Cibercriminales engañan a Copilot y otros asistentes IA para vulnerar seguridad de usuarios

Los cibercriminales han comenzado a explotar vulnerabilidades en asistentes de inteligencia artificial integrados en los navegadores, como Copilot de Edge o Aria de Opera, utilizando técnicas conocidas como prompt injection, en particular la variante PromptFix.

Esta estrategia permite que los atacantes engañen a los sistemas de IA para ejecutar acciones maliciosas sin el conocimiento ni la intervención de los usuarios, lo que representa una amenaza creciente para la seguridad digital, según advirtió Martina Lopez, investigadora de seguridad informática de ESET Latinoamérica.

Funcionamiento de PromptFix y diferencias con técnicas previas

PromptFix es una evolución de la técnica ClickFix, que tradicionalmente buscaba que los usuarios hicieran clic en verificaciones falsas para activar acciones maliciosas. En el caso de PromptFix, los cibercriminales insertan instrucciones ocultas en sitios web o contenidos digitales, de modo que los asistentes de IA integrados en navegadores interactúan con estos comandos sin que el usuario lo perciba.

“Los actores maliciosos insertan instrucciones ocultas en contenido aparentemente legítimo para que la IA realice ciertas acciones sin que el usuario lo sepa ni tenga que intervenir. Por ejemplo, hacer clic en botones invisibles que simulan verificaciones, descargar archivos maliciosos o interactuar con enlaces fraudulentos”, explicó Lopez.

Para que un ataque PromptFix sea efectivo, los atacantes emplean diversas técnicas de ocultamiento. Las instrucciones maliciosas pueden encontrarse en sitios web comprometidos, redes sociales o plataformas públicas, como comentarios en Reddit o publicaciones en Facebook. Entre los métodos más utilizados se encuentran el uso de texto invisible, comentarios HTML, la inserción de texto oculto dentro de imágenes o la manipulación de archivos digitales para esconder información sin modificar su apariencia externa.

El ataque se activa cuando un usuario navega por un sitio comprometido y utiliza el asistente de IA del navegador para resumir o extraer información. El modelo de IA procesa todo el contenido, sin distinguir entre datos legítimos e instrucciones ocultas, lo que puede llevarlo a ejecutar comandos maliciosos como si fueran solicitudes genuinas del usuario.

Riesgos y recomendaciones para protegerse de esta amenaza

Las consecuencias de un ataque PromptFix pueden ser graves. La IA puede descargar archivos infectados con malware, hacer clic en botones ocultos para evadir pasos de validación o seguir enlaces de phishing que expongan credenciales sensibles. Una característica preocupante de esta técnica es que la IA puede realizar estas acciones sin que la víctima lo note, lo que incrementa el riesgo de comprometer la seguridad personal y corporativa.

Ante este panorama, ESET recomienda adoptar una serie de medidas para reducir la exposición a este tipo de amenazas. En primer lugar, se aconseja no autorizar acciones automáticas por defecto: si la IA intenta hacer clic, enviar archivos o completar formularios, debe solicitar y obtener la confirmación explícita del usuario. Además, se sugiere limitar los permisos del asistente, evitando que navegue libremente por internet, acceda a contraseñas guardadas o utilice funciones de autocompletado.

Otra recomendación clave es revisar imágenes y archivos antes de procesarlos con la IA, ya que los atacantes pueden esconder instrucciones en estos formatos. Lo ideal es utilizar filtros que detecten texto oculto o señales inusuales. Finalmente, se recomienda configurar listas de sitios confiables, permitiendo que el asistente solo interactúe con páginas conocidas y bloqueando cualquier enlace sospechoso hasta recibir autorización.

La concientización y la adopción de buenas prácticas resultan fundamentales para mitigar los riesgos asociados a los ataques PromptFix y proteger la seguridad digital en un entorno cada vez más influenciado por la inteligencia artificial.