Los agentes de IA se están convirtiendo en extensiones para tu navegador. Eso sólo aumenta la probabilidad de que te lo secuestren
Publicado el 28/08/2025 por Diario Tecnología Artículo original
La IA generativa avanza a una velocidad vertiginosa, y cada semana aparecen nuevas formas de integrar modelos como Claude, Gemini o Copilot en las herramientas que más usamos. Y una de las fronteras más controvertidas (y jugosas) es el navegador web, esa ventana por la que gestionamos gran parte de nuestra vida digital, desde nuestras redes sociales hasta nuestras cuentas bancarias.
En ese terreno delicado, Anthropic ha lanzado una versión 'preview' de Claude para Chrome, con la forma de una extensión que permite a su modelo de IA automatizar la navegación: leer páginas, pulsar botones, completar formularios o ejecutar tareas directamente en el navegador. Pero la propia compañía advierte que el invento es tan útil como peligroso.
¿Qué es Claude para Chrome?
Se trata de una extensión experimental, disponible solo para unos 1.000 suscriptores de pago de Claude Max (con planes de 100-200 dólares al mes). Esto, según la empresa, hace que Claude sea "sustancialmente más útil" al integrarse en el flujo real de trabajo. Y, pese a todo, Anthropic no la considera "preparada" para el público general.
El gran talón de Aquiles: las inyecciones de prompt
El mayor riesgo son los ataques por inyección de instrucciones ocultas ("prompt injection"). En ellos, un texto aparentemente inocente (un email, un documento, incluso un post en redes sociales) incluye comandos invisibles que la IA podría interpretar como legítimos. No es la primera vez que eso ocurre en los últimos tiempos.
Ejemplos reales:
- Un correo malicioso ordenó a Claude borrar la bandeja de entrada de un usuario. La IA obedeció sin confirmación.
- En pruebas de laboratorio, se demostró que un simple fragmento oculto podía pedirle a la IA extraer datos sensibles como correos electrónicos o activar flujos de recuperación de contraseñas.
Anthropic admite que sin defensas, los ataques tuvieron éxito el 23,6% de las veces en 123 pruebas realizadas. Con mitigaciones, la cifra bajó al 11,2%. En ataques específicos del navegador, como campos invisibles en formularios, lograron incluso reducir la tasa de éxito del 35,7% al 0%.
Las defensas (y sus límites)
Para mitigar riesgos, Claude para Chrome incluye:
- Permisos por sitio: el usuario puede otorgar o revocar acceso de la IA a páginas concretas.
- Confirmaciones de alto riesgo: antes de publicar, comprar o compartir datos personales, Claude debe pedir aprobación.
- Bloqueos automáticos: no puede acceder a sitios financieros, de criptomonedas, adultos ni piratería.
Aun así, expertos como Simon Willison (que fue quien acuñó el término prompt injection) califican la tasa de fallo restante del 11,2% como "catastrófica", argumentando que es poco realista esperar que usuarios finales gestionen riesgos tan complejos.
Un patrón que preocupa: navegadores secuestrados por la IA
Claude para Chrome no surge en el vacío. Experimentos similares como Perplexity Comet, Gemini para Chrome o Copilot para Edge han enfrentado vulnerabilidades graves. El equipo de Brave demostró, por ejemplo, cómo Comet podía ser engañado para entrar en cuentas de Gmail y disparar recuperaciones de contraseñas con simples instrucciones escondidas en un hilo de Reddit.
Esto ha llevado a algunos observadores a declarar que el concepto mismo de un navegador "pilotado" por IA podría ser intrínsecamente inseguro.
Aunque suene alarmante, Anthropic defiende que la convergencia entre navegadores y modelos de IA es "inevitable". La compañía confía en que el trabajo de prueba con este grupo reducido de usuarios permita descubrir patrones de ataque y diseñar mejores defensas antes de un lanzamiento masivo.
Pero mientras tanto, los riesgos no son hipotéticos. Como resume Willison:
"No creo que sea razonable esperar que los usuarios finales tomen buenas decisiones sobre riesgos de seguridad tan complejos".
Imagen | Marcos Merino mediante IA
utm_campaign=28_Aug_2025"> Marcos Merino .