{"id":63154,"date":"2026-07-06T15:30:54","date_gmt":"2026-07-06T19:30:54","guid":{"rendered":"https:\/\/ermdigital.com\/?p=63154"},"modified":"2026-07-06T15:30:54","modified_gmt":"2026-07-06T19:30:54","slug":"los-navegadores-de-ia-llegaron-con-la-promesa-de-cambiarlo-todo-no-solo-no-lo-han-hecho-son-un-peligro","status":"publish","type":"post","link":"https:\/\/ermdigital.com\/?p=63154","title":{"rendered":"Los navegadores de IA llegaron con la promesa de cambiarlo todo. No solo no lo han hecho: son un peligro"},"content":{"rendered":"<p>\n      <img decoding=\"async\" src=\"https:\/\/i.blogs.es\/fec3a6\/navegadores-con-ia-amenaza-de-seguridad-1\/1024_2000.jpeg\" alt=\"Los navegadores de IA llegaron con la promesa de cambiarlo todo. No solo no lo han hecho: son un peligro \">\n    <\/p>\n<p>Los navegadores de inteligencia artificial no llegaron prometiendo una pesta\u00f1a m\u00e1s lista ni un buscador con mejores respuestas. Llegaron con una ambici\u00f3n bastante mayor: <a rel=\"noopener, noreferrer\" href=\"https:\/\/openai.com\/es-ES\/index\/introducing-chatgpt-atlas\/\">OpenAI habla de acercarse<\/a> a un \u201cverdadero superasistente\u201d, <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.perplexity.ai\/comet\">Perplexity resume Comet como<\/a> \u201cel navegador que trabaja para ti\u201d y Google presenta <a href=\"https:\/\/www.xataka.com\/basics\/google-gemini-que-como-funciona-diferencias-gpt-cuando-podras-usar-este-modelo-inteligencia-artificial\">Gemini<\/a> en Chrome <a rel=\"noopener, noreferrer\" href=\"https:\/\/blog.google\/products-and-platforms\/products\/chrome\/new-ai-features-for-chrome\/\">bajo la idea de una nueva era de navegaci\u00f3n<\/a>. La promesa es clara: que dejemos de movernos solos por la web y empecemos a delegar parte del camino. El problema es que esa misma promesa empieza a mostrar una cara m\u00e1s delicada.<\/p>\n<p><!-- BREAK 1 --><\/p>\n<p><strong>La advertencia<\/strong>. La Universidad de Washington ha puesto ahora el foco en ese riesgo emergente. <a rel=\"noopener, noreferrer\" href=\"https:\/\/franziroesner.com\/pdf\/roesner_kohlbrenner_2026_agentic_sop.pdf\">En una investigaci\u00f3n<\/a> presentada en el workshop Agents in the Wild, y difundida por la propia universidad el pasado 30 de junio, un equipo analiz\u00f3 siete navegadores ag\u00e9nticos populares para comprobar c\u00f3mo se relacionan con una protecci\u00f3n b\u00e1sica de la web moderna: <a rel=\"noopener, noreferrer\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/Security\/Defenses\/Same-origin_policy\">la pol\u00edtica de mismo origen<\/a>. Su conclusi\u00f3n fue clara: cuatro de ellos abr\u00edan v\u00edas de riesgo relevantes y los investigadores llegaron a ejecutar una prueba de concepto completa en <a href=\"https:\/\/www.xataka.com\/basics\/chatgpt-atlas-que-como-funciona-como-usar-este-navegador-internet-inteligencia-artificial\">ChatGPT Atlas<\/a> en Agent Mode.<\/p>\n<p><strong>El salto de fondo<\/strong>. Un navegador tradicional nos muestra p\u00e1ginas y espera nuestras decisiones. Podemos abrir un servicio, copiar un dato, pegarlo en otro sitio, comparar opciones o rellenar un formulario, pero cada paso depende de nosotros. Los navegadores ag\u00e9nticos alteran esa l\u00f3gica porque incorporan sistemas capaces de interpretar lo que aparece en pantalla y avanzar dentro del propio navegador. Ya no hablamos solo de resumir una p\u00e1gina, sino de coordinar tareas entre pesta\u00f1as, operar sobre p\u00e1ginas abiertas y completar acciones que antes quedaban en manos del usuario.<\/p>\n<p><!-- BREAK 2 --><\/p>\n<p><strong>Un nuevo frente<\/strong>. El riesgo no aparece solo porque una p\u00e1gina sea maliciosa, sino porque el agente puede interpretar esa p\u00e1gina como parte de sus instrucciones. Ah\u00ed entra el <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.datacamp.com\/blog\/prompt-injection-attack?utm_cid=23552157100&amp;utm_aid=188237542530&amp;utm_campaign=230119_1-ps-other~dsa-tofu~ai_2-b2c_3-emea_4-prc_5-na_6-na_7-le_8-pdsh-go_9-nb-e_10-na_11-na&amp;utm_loc=1005493-&amp;utm_mtd=-c&amp;utm_kw=&amp;utm_source=google&amp;utm_medium=paid_search&amp;utm_content=ps-other~emea-en~dsa~tofu~blog~artificial-intelligence&amp;gad_source=1&amp;gad_campaignid=23552157100&amp;gbraid=0AAAAADQ9WsEILdTkPRgQ0UZqPSdf1wM9H&amp;gclid=CjwKCAjwpK3SBhASEiwAtV1SPAgkw0hJBAB2GQxIBRfDwrGKuH78rqV4Oh40UleWP23-kPHHtILQEhoCBGkQAvD_BwE\">prompt injection<\/a>, una t\u00e9cnica en la que un contenido externo intenta alterar el comportamiento del modelo con \u00f3rdenes escondidas, camufladas o simplemente insertadas donde el usuario no espera encontrarlas. En un chatbot, eso ya es un problema. En un navegador ag\u00e9ntico, el alcance cambia, porque el sistema puede procesar informaci\u00f3n de una p\u00e1gina y convertirla en acciones dentro del navegador.<\/p>\n<p><strong>La barrera que estaba ah\u00ed<\/strong>. La pol\u00edtica de mismo origen es una de esas protecciones que casi nunca vemos, pero que sostienen buena parte de la web moderna. Su funci\u00f3n, simplificando, es impedir que una p\u00e1gina pueda leer o manipular libremente informaci\u00f3n de otra solo porque ambas est\u00e1n abiertas en el navegador. Gracias a esa separaci\u00f3n, una web cualquiera no deber\u00eda poder acceder sin m\u00e1s a lo que tenemos en un banco, un correo o un servicio privado. El problema aparece cuando un agente agrupa informaci\u00f3n que antes estaba mucho m\u00e1s separada.<\/p>\n<p><!-- BREAK 3 --><\/p>\n<div class=\"article-asset article-asset-normal article-asset-center\">\n<div class=\"desvio-container\">\n<div class=\"desvio\">\n<div class=\"desvio-figure js-desvio-figure\">\n    <a href=\"https:\/\/www.xataka.com\/seguridad\/nombres-usuario-whatsapp-parecian-buena-idea-entonces-aparecio-sombra-suplantacion-identidad\" class=\"pivot-outboundlink\" data-vars-post-title=\"Los nombres de usuario de WhatsApp parec\u00edan una buena idea. Entonces apareci\u00f3 la sombra de la suplantaci\u00f3n de identidad \"><br \/>\n     <img loading=\"lazy\" decoding=\"async\" alt=\"Los nombres de usuario de WhatsApp parec\u00edan una buena idea. Entonces apareci\u00f3 la sombra de la suplantaci\u00f3n de identidad \" width=\"375\" height=\"142\" src=\"https:\/\/i.blogs.es\/602196\/suplantacion-nombres-usuario-whatsaapp-1\/375_142.jpeg\"><br \/>\n    <\/a>\n   <\/div>\n<div class=\"desvio-summary\">\n<div class=\"desvio-taxonomy js-desvio-taxonomy\">\n     <a href=\"https:\/\/www.xataka.com\/seguridad\/nombres-usuario-whatsapp-parecian-buena-idea-entonces-aparecio-sombra-suplantacion-identidad\" class=\"desvio-taxonomy-anchor pivot-outboundlink\" data-vars-post-title=\"Los nombres de usuario de WhatsApp parec\u00edan una buena idea. Entonces apareci\u00f3 la sombra de la suplantaci\u00f3n de identidad \">En Xataka<\/a>\n    <\/div>\n<p>    <a href=\"https:\/\/www.xataka.com\/seguridad\/nombres-usuario-whatsapp-parecian-buena-idea-entonces-aparecio-sombra-suplantacion-identidad\" class=\"desvio-title js-desvio-title pivot-outboundlink\" data-vars-post-title=\"Los nombres de usuario de WhatsApp parec\u00edan una buena idea. Entonces apareci\u00f3 la sombra de la suplantaci\u00f3n de identidad \">Los nombres de usuario de WhatsApp parec\u00edan una buena idea. Entonces apareci\u00f3 la sombra de la suplantaci\u00f3n de identidad <\/a>\n   <\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n<p>Imaginemos que visitamos una p\u00e1gina aparentemente normal y pedimos al agente que la resuma o que nos ayude a completar una tarea dentro de ella. En determinadas condiciones, esa p\u00e1gina puede incluir contenido de otro origen, como un iframe, junto a una instrucci\u00f3n maliciosa pensada para el modelo y no para nosotros. Si el agente tiene permisos suficientes, podr\u00eda acceder a contenido que la web atacante no deber\u00eda poder leer directamente y trasladar parte de esa informaci\u00f3n a un formulario controlado por el atacante. La web no habr\u00eda roto directamente la barrera; habr\u00eda usado al agente como puente.<\/p>\n<p><!-- BREAK 4 --><\/p>\n<p><strong>El matiz importante<\/strong>. Cabe se\u00f1alar que el estudio no dice que todos los usuarios vayan a sufrir un ataque ni que cualquier navegador con IA sea inseguro por definici\u00f3n. Los investigadores analizaron versiones concretas, en un momento concreto, y trabajaron con pruebas de concepto, no con ataques contra servicios reales ni con datos sensibles de usuarios. Tambi\u00e9n observaron diferencias relevantes entre productos: los navegadores que conced\u00edan menos permisos al agente tend\u00edan a reducir el riesgo.<\/p>\n<p><strong>La paradoja<\/strong>. Estos navegadores resultan atractivos porque prometen ahorrar pasos, entender p\u00e1ginas, relacionar informaci\u00f3n y ejecutar tareas con menos intervenci\u00f3n nuestra. Pero esa misma capacidad es la que hace que el fallo pese m\u00e1s: no ocurre solo en una pesta\u00f1a aislada, sino en un entorno donde puede haber sesiones abiertas, datos personales y acciones pendientes. Puede que todav\u00eda no sean un h\u00e1bito masivo, pero el debate de seguridad ya est\u00e1 aqu\u00ed, precisamente porque su propuesta consiste en darles m\u00e1s margen.<\/p>\n<p><!-- BREAK 5 --><\/p>\n<p>Im\u00e1genes | Xataka con Nano Banana<\/p>\n<p>En Xataka | <a href=\"https:\/\/www.xataka.com\/seguridad\/seleccionar-todos-semaforos-no-suficiente-para-demostrar-que-no-eres-robot-ahora-hay-que-escanear-codigos-qr\">Seleccionar todos los sem\u00e1foros ya no es suficiente para demostrar que no eres un robot. Ahora hay que escanear c\u00f3digos QR<\/a><\/p>\n<p> &#8211; <br \/> La noticia<br \/>\n      <a href=\"https:\/\/www.xataka.com\/seguridad\/navegadores-ia-llegaron-promesa-cambiarlo-todo-no-solo-no-han-hecho-peligro?utm_source=feedburner&amp;utm_medium=feed&amp;utm_campaign=06_Jul_2026\"><br \/>\n       <em> Los navegadores de IA llegaron con la promesa de cambiarlo todo. No solo no lo han hecho: son un peligro  <\/em><br \/>\n      <\/a><br \/>\n      fue publicada originalmente en<br \/>\n      <a href=\"https:\/\/www.xataka.com\/?utm_source=feedburner&amp;utm_medium=feed&amp;utm_campaign=06_Jul_2026\"><br \/>\n       <strong> Xataka <\/strong><br \/>\n      <\/a><br \/>\n             por<br \/>\n               <a href=\"https:\/\/www.xataka.com\/autor\/javier-marquez?utm_source=feedburner&amp;utm_medium=feed&amp;utm_campaign=06_Jul_2026\"><br \/>\n        Javier Marquez<br \/>\n        <\/a><br \/>\n             . <\/p>\n<p>\u00a0Los navegadores de inteligencia artificial no llegaron prometiendo una pesta\u00f1a m\u00e1s lista ni un buscador con mejores respuestas. Llegaron con una ambici\u00f3n bastante mayor: OpenAI habla de acercarse a un \u201cverdadero superasistente\u201d, Perplexity resume Comet como \u201cel navegador que trabaja para ti\u201d y Google presenta Gemini en Chrome bajo la idea de una nueva era de navegaci\u00f3n. La promesa es clara: que dejemos de movernos solos por la web y empecemos a delegar parte del camino. El problema es que esa misma promesa empieza a mostrar una cara m\u00e1s delicada.<br \/>\nLa advertencia. La Universidad de Washington ha puesto ahora el foco en ese riesgo emergente. En una investigaci\u00f3n presentada en el workshop Agents in the Wild, y difundida por la propia universidad el pasado 30 de junio, un equipo analiz\u00f3 siete navegadores ag\u00e9nticos populares para comprobar c\u00f3mo se relacionan con una protecci\u00f3n b\u00e1sica de la web moderna: la pol\u00edtica de mismo origen. Su conclusi\u00f3n fue clara: cuatro de ellos abr\u00edan v\u00edas de riesgo relevantes y los investigadores llegaron a ejecutar una prueba de concepto completa en ChatGPT Atlas en Agent Mode.<br \/>\nEl salto de fondo. Un navegador tradicional nos muestra p\u00e1ginas y espera nuestras decisiones. Podemos abrir un servicio, copiar un dato, pegarlo en otro sitio, comparar opciones o rellenar un formulario, pero cada paso depende de nosotros. Los navegadores ag\u00e9nticos alteran esa l\u00f3gica porque incorporan sistemas capaces de interpretar lo que aparece en pantalla y avanzar dentro del propio navegador. Ya no hablamos solo de resumir una p\u00e1gina, sino de coordinar tareas entre pesta\u00f1as, operar sobre p\u00e1ginas abiertas y completar acciones que antes quedaban en manos del usuario.<br \/>\nUn nuevo frente. El riesgo no aparece solo porque una p\u00e1gina sea maliciosa, sino porque el agente puede interpretar esa p\u00e1gina como parte de sus instrucciones. Ah\u00ed entra el prompt injection, una t\u00e9cnica en la que un contenido externo intenta alterar el comportamiento del modelo con \u00f3rdenes escondidas, camufladas o simplemente insertadas donde el usuario no espera encontrarlas. En un chatbot, eso ya es un problema. En un navegador ag\u00e9ntico, el alcance cambia, porque el sistema puede procesar informaci\u00f3n de una p\u00e1gina y convertirla en acciones dentro del navegador.<br \/>\nLa barrera que estaba ah\u00ed. La pol\u00edtica de mismo origen es una de esas protecciones que casi nunca vemos, pero que sostienen buena parte de la web moderna. Su funci\u00f3n, simplificando, es impedir que una p\u00e1gina pueda leer o manipular libremente informaci\u00f3n de otra solo porque ambas est\u00e1n abiertas en el navegador. Gracias a esa separaci\u00f3n, una web cualquiera no deber\u00eda poder acceder sin m\u00e1s a lo que tenemos en un banco, un correo o un servicio privado. El problema aparece cuando un agente agrupa informaci\u00f3n que antes estaba mucho m\u00e1s separada.<\/p>\n<p>     En Xataka<\/p>\n<p>    Los nombres de usuario de WhatsApp parec\u00edan una buena idea. Entonces apareci\u00f3 la sombra de la suplantaci\u00f3n de identidad <\/p>\n<p>Imaginemos que visitamos una p\u00e1gina aparentemente normal y pedimos al agente que la resuma o que nos ayude a completar una tarea dentro de ella. En determinadas condiciones, esa p\u00e1gina puede incluir contenido de otro origen, como un iframe, junto a una instrucci\u00f3n maliciosa pensada para el modelo y no para nosotros. Si el agente tiene permisos suficientes, podr\u00eda acceder a contenido que la web atacante no deber\u00eda poder leer directamente y trasladar parte de esa informaci\u00f3n a un formulario controlado por el atacante. La web no habr\u00eda roto directamente la barrera; habr\u00eda usado al agente como puente.<br \/>\nEl matiz importante. Cabe se\u00f1alar que el estudio no dice que todos los usuarios vayan a sufrir un ataque ni que cualquier navegador con IA sea inseguro por definici\u00f3n. Los investigadores analizaron versiones concretas, en un momento concreto, y trabajaron con pruebas de concepto, no con ataques contra servicios reales ni con datos sensibles de usuarios. Tambi\u00e9n observaron diferencias relevantes entre productos: los navegadores que conced\u00edan menos permisos al agente tend\u00edan a reducir el riesgo.<br \/>\nLa paradoja. Estos navegadores resultan atractivos porque prometen ahorrar pasos, entender p\u00e1ginas, relacionar informaci\u00f3n y ejecutar tareas con menos intervenci\u00f3n nuestra. Pero esa misma capacidad es la que hace que el fallo pese m\u00e1s: no ocurre solo en una pesta\u00f1a aislada, sino en un entorno donde puede haber sesiones abiertas, datos personales y acciones pendientes. Puede que todav\u00eda no sean un h\u00e1bito masivo, pero el debate de seguridad ya est\u00e1 aqu\u00ed, precisamente porque su propuesta consiste en darles m\u00e1s margen.<br \/>\nIm\u00e1genes | Xataka con Nano Banana<br \/>\nEn Xataka | Seleccionar todos los sem\u00e1foros ya no es suficiente para demostrar que no eres un robot. Ahora hay que escanear c\u00f3digos QR<\/p>\n<p>                 &#8211;  La noticia<\/p>\n<p>        Los navegadores de IA llegaron con la promesa de cambiarlo todo. No solo no lo han hecho: son un peligro  <\/p>\n<p>      fue publicada originalmente en<\/p>\n<p>        Xataka <\/p>\n<p>             por <\/p>\n<p>        Javier Marquez<\/p>\n<p>             .\u00a0\u00a0\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los navegadores de inteligencia artificial no llegaron prometiendo una pesta\u00f1a m\u00e1s lista ni un buscador con mejores respuestas. Llegaron con una ambici\u00f3n bastante mayor: OpenAI habla de acercarse a un \u201cverdadero superasistente\u201d, Perplexity resume Comet como \u201cel navegador que trabaja para ti\u201d y Google presenta Gemini en Chrome bajo la idea de una nueva era [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":63155,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"amp_status":"","footnotes":""},"categories":[6],"tags":[],"class_list":["post-63154","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia-y-tecnologia"],"_links":{"self":[{"href":"https:\/\/ermdigital.com\/index.php?rest_route=\/wp\/v2\/posts\/63154","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ermdigital.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ermdigital.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ermdigital.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ermdigital.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=63154"}],"version-history":[{"count":0,"href":"https:\/\/ermdigital.com\/index.php?rest_route=\/wp\/v2\/posts\/63154\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ermdigital.com\/index.php?rest_route=\/wp\/v2\/media\/63155"}],"wp:attachment":[{"href":"https:\/\/ermdigital.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=63154"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ermdigital.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=63154"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ermdigital.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=63154"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}