Atlas cuestiona el viejo paradigma del sandbox: ahora el mayor peligro puede ser el propio agente diseñado para ayudarnos.
Atlas cuestiona el viejo paradigma del sandbox: ahora el mayor peligro puede ser el propio agente diseñado para ayudarnos.
Seguridad

El dilema de Atlas: cuando tu navegador te observa demasiado

La integración profunda de IA en el navegador ChatGPT Atlas no es solo una nueva función, es una redefinición fundamental de la arquitectura web que genera problemas de seguridad y privacidad sin precedentes. El objetivo de este informe se basa en la idea que: la única forma de que una Tecnología beneficie a las personas es entendiendo su funcionamiento, detectando sus riesgos y trabajar para corregirlos.

Photo of Gustavo Aldegani Gustavo Aldegani Send an email noviembre 24, 2025
6 minutos de lectura


Cuando OpenAI presentó ChatGPT Atlas, no estaba lanzando simplemente otro navegador. Estaba proponiendo un cambio fundamental en la relación entre los usuarios e Internet. Al fusionar un modelo de lenguaje de gran escala directamente con el núcleo del navegador, Atlas transforma al usuario de navegante activo en supervisor de un agente autónomo. Pero esta arquitectura tiene una consecuencia profunda: fractura el modelo de seguridad tradicional del navegador, construido durante décadas sobre principios de aislamiento y fronteras bien definidas.

Las primeras investigaciones que analizaron Atlas han descubierto que sus funciones más poderosas introducen una nueva clase de vulnerabilidades. El «Modo Agente», que permite a la IA interactuar autónomamente con sitios web, y las «Memorias del Navegador», que le permiten aprender del historial del usuario. Estas representan una superficie de ataque novedosa que es a la vez muy amplia y compleja (Estudio general sobre ataques a agentes LLM: https://arxiv.org/abs/2402.06782).

La ilusión del sandbox: cuando el agente obedece al enemigo

La base de la ciberseguridad de todo navegador es el sandbox, un entorno controlado que restringe lo que el código de un sitio web puede hacer. El agente de IA de Atlas, diseñado para leer y manipular contenido dentro de ese sandbox en nombre del usuario, se convierte en un puente que lo cruza ignorando las restricciones de seguridad (Análisis del problema en agentes autónomos: https://arxiv.org/abs/2302.12173).

Publicaciones relacionadas

El ataque de «inyección de prompts» ilustra este problema. Los adversarios pueden ocultar comandos maliciosos dentro del texto de una página web aparentemente benigna en contenido visible, metadatos ocultos o incluso texto alternativo de imágenes. Cuando la IA de Atlas procesa la página, no puede distinguir de manera confiable entre el contenido legítimo y estas instrucciones ocultas (Estudio sobre indirect prompt injection: https://arxiv.org/abs/2302.11382).

Por ejemplo: el agente, entrenado para ser útil, puede obedecer un comando malicioso para extraer el contenido de un correo electrónico del usuario de la sesión actual y enviarlo a un servidor controlado por un hacker (Análisis de riesgos de LLMs obedientes: https://arxiv.org/abs/2309.00615).
OpenAI ha reconocido que este es un problema de seguridad sin una solución clara. Pero hay una vulnerabilidad aún más crítica en el diseño de Atlas: la omnibox unificada.

Se detectó un «error de límite» donde Atlas no separa claramente el «espacio de navegación» del «espacio de instrucción». Un enlace inteligentemente malformado puede ser malinterpretado por la omnibox como un comando directo para el agente de IA. Esta falla permite a un atacante crear un único enlace que, cargarlo en Atlas, desencadena una acción autónoma y maliciosa sin ninguna advertencia visible para el usuario (Estudios sobre confusión entre modos de entrada en agentes LLM: https://arxiv.org/abs/2403.03218).

La promesa de autonomía de la IA se cruza con el mayor desafío: mantener la seguridad en un navegador que piensa y actúa por su cuenta.
La promesa de autonomía de la IA se cruza con el mayor desafío: mantener la seguridad en un navegador que piensa y actúa por su cuenta.

La memoria persistente: un problema de privacidad que aprende

Además de los ataques externos, Atlas introduce una preocupación de privacidad interna: sus «Memorias del Navegador». Para proporcionar asistencia personalizada, la IA está diseñada para recordar el contexto del historial de navegación, búsquedas e interacciones del usuario con el tiempo (Riesgos documentados de memorias persistentes en LLM: https://arxiv.org/abs/2310.03012).

Esto crea un perfil conductual persistente de una riqueza sin precedentes. No es solo un registro de sitios visitados; es un modelo dinámico del comportamiento, intereses y actividades potencialmente sensibles del usuario.

Si estos datos se vieran comprometidos, un atacante podría obtener un perfil completo del usuario, desde hábitos y preferencias hasta credenciales bancarias y direcciones personales. (Análisis de filtración de datos sensibles en agentes: https://arxiv.org/abs/2401.05507).

Atlas tiene la capacidad de memorizar búsquedas sensibles relacionadas con la salud y nombres de profesionales médicos específicos. En ciertos contextos legales, este tipo de información podría convertirse en sí misma en una violación a la Privacidad (Análisis legal sobre datos médicos y LLM: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4538585).

El dilema de la mitigación y un futuro incierto

OpenAI no es ajeno a estos problemas. La empresa ha implementado varios modos defensivos, incluyendo un «Modo Desconectado» que impide al agente usar las credenciales del usuario y un «Modo de Vigilancia» que requiere que el usuario mantenga una pestaña activa durante operaciones sensibles (Relación entre autonomía y supervisión en agentes: https://arxiv.org/abs/2401.04056).

Sin embargo, estas medidas dependen en gran medida de la vigilancia del usuario y limitan inherentemente la autonomía del agente, que es la característica misma que define el producto.

Los problemas de seguridad con ChatGPT Atlas apuntan a un tema no resuelto en el campo de la inteligencia artificial: la compensación entre capacidad y seguridad en sistemas agentes. El navegador representa un experimento audaz en borrar los límites que durante mucho tiempo han definido la seguridad digital.

Servirá como un caso de estudio crítico, revelando si un sistema lo suficientemente poderoso como para actuar como nuestro proxy digital también puede ser lo suficientemente confiable para no convertirse en una vulnerabilidad en sí mismo. La carrera ya no se trata solo de funciones; se trata de establecer una nueva base de confianza para la próxima era de la interacción humano-computadora (Discusión académica sobre confianza delegada: https://arxiv.org/abs/2303.03466).

Cuando el modelo interpreta la web, también interpreta instrucciones ocultas. El riesgo ya no está en el código, sino en el lenguaje.
Cuando el modelo interpreta la web, también interpreta instrucciones ocultas. El riesgo ya no está en el código, sino en el lenguaje.

Los riesgos del paradigma agéntico

Atlas no está sólo. La integración de capacidades agénticas en otros navegadores como Perplexity Comet, Arc Max y Dia Browser, crean una nueva clase de vulnerabilidades que trascienden los problemas tradicionales de seguridad web. Estos riesgos emergen no de implementaciones defectuosas, sino de su propia arquitectura (Revisión técnica: https://arxiv.org/abs/2404.01362). Analicemos los cinco riesgos principales:

  1. Superficie de Ataque Expandida: Todos estos navegadores comparten un riesgo fundamental: extienden la superficie de ataque más allá de contenido hacia la interpretación y ejecución autónoma.
    Ejemplo en Arc Max: La función de «renombrar pestañas automáticamente» podría ser explotada mediante una inyección de contenido malicioso que engañe al modelo para que asigne nombres confusos o engañosos, facilitando ataques de phishing internos o confusión del usuario (Casos de manipulación contextual en LLMs: https://arxiv.org/abs/2307.02179).
    • Caso Perplexity Comet: Un atacante podría contaminar los resultados de búsqueda con instrucciones ocultas que el agente ejecutaría durante su proceso de síntesis, pudiendo filtrar información sensible del contexto de la consulta (Estudio sobre data poisoning y LLM: https://arxiv.org/abs/2401.00908).
  2. Imposibildad de diferenciar entre Contenido e Instrucción
    El problema de la «inyección de prompts» o «indirect prompt injection» afecta a todos estos navegadores en distintos grados. La incapacidad de distinguir de manera confiable entre contenido para ser mostrado vs contenido para ser ejecutado es una vulnerabilidad estructural (Marco formal: https://arxiv.org/abs/2402.04512).
    Manifestaciones específicas:
    En Dia Browser: Un formulario web malicioso podría contener instrucciones ocultas que, al ser procesadas por el agente de automatización, lo lleven a modificar sus acciones. Por ejemplo: cambiar el destino de un pago o alterar datos ingresados) (Estudio: https://arxiv.org/abs/2403.01800).
    • En Atlas: Esta vulnerabilidad permite el robo de datos entre pestañas o la ejecución de acciones no autorizadas en servicios conectados (Análisis técnico: https://arxiv.org/abs/2404.02012).
  3. Problema de Aislamiento de Contexto
    La capacidad de estos navegadores de mantener contexto entre sesiones o pestañas crea un vector de ataque crítico: el agente se convierte en un puente que conecta dominios previamente aislados (Análisis: https://arxiv.org/abs/2306.17189).
    Ejemplo práctico: Un ataque de inyección de prompt exitoso en una pestaña con un sitio malicioso podría ordenar al agente que extraiga información de otra pestaña donde el usuario tenga sesiones activas (correo, banca, ERP). Esto viola el principio fundamental de aislamiento que ha guiado la seguridad de los navegadores durante décadas.
  4. Desafío de Auditoria y Transparencia
    La toma de decisiones autónoma de estos agentes crea un problema crítico de transparencia:
    ¿Cómo auditar que un agente que renombra pestañas (Arc Max) no está filtrando información contextual?
    • ¿Cómo verificar que un agente de investigación (Perplexity Comet) no está sesgando sus síntesis debido a contenidos maliciosos?
    • ¿Cómo asegurar que un agente de automatización (Dia Browser) no está tomando decisiones incorrectas basadas en entradas manipuladas?
    (Discusión formal sobre auditoría de agentes: https://arxiv.org/abs/2401.15959)
  5. Escalación de Privilegios mediante Engaño al Modelo
    Todos estos sistemas son potencialmente vulnerables a ataques de escalación de privilegios donde el atacante no explota código, sino la lógica del modelo:
    Un usuario con privilegios limitados podría, mediante ingeniería de prompts sofisticada, engañar al agente para que ejecute acciones que normalmente requerirían mayores privilegios, aprovechando que el agente opera con los permisos del usuario autenticado (Estudio: https://arxiv.org/abs/2305.08979).

Conclusiónes técnicas: un cambio de paradigma en amenazas

Estos navegadores no solo añaden funciones, sino que introducen una nueva clase de amenazas donde el vector de ataque ya no es solo el código ejecutable, sino la semántica del lenguaje natural y la lógica de los modelos de razonamiento automático.

La solución no está en parches puntuales, sino en:

  • Nuevos modelos de seguridad que traten al lenguaje como un vector de ataque formal
  • Mecanismos de sandboxing para agentes que limiten su radio de acción
  • Sistemas de detección de manipulación de prompts en tiempo real
  • Arquitecturas de aislamiento de contexto mejoradas para entornos agénticos

El paradigma agéntico en navegadores ha creado lo llamamos «el problema de la confianza delegada»: cómo confiar en sistemas que deben ser lo suficientemente inteligentes para actuar por nosotros, pero cuyas decisiones no podemos verificar completamente en tiempo real.

Leer mas

Autor

  • Gustavo Aldegani

    Experto en Ciberseguridad, con 30 años de experiencia en Implementación de Sistemas Informáticos Seguros en organizaciones militares, de gobierno y privadas de Estados Unidos y América Latina. Profesor de la Universidad de Belgrano, escritor y conferencista.

    Ver todas las entradas

Etiquetas
Photo of Gustavo Aldegani Gustavo Aldegani Send an email noviembre 24, 2025
6 minutos de lectura
[mdx-adserve-bstreet region="MED"]
Photo of Gustavo Aldegani

Gustavo Aldegani

Experto en Ciberseguridad, con 30 años de experiencia en Implementación de Sistemas Informáticos Seguros en organizaciones militares, de gobierno y privadas de Estados Unidos y América Latina. Profesor de la Universidad de Belgrano, escritor y conferencista.

Publicaciones relacionadas

Detectaron una falla de software que permite tomar el control del sistema telemático de los vehículos

Descubren una falla que permite hackear autos conectados y manipular funciones críticas

Joe Smolarski, nuevo CEO de WatchGuard

WatchGuard nombra a Joe Smolarski como CEO para liderar una nueva etapa de innovación en ciberseguridad

Check Point Software integró la tecnología de Lakera a su CloudGuard WAF para reforzar la protección de aplicaciones y agentes basados en IA generativa, incorporando un enfoque de seguridad de doble capa.

Check Point Software amplía la seguridad para aplicaciones de IA generativa integrando CloudGuard WAF con la tecnología de Lakera

Dell Technologies impulsa la resiliencia cibernética con nuevas soluciones PowerProtect.

Dell PowerProtect impulsa una nueva era de resiliencia cibernética con soluciones más rápidas e inteligentes

[mdx-adserve-bstreet region="BOTTOM"]
Botón volver arriba