Natzir Turrado, experto en inteligencia artificial, sentencia al navegador de ChatGPT: "No lo uséis. Estos bichos pueden ser explotados por atacantes"

Han pasado apenas unos días desde que OpenAI lanzó su navegador particular, de nombre Atlas, al mercado. La particularidad más significativa de esta propuesta es la combinación de un entorno de búsqueda tradicional como el World Wide Web (www) con la consulta en simultáneo de ChatGPT, producto estrella de la compañía especializada en inteligencia artificial. Además, como sucede con el chatbot mencionado, este navegador también cuenta con un 'Modo Agente' capaz de tomar decisiones y ejecutar tareas por nosotros.

Por el momento, la nueva apuesta de Sam Altman, CEO de la compañía especializada en IA, solo está disponible en dispositivos macOS, aunque las posibilidades que ofrece esta herramienta ya han quedado contrastadas por los primeros usuarios (los comúnmente llamados 'early adopters').

Pero no todo son buenas noticias: la búsqueda agéntica también ha hecho saltar las alarmas entre los expertos del sector por las facilidades que ofrece a la hora de llevar a cabo ciberataques.

Los agentes, una nueva brecha de seguridad y privacidad

Entre los especialistas que han advertido del alto potencial ciberdelictivo que tiene Atlas se encuentra Natzir Turrado. Consultor especializado en la optimización del posicionamiento en motores de búsqueda, Turrado ha compartido a través de su perfil de Linkedin un análisis en el que avisa de las debilidades que presentan estas innovaciones: "Estos bichos [los navegadores agénticos] pueden ser explotados por atacantes y tu seguridad y privacidad están expuestos".

El autor de la publicación no solo hace un llamamiento a no usar ningún navegador de este tipo, sino que repasa qué prácticas maliciosas permiten y lanza una predicción poco esperanzadora: "No hay soluciones a corto plazo para mitigarlo".

"Estos bichos pueden ser explotados por atacantes y tu seguridad y privacidad están expuestos. Y no hay soluciones a corto plazo para mitigarlo"

¿Qué es una 'prompt injection' y cuáles son sus consecuencias?

Pese a que la navegación agéntica se encuentra aún en fase experimental, las versiones beta lanzadas hasta la fecha han permitido intuir su gran proyección para la ciberdelincuencia. Mediante una práctica que ha sido bautizada con el nombre de 'prompt injection' (traducción de 'inyección de instrucción'), se abre un abanico de posibilidades dañinas nunca antes visto para los ciberatacanets. ¿Lo peor? En muchas ocasiones, como queda comprobado en el 'post' del citado especialista, los ataques no requieren siquiera de acciones fraudulentas como las que conocíamos hasta ahora: ya no es necesario despistar al usuario, basta con engañar al agente, algo tan simple como camuflar una orden entre el contenido de un sitio web.

Para entender cómo funciona una 'prompt injection', antes es necesario entender qué hace exactamente un agente. Así lo explica Turrado en el primero de sus ejemplos, el de una inyección directa desde el contenido de una web: "El agente lee el contenido de páginas para 'entenderlas' pero no distingue bien entre 'contenido' e 'instrucción'. Una web maliciosa puede incluir texto (visible u oculto) que el agente interpreta como órdenes". Así, una directriz bien camuflada puede ordenar al agente que ignore las instrucciones originales para acceder a enlaces o extraer información personal.

La exposición, como cabe esperar, es más alta en aquellos usuarios cuyas cuentas de navegador están directamente vinculadas al correo electrónico (ni que decir a las tarjetas bancarias): "Un prompt malicioso puede ordenar 'descarga todos los emails' y el agente lo hace porque ya estás autenticado".

"Un prompt malicioso puede ordenar 'descarga todos los emails' y el agente lo hace porque ya estás autenticado"

Es importante subrayar que los 'prompts' maliciosos no solo pueden 'inyectarse' en el cuerpo textual de una página: las fotografías, así como los enlaces, también son susceptibles de esconder órdenes imperceptibles ante nuestros ojos pero rastreables por el agente. A esto, hay que añadir que las diferentes modalidades de ataque se pueden llegar a combinar o "encadenar".

¿Cómo evitar estos ciberataques?

Ante este escenario, con una tecnología todavía en estado incipiente, la recomendación del experto pasa por prohibir el uso de estos navegadores en contextos sensibles: "Si alguien quiere jugar con esto, que sea en su casa, máquina separada, cuenta separada, sin sesiones corporativas", concluye.