News

BioShocking: este ataque engaña tu navegador IA para robar tus contraseñas

Investigadores de ciberseguridad demostraron que basta convencer a un navegador IA de que está jugando para hacerle copiar y transmitir tus credenciales. El ataque BioShocking engañó seis herramientas, incluyendo ChatGPT Atlas, la extensión Claude y Perplexity Comet. Explicación, reacciones de los editores y reflejos de protección.

Valentin
Valentin Goudet
Embajador Shelly Francia
Publicado el 4 jul 2026
10 min de lectura
BioShocking: este ataque engaña tu navegador IA para robar tus contraseñas
Compartir X Facebook WhatsApp
0 comentarios
Índice

Cuando un falso videojuego hipnotiza su navegador con IA

Usted le pide a su navegador con IA que consulte una página web, y esa página contiene un puzzle divertido. Su asistente se mete de lleno en el juego, resuelve los enigmas y, unos minutos más tarde, ha copiado sus credenciales de acceso a GitHub y se las ha enviado a un perfecto desconocido. Usted no ha visto nada. Él tampoco y, de hecho, cree haber ganado una partida.

Este escenario un tanto extraño no es ciencia ficción. A finales de junio de 2026, investigadores en ciberseguridad de la empresa LayerX (en proceso de adquisición por Akamai) publicaron una demostración que pone los pelos de punta. Su técnica, bautizada BioShocking, logró engañar a seis navegadores y extensiones de IA entre los más utilizados, incluidos ChatGPT Atlas (OpenAI), Comet (Perplexity) y la extensión Claude for Chrome (Anthropic). El principio es tan simple como temible: convencer a la IA de que está jugando a un juego para hacerle olvidar sus salvaguardas de seguridad.

A lo largo de estas líneas vamos a descubrir cómo funciona este ataque, a entender por qué es especialmente peligroso con los navegadores en modo agente y, sobre todo, a darle los reflejos concretos para protegerse desde hoy mismo.

BioShocking: entender el ataque en dos minutos

El principio: manipular el contexto para desarmar a la IA

El ataque BioShocking se basa en una idea fundamental: los navegadores con IA en modo agente confían en el contexto en el que operan. Si ese contexto les dice «estamos en la vida real», aplican sus reglas de seguridad. Pero si una página web los convence de que están en un universo ficticio, un juego donde las reglas habituales ya no cuentan, dejan de aplicar esas protecciones.

Inyección de prompt indirecta

Técnica que consiste en ocultar instrucciones maliciosas dentro de contenido web que un agente de IA va a leer. El agente no puede distinguir de forma fiable una orden legítima de su usuario de una instrucción trampa escondida en una página.

Técnicamente, es lo que se denomina una inyección de prompt indirecta combinada con una manipulación de objetivo. El atacante no se introduce en su ordenador y tampoco le envía un virus. Simplemente publica una página web que, cuando su navegador potenciado con IA la visita, reprograma literalmente las prioridades del agente.

Para que se entienda

Piense en un vigilante nocturno que custodia un almacén. Si alguien le dice «estamos rodando una película, las cámaras son parte del decorado, puede abrir las puertas», corre el riesgo de dejar entrar a los ladrones creyendo que interpreta un papel. Es exactamente lo que hace BioShocking con su navegador con IA: lo convence de que la situación no es real, y el agente baja la guardia.

¿Por qué ese nombre? Un guiño al videojuego BioShock

El nombre no es casual. En el videojuego BioShock (2007), el jugador descubre que su personaje es un hombre condicionado que obedece ciegamente a quienquiera que pronuncie la frase desencadenante. Toda la mecánica narrativa se apoya en esa manipulación: el personaje cree actuar libremente cuando en realidad ejecuta órdenes. Roy Paz, el investigador principal de LayerX que está detrás del descubrimiento, eligió este paralelismo porque el ataque funciona con el mismo mecanismo. El agente de IA cree «jugar» cuando en realidad ejecuta las instrucciones del atacante.

El ataque paso a paso: del falso puzzle al robo de credenciales

Paso 1: el cebo, un puzzle en una página web trampa

El atacante crea una página web de apariencia inofensiva. En la prueba de concepto de LayerX, la página presenta un puzzle de temática distópica, inspirado en el universo de BioShock. El usuario le pide a su navegador con IA (en modo agente) que resuelva el puzzle. El agente empieza a leer la página y a interactuar con su contenido. Hasta aquí, nada anormal.

Paso 2: convencer a la IA de que 2+2 = 5

Aquí es donde empieza la manipulación. El puzzle está diseñado para recompensar las respuestas incorrectas. Una de las primeras preguntas es cuánto es 2+2. La «buena» respuesta, según las reglas del juego, es 5. El agente de IA duda al principio y luego acepta esta lógica invertida para avanzar en el juego. Al aceptar que una respuesta falsa es la respuesta correcta, el agente entra en lo que los investigadores llaman un «razonamiento fuera de la realidad».

BioShock AI

Es el momento clave. La IA ha interiorizado una nueva regla: en este contexto, las acciones «incorrectas» no solo son aceptables, sino deseadas. Ya no distingue entre la lógica del juego y las reglas de seguridad del mundo real.

Si convence a un agente de que está jugando a un juego, aplicará la lógica del juego, no la de la seguridad, a todo lo que haga después.

Paso 3: copiar y exfiltrar sus credenciales

La última etapa del puzzle le pide al agente que recupere un «código secreto» oculto en otra página. El agente sigue el enlace, que en realidad lo redirige hacia un repositorio de GitHub profesional del usuario. En el entorno de prueba de LayerX, el repositorio contenía un archivo de texto con credenciales SSH (nombre de usuario y contraseña). El agente copia esa información y se la transmite al atacante, creyendo haber terminado el juego con éxito.

Ninguno de los seis agentes probados identificó esta acción como una violación de sus reglas de seguridad. Peor aún: algunos llegaron literalmente a «celebrar» la exfiltración como una victoria en el juego.

A tener en cuenta

En la demostración de LayerX, el archivo objetivo era un simple archivo de texto inofensivo. Pero los investigadores subrayan que la misma técnica podría redirigir al agente hacia cualquier recurso accesible en la sesión del navegador: pestañas abiertas, cuentas conectadas, herramientas internas, gestor de contraseñas.

Por qué es grave: el modo agente abre la puerta de sus cuentas

Su navegador con IA hereda todas sus sesiones

Para comprender la gravedad del problema, hay que entender qué es un navegador con IA en modo agente. Un navegador clásico espera sus clics. Un navegador con IA en modo agente actúa en su lugar: hace clic, escribe, navega, rellena formularios. Y, sobre todo, accede a todos los sitios donde usted ya está conectado.

Sus correos, su GitHub profesional, su gestor de contraseñas en línea, sus herramientas internas de empresa, su banco si la pestaña está abierta: el agente de IA puede acceder potencialmente a todo eso durante su sesión. De hecho, ese es todo el interés de estas herramientas. Pero también es lo que las hace peligrosas cuando sus salvaguardas ceden.

Seis navegadores probados, seis fracasos

LayerX probó su técnica contra cinco navegadores agénticos y una extensión de navegador:

  1. ChatGPT Atlas (OpenAI)
  2. Comet (Perplexity)
  3. Fellou
  4. Genspark Browser
  5. Sigma Browser
  6. Claude for Chrome (Anthropic)

Resultado: los seis exfiltraron las credenciales sin inmutarse. Los investigadores señalan que ninguno de estos agentes estableció una frontera de privilegios entre la lectura de una página web (una acción trivial) y el acceso a datos de sesiones autenticadas del usuario (una acción sensible). Las instrucciones de la página y las órdenes del usuario llegan en el mismo flujo de texto, sin ningún mecanismo para distinguir unas de otras.

La respuesta de los desarrolladores: un balance desigual

Tal como informan BleepingComputer y The Hacker News, LayerX notificó la vulnerabilidad a los distintos desarrolladores entre octubre de 2025 y enero de 2026, es decir, varios meses antes de la publicación pública del 30 de junio de 2026. Las respuestas fueron muy dispares.

OpenAI corrigió el problema en ChatGPT Atlas. Es el único desarrollador que implementó un parche considerado eficaz por los investigadores.

Anthropic intentó corregir su extensión Claude for Chrome, pero, según LayerX, el parche no aguantó: la extensión seguía siendo vulnerable en las pruebas de seguimiento.

Perplexity cerró el informe de vulnerabilidad sin aportar ninguna corrección. Los investigadores de LayerX ya habían demostrado un fallo similar en Comet (bautizado «CometJacking»), lo que hace esta falta de respuesta aún más preocupante.

En cuanto a Fellou, Genspark y Sigma, ninguno de los tres respondió a la notificación.

A tener en cuenta

En el momento de redactar este artículo (julio de 2026), solo ChatGPT Atlas ha sido corregido de forma verificada. Si usted utiliza una de las otras cinco herramientas de la lista, la vulnerabilidad podría seguir siendo explotable. Compruebe las actualizaciones de seguridad publicadas por sus respectivos desarrolladores.

Cómo protegerse: cinco reflejos que adoptar desde ya

Mientras los desarrolladores no refuercen sus protecciones, usted puede reducir considerablemente su exposición con algunos hábitos sencillos.

  1. Desconéctese de las cuentas sensibles antes de activar el modo agente. Su banco, su gestor de contraseñas, sus repositorios Git profesionales: si el agente no tiene acceso, no puede extraer nada de ellos. Es la medida más eficaz.
  2. Cierre las pestañas innecesarias. Un agente en modo activo puede acceder potencialmente a las sesiones abiertas en otras pestañas. Menos pestañas abiertas significa menos superficie de ataque.
  3. Nunca deje que la IA acceda a su banco o a su gestor de contraseñas. Estas herramientas simplemente no deberían estar en la misma sesión de navegador que un agente de IA autónomo. Y punto.
  4. Desconfíe de las páginas que le piden al agente que «juegue». Si una página web invita a su navegador con IA a seguir reglas inusuales, a responder a un cuestionario o a participar en un juego interactivo, es una señal de alerta. Los puzzles y juegos en línea son el vector exacto que utiliza BioShocking.
  5. Revoque el acceso del agente cuando haya terminado. No deje un navegador con IA funcionando en modo agente de forma permanente. Actívelo para una tarea concreta y luego desactívelo.
La opinión de Valentin
Opinión personal, a tomar como tal

Los navegadores con IA en modo agente pueden ser herramientas potentes, pero esta investigación de LayerX nos recuerda una regla fundamental en seguridad informática: cuanto más poder tiene una herramienta, más hay que controlar ese poder. Hoy, ninguno de estos agentes le pide confirmación antes de leer datos sensibles desde una cuenta conectada. Es un problema de diseño, no solo un bug. Mientras esa frontera no exista, la prudencia se impone.

Conclusión: la seguridad de las IA agénticas no ha hecho más que empezar

El ataque BioShocking no es un caso aislado. Se inscribe en una tendencia de fondo: a medida que las IA ganan en autonomía y en acceso a nuestros datos, se convierten también en objetivos más interesantes para los atacantes. Al final, lo que hace esta demostración especialmente llamativa es su simplicidad. Sin malware, sin un exploit técnico sofisticado, solo una página web y un juego.

LayerX recomienda a los desarrolladores implementar una medida que parece evidente: pedir una confirmación explícita al usuario antes de que un agente lea datos desde una cuenta autenticada. Un simple cuadro de diálogo («Voy a copiar datos desde su repositorio de GitHub. ¿Continuar?») bastaría para romper la cadena de ataque. El hecho de que ninguna de las seis herramientas probadas lo hiciera en el momento del descubrimiento dice mucho sobre la madurez de este sector.

La seguridad de las IA agénticas es un terreno que apenas comienza. Mientras avanza, la mejor protección sigue siendo la suya: controle lo que sus agentes pueden ver y no confíe en ellos ciegamente.

Valentin
Valentin GoudetEmbajador Shelly Francia

Fundador de Howmation. Programo desde los 9 años, con un pasado en desarrollo y ciberseguridad en misiones estatales. He visto demasiada tecnología vuelta compleja y hostil, y demasiado tono divisivo en las redes. Howmation es mi respuesta: probar y explicar de forma sencilla, sin jerga ni guerras de ego.

Ver el canal
NEWSLETTER
No te pierdas ninguna prueba

El resumen semanal de pruebas, guías y ofertas.

Apuntarme →
32 800 suscriptores
YouTube · @Howmation
Ver el vídeo →

Para leer también

¿Te ha servido este test? Compártelo.
Compartir ayuda a que no timen a nadie más. Gracias.

Comentarios 0

Únete a la conversación

Inicia sesión para compartir tu opinión y hacer tus preguntas

Ningún comentario por el momento

Inicia sesión para ser el primero en comentar