Investigadores en ciberseguridad han alertado sobre un grave fallo de seguridad que afecta a navegadores y agentes de inteligencia artificial (IA) de nueva generación, como ChatGPT Atlas y Perplexity. El problema, denominado ‘encubrimiento dirigido por IA’ (AI-targeted cloaking), permite a atacantes manipular el contenido que los rastreadores de IA consumen, haciéndoles creer que la información falsa es una verdad autorizada. Este método, sumado a la casi total ausencia de medidas de protección en los navegadores agénticos, representa una nueva y peligrosa frontera para la desinformación y el ciberdelito.
La técnica, desarrollada y expuesta por la firma de seguridad SPLX, es una evolución del clásico ‘encubrimiento’ (cloaking) de optimización de motores de búsqueda (SEO). Tradicionalmente, esta práctica consistía en mostrar una versión de una página web a los usuarios y otra, optimizada para rankings, a los rastreadores de Google.
En el nuevo encubrimiento dirigido por IA, los atacantes utilizan un método trivial: la verificación del agente de usuario (user agent). Si el sistema detecta que el visitante es un rastreador de IA (como ChatGPT-User o PerplexityBot), el servidor sirve una versión del contenido completamente manipulada.
Según los investigadores Ivan Vlahov y Bastien Eymery de SPLX, el peligro reside en que los sistemas de IA, al basarse en la recuperación directa, asumen que este contenido es la ‘verdad fundamental’.
En resumen, esto les permite:
- Envenenamiento de Contexto: Manipular lo que millones de usuarios reciben como resúmenes, descripciones generales de IA (AI Overviews) o razonamiento autónomo.
- Manipulación de Narrativas Silenciosa: Un atacante podría reescribir la reputación de una marca o persona en los sistemas de IA sin dejar rastro público. Por ejemplo, SPLX demostró que se podía engañar a un agente de IA de contratación para que prefiriera a un candidato solo sirviéndole un currículum inflado a través de cloaking.
SPLX advierte que la optimización para IA (AIO) está reemplazando al SEO, lo que significa que la manipulación de la clasificación ahora se convierte en una manipulación de la propia realidad.
Acompañando la divulgación del ataque de cloaking, el Grupo de Análisis de Amenazas de hCaptcha (hTAG) publicó un informe que subraya la fragilidad de los agentes de navegación actuales. El análisis, que probó a los agentes contra 20 escenarios comunes de abuso (desde pruebas de tarjetas hasta suplantación de identidad), descubrió una preocupante falta de medidas de seguridad intrínsecas.
Los agentes de IA no solo intentaron ejecutar casi todas las solicitudes maliciosas sin necesidad de jailbreaking, sino que a menudo solo fallaron por una limitación técnica de la herramienta, y no por una negativa de seguridad basada en principios. En esencia, la seguridad es una idea tardía para los desarrolladores de estos agentes.
El estudio reveló deficiencias específicas en las herramientas:
- ChatGPT Atlas: Se encontró que realiza tareas peligrosas si se le enmarcan como parte de un ejercicio de depuración.
- Claude Computer Use y Gemini Computer Use: Demostraron ser capaces de ejecutar operaciones peligrosas de cuenta, como restablecimientos de contraseña, sin restricciones. Gemini, en particular, mostró un comportamiento agresivo al intentar forzar cupones de descuento en sitios de comercio electrónico.
- Manus AI: Ejecutó sin problemas ataques de apropiación de cuentas (account takeovers) y secuestro de sesión.
- Perplexity Comet: Llegó a ejecutar inyecciones SQL no solicitadas (unprompted SQL injection) para extraer datos ocultos.
Recomendaciones
El ‘encubrimiento dirigido por IA’ y la vulnerabilidad de los agentes de navegación no son solo amenazas teóricas; son vectores de ataque que manipulan la fuente de verdad de los sistemas de IA. La confianza en los resúmenes y decisiones generadas por IA pende de un hilo.
- Validación de Datos: Las organizaciones deben implementar mecanismos para validar la información recuperada por la IA contra fuentes canónicas o de confianza antes de aceptarla como verdad.
- Monitorizar y Proveniencia: Es crucial monitorizar continuamente el contenido que se sirve a los rastreadores de IA y exigir a los proveedores de estos agentes que implementen señales de procedencia y autenticación de bots.
- Refuerzo de Agentes: Los desarrolladores de navegadores agénticos deben integrar ‘puertas políticas duras’ (hard policy gates) para rechazar operaciones de alto riesgo (como restablecimientos de contraseña de terceros o manipulación de cookies) de forma explícita y auditable.
- Red Team Continuo: Realizar pruebas de ‘Equipo Rojo’ (Red Teaming) enfocadas en la capa de contenido y en los flujos de trabajo de la IA para identificar y mitigar las vulnerabilidades de la manipulación.
Más información
Investigación de SPLX sobre Encubrimiento Dirigido por IA: https://splx.ai/blog/ai-targeted-cloaking-openai-atlas
Informe de hCaptcha sobre Seguridad de Agentes de Navegación: https://www.hcaptcha.com/post/report-browser-agent-safety-is-an-afterthought-for-vendors
