Atlas bajo la lupa: riesgos y defensas de seguridad en el nuevo navegador con IA de OpenAI

Publicado por admin el

Getting your Trinity Audio player ready...

ChatGPT Atlas es el nuevo navegador de OpenAI, lanzado inicialmente para macOS en octubre de 2025, que integra de forma nativa un modelo de IA generativa para que “navegar” sea, en la práctica, conversar con ChatGPT sobre cualquier página web. Esta integración profunda promete comodidad (relleno de formularios, resumen de páginas, acciones automatizadas), pero abre un abanico de riesgos de seguridad y privacidad que recuerdan los desafíos ya documentados en otras plataformas basadas en modelos grandes de lenguaje.welivesecurity+1?

Qué es ChatGPT Atlas y qué lo hace diferente

Atlas se construye sobre Chromium, pero añade una capa de agente de IA que puede leer, interpretar y actuar sobre el contenido de las pestañas, formularios y archivos que el usuario le exponga. El objetivo es evitar el “copiar y pegar” entre navegador y ChatGPT: la IA puede, por ejemplo, completar formularios, resumir correos, comparar productos o ayudar a gestionar tareas directamente en las páginas abiertas.welivesecurity?

Este diseño convierte al navegador en un “meta-usuario” muy poderoso: ve más contexto que un usuario humano típico (varias pestañas, historial, portapapeles, archivos adjuntos) y puede ejecutar acciones sin que el usuario revise cada paso. Esa misma potencia es la que amplifica los riesgos, especialmente frente a ataques ya conocidos contra LLMs como inyección de prompts, jailbreaking o filtración de datos.arxiv+1?

Riesgos principales: del prompt injection al acceso excesivo

El artículo de WeLiveSecurity resume varios vectores de ataque específicos para un navegador con IA:

  • Inyección de prompts: contenido malicioso oculto en páginas, URLs o incluso imágenes (mediante OCR) puede “hablar” directamente al modelo y alterar su comportamiento. Esto ya se ha visto en investigaciones sobre plugins y apps que usan LLMs, donde páginas diseñadas ad hoc logran que el modelo ignore instrucciones de seguridad o revele información privada.arxiv+2?
  • Filtración de datos sensibles y autocompletado: si Atlas rellena formularios automáticamente, una web maliciosa que imite un formulario legítimo puede obtener nombre, teléfono o datos corporativos sin interacción consciente del usuario. Trabajos sobre ataques multi-step contra ChatGPT muestran que, una vez el modelo tiene acceso a contexto sensible, es posible extraer fragmentos mediante cadenas de prompts cuidadosamente diseñadas.arxiv+2?
  • Acceso excesivo a pestañas y apps: al poder leer varias pestañas con sesiones activas (correo, calendario, CRM), el navegador se convierte en un pivote ideal para secuestro de sesión o movimientos laterales si el agente es inducido a ejecutar acciones indebidas. Revisiones sobre ciberseguridad de chatbots insisten en que las integraciones profundas (plugins, APIs, apps) multiplican la superficie de ataque del modelo.arxiv+1?
  • Memoria del navegador y sesiones persistentes: si Atlas mantiene memoria opcional de interacciones, una intrusión puntual puede arrastrar efectos a largo plazo (por ejemplo, recordar un token o un patrón de comportamiento útil para futuros ataques).welivesecurity?
  • Phishing “mejorado” y Omnibox peligrosa: al procesar contenido antes de mostrarlo, el agente podría suavizar o enmascarar señales de phishing. Además, la Omnibox —que mezcla comandos, búsquedas y URLs— puede usarse para camuflar órdenes maliciosas como enlaces, un riesgo cercano a lo que se ha descrito para “GPTs personalizados” usados con fines fraudulentos.arxiv+2?
  • Portapapeles y OCR: malware ya usa el portapapeles para robar criptomonedas sustituyendo direcciones; un navegador con IA que lee y actúa sobre portapapeles e imágenes puede convertir esas técnicas en ataques de “prompt injection visual” difíciles de detectar.arxiv+1?

Mitigaciones adoptadas por OpenAI

OpenAI ha introducido varias barreras de diseño para contener estos riesgos en Atlas:

  • Limitación de capacidades del agente: no puede ejecutar código, descargar archivos por sí mismo, instalar extensiones ni acceder a otras aplicaciones o al sistema de archivos local fuera de su sandbox. Este enfoque de aislamiento es consistente con recomendaciones académicas para plataformas de LLMs que interactúan con servicios externos.arxiv+1?
  • Sin acceso a contraseñas ni autocompletado nativo: el agente no ve las credenciales guardadas por el navegador ni los datos de autocompletado, reduciendo el impacto de formularios maliciosos.welivesecurity?
  • Control del historial y visibilidad: el usuario puede borrar memorias, limitar qué sitios son “visibles” para la IA o bloquearla con un clic en dominios críticos.welivesecurity?
  • Memoria desactivada por defecto y privacidad opt?in: Atlas solo recuerda páginas si el usuario lo habilita, y las interacciones no se usan para entrenamiento salvo consentimiento explícito, en línea con cambios recientes de políticas de privacidad para LLMs.arxiv+1?
  • Protección en sitios sensibles y OWL: en páginas bancarias u otros servicios críticos, se exige aprobación manual para acciones, y la capa de IA (OpenAI Web Layer, OWL) se ejecuta en procesos separados de Chromium para limitar escaladas de privilegio.welivesecurity?

Estas medidas reducen significativamente algunos riesgos, pero no eliminan los asociados a ingeniería social, desinformación o errores de diseño futuros.

Buenas prácticas para usuarios y organizaciones

El artículo recomienda combinar las defensas de OpenAI con higiene básica de seguridad:

  • Minimizar el envío de datos sensibles al agente y evitar autorizarlos para entrenamiento.
  • Limitar el uso de Atlas en entornos regulados (GDPR, LGPD) a contextos donde exista una DPIA (evaluación de impacto de protección de datos).
  • Desconfiar de sitios poco confiables y de comandos “mágicos” en la Omnibox.
  • Usar máquinas o entornos virtuales dedicados para tareas de alto riesgo.
  • Formar a empleados sobre riesgos de inyección de prompts y desinformación generada por IA.arxiv+1?

En síntesis, ChatGPT Atlas ejemplifica la nueva generación de navegadores “asistidos por IA”: tremendamente útiles, pero también capaces de amplificar fallos humanos y vulnerabilidades técnicas. La clave será tratar al navegador no como un mero visor de páginas, sino como un agente poderoso que debe operar bajo el principio de mínimo privilegio, con transparencia y controles claros en manos del usuario.arxiv+1?

  1. https://www.welivesecurity.com/es/seguridad-digital/chatgpt-atlas-openai-riesgos-seguridad/
  2. https://arxiv.org/pdf/2305.08005.pdf
  3. https://arxiv.org/html/2306.09255
  4. https://arxiv.org/html/2401.09075v1
  5. http://arxiv.org/pdf/2309.10254.pdf
  6. https://arxiv.org/pdf/2304.05197.pdf
  7. https://aclanthology.org/2023.findings-emnlp.272.pdf
  8. http://arxiv.org/pdf/2406.03079.pdf
  9. https://revista.gnerando.org/revista/index.php/RCMG/article/view/816
  10. https://arxiv.org/pdf/2304.09655.pdf
Categorías: InformáticaInteligencia artificialSeguridad
Etiquetas:

admin

He sido profesor de la Universidad de Murcia. Impartí docencia de los departamentos de Física y de Informática y Sistemas. Interesado en la ciencia, el escepticismo y el pensamiento crítico.

0 comentarios

Deja una respuesta

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Entradas relacionadas

Informática

¿Puede La Liga de fútbol dejarnos sin internet?

Informática

El Gran Hermano con placa: ICE y el escándalo del espionaje con Paragon

La primera agencia federal estadounidense en reconocer el uso de spyware comercial contra comunicaciones cifradas ha abierto una caja de Pandora que amenaza derechos civiles fundamentales La noticia llegó sin fanfarria, casi como si sus Leer más

Ciencia

La ciencia del cáncer bajo sospecha: una herramienta de inteligencia artificial señala que casi el diez por ciento de los artículos podrían ser falsos

Durante las últimas dos décadas, la literatura científica ha sufrido una invasión silenciosa. Organizaciones con fines de lucro conocidas como paper mills —fábricas de artículos— han inundado las revistas académicas con manuscritos fabricados, vendidos a Leer más