerabilidad muy específica en el navegador Comet. Investigadores detallan que la ofensiva opera inyectando prompts maliciosos en enlaces aparentemente legítimos. Cuando un usuario hace clic en uno de estos enlaces, la inteligencia artificial integrada en el navegador ejecuta un comando oculto.
Este comando accede a datos personales y los transfiere directamente al servidor del atacante, sin que la víctima perciba anomalías durante su navegación.
Michelle Levy, experta de seguridad en LayerX, subraya la gravedad del problema al señalar: “no se trata solo de robar datos; es sobre secuestrar al agente que ya tiene las llaves”. El ataque convierte al navegador en un actor interno hostil que utiliza los privilegios y el acceso a servicios conectados, incluidas aplicaciones como Gmail y Calendario.
El procedimiento se desarrolla en cinco fases: primero, la víctima recibe un enlace malicioso, ya sea en campañas de phishing por correo electrónico o distribuidos en sitios web. Al hacer clic, el enlace no lleva al usuario al destino deseado, sino que activa un prompt secreto dentro del navegador. Este proceso da como resultado la sustracción de información personal, enviada automáticamente a los sistemas controlados por los atacantes, generando un riesgo potencial tanto para individuos como para organizaciones.
Vulnerabilidad en inteligencia artificial: riesgos para empresas y usuarios
El contexto pone de manifiesto cómo los navegadores equipados con inteligencia artificial pueden ser doblemente vulnerables, no solo por el acceso directo a datos sino también por la dificultad de detectar actividades anómalas. Los atacantes eluden sistemas tradicionales de protección de datos recurriendo a técnicas de evasión simples, como la codificación en Base64, según se observa en la reciente investigación.
A pesar de la gravedad de los hallazgos, Perplexity minimizó el impacto señalando que la vulnerabilidad reportada no presenta un “impacto en la seguridad”. Este enfoque contrasta con las advertencias de los expertos en ciberseguridad, quienes insisten en la necesidad urgente de revisar los protocolos y los mecanismos de supervisión frente a los llamados prompts maliciosos, ya que los navegadores AI pueden transformarse en verdaderos puntos de control encubiertos dentro de redes empresariales.
La posible generalización de los ataques representa una amenaza concreta para el entorno corporativo, pues basta con que un solo usuario interactúe con un enlace modificado para que el atacante obtenga acceso a información estratégica y alcance múltiples servicios vinculados al perfil del usuario.
Nuevas tendencias en ciberataques a navegadores de inteligencia artificial
La aparición del CometJacking marca un hito en los métodos empleados por ciberdelincuentes para explotar las herramientas de IA. El caso evidencia que las medidas estándar de protección resultan insuficientes ante la sofisticación de los ataques enfocados en asistentes inteligentes basados en prompts.
La capacidad de un enlace para activar comandos ocultos convierte cualquier mecanismo asociado a la inteligencia artificial en una pieza potencialmente vulnerable dentro del sistema informático de una organización.
Expertos remarcan que el fenómeno destaca la importancia de un enfoque proactivo en la gestión de riesgos tecnológicos. Las organizaciones, especialmente aquellas que integran navegadores inteligentes entre sus herramientas cotidianas, deben actualizar sus controles y sensibilizar a los usuarios respecto del impacto que puede tener un solo clic en la integridad de los datos corporativos.
El desarrollo de nuevas tácticas defensivas centradas en la detección y neutralización de prompts encubiertos será fundamental en la evolución de la ciberseguridad aplicada a plataformas de inteligencia artificial.
Últimas Noticias
Cuidado con el horno microondas: qué objetos y alimentos no debes introducir en este electrodoméstico
Descubrir qué materiales y productos pueden causar explosiones, incendios o liberar toxinas es clave para evitar accidentes en la cocina
Memoria RAM o almacenamiento: cómo saber cuándo se debe actualizar cada uno
Descubrir si conviene invertir en memoria RAM o en almacenamiento puede marcar la diferencia en el uso cotidiano de un equipo
Inteligencia espacial, la capacidad que aún no ha sido dominada por las IA
La inteligencia espacial, base del pensamiento humano, se perfila como el próximo gran desafío para el desarrollo de la inteligencia artificial
Descubre por qué la selfie con movimiento es lo mejor para evitar que suplanten tu identidad en Navidad
El auge de la inteligencia artificial y la sofisticación de los ataques obligan a empresas y usuarios a buscar nuevas formas de proteger sus operaciones en línea
Problemas con el botón ‘repost’ de Instagram: usuarios comparten contenido en su perfil sin saberlo
La facilidad para compartir contenido sin advertencia ha expuesto a muchas personas a momentos embarazosos
