Investigadores israelíes de ciberseguridad descubrieron una vulnerabilidad crítica en los navegadores populares impulsados por inteligencia artificial que transforma cualquier sitio web legítimo en una potencial herramienta de piratería sin necesidad de que los atacantes violen los sitios en sí.
La vulnerabilidad fue descubierta por el grupo de investigación Cato CTRL de la empresa de ciberseguridad Cato Networks y se origina en herramientas de IA comunes, incluidas Gemini de Google , Copilot de Microsoft y Comet de Perplexity.
La investigación demostró los principales escenarios de ataque en los que los atacantes ordenan a los asistentes de IA que muestren números de teléfono y enlaces falsos a los usuarios cuando solicitan información de contacto de atención al cliente de diversas organizaciones. Los escenarios incluían la extracción de datos confidenciales del usuario y su envío a fuentes maliciosas sin su conocimiento, el robo de credenciales de inicio de sesión, la visualización de información falsa y la creación de narrativas falsas que podrían influir en el usuario y conducirlo a decisiones erróneas.
La técnica utilizada por los atacantes se denomina HashJack. Basta con añadir un mensaje (instrucciones maliciosas) a la dirección de un sitio web legítimo y distribuirlo. Una vez que el usuario carga la dirección del sitio web con la adición maliciosa en el navegador, las instrucciones se «comunican» con asistentes de inteligencia artificial (IA), como Gemini de Google o Copilot de Microsoft, y desencadenan escenarios de ataque.
Según Cato Networks, los sistemas de defensa tradicionales no detectan el ataque porque operan a través de indicaciones (instrucciones) incrustadas en la dirección del sitio web después del símbolo hashtag # en un proceso que no abandona el trabajo del navegador.
El ataque explota la confianza de los usuarios en sitios web legítimos mediante el uso de direcciones de enlaces que parecen legítimas. El usuario no tiene motivos para sospechar en ninguna etapa del proceso, a diferencia de los sitios de phishing que parecen sospechosos. De esta forma, cualquier sitio legítimo podría convertirse en una herramienta de ataque, sin que los atacantes necesiten siquiera vulnerarlo. Se aprovechan de cómo los navegadores con IA interpretan las instrucciones después del símbolo de la etiqueta. Esto crea una nueva subcategoría de ciberamenazas en el mundo de la IA.
Según el comunicado de la compañía, las empresas en cuyas herramientas se identificaron las vulnerabilidades fueron informadas con suficiente antelación sobre los problemas para que pudieran solucionarlos antes de que los usuarios se vieran expuestos a amenazas (una práctica conocida en el ámbito cibernético como hacking de «hackers de sombrero blanco»). Según datos de Cato, se aplicó una corrección en Copilot para el navegador Edge el 27 de octubre de 2025. En el navegador Comet, se informó de la aplicación de una corrección el 18 de noviembre de 2025. En Gemini para el navegador Chrome, a fecha del 25 de noviembre de 2025, el problema aún no se había resuelto.