Un ataque con IA roba cuentas de Perplexity en segundos: así hackearon su navegador Comet con un simple comentario en Reddit

El engaño que convierte a la IA en cómplice: así funciona el ataque

El equipo de Brave [simuló un escenario real](https://brave.com/blog/comet-prompt-injection/): publicaron un comentario en Reddit con instrucciones ocultas diseñadas para engañar a [Perplexity Comet](https://lainteligencia.net/article/38), el navegador agéntico que resumía el hilo a petición de un usuario. La IA, al procesar el contenido, no filtró el comando malicioso —diseñado para robar las credenciales de acceso a Perplexity— y lo ejecutó como si fuera una orden legítima. El ataque logró incluso interceptar el código de verificación en dos pasos que la plataforma enviaba al usuario, completando así el secuestro de la cuenta.

La técnica aprovecha una debilidad inherente a estos sistemas: la IA agéntica no verifica el origen de las instrucciones. Según el análisis de Brave, un atacante podría esconder comandos en cualquier elemento web —desde texto en blanco sobre fondo blanco hasta comentarios en foros o publicaciones en redes sociales—. El proceso se activa cuando el usuario pide a la IA que interactúe con ese contenido (por ejemplo, resumirlo o extraer datos), y la herramienta, sin capacidad de discernimiento, obedece ciegamente.

El vídeo demostrativo muestra cómo, en cuestión de segundos, el navegador navega automáticamente a la página de inicio de sesión de Perplexity, introduce las credenciales robadas y completa el acceso. El ataque no requiere explotar fallos técnicos en el navegador, sino manipular el contexto que la IA interpreta como "tarea del usuario".

[EMBED:twitter:https://x.com/brave/status/1958152321487249795] Prueba en directo del equipo Brave - X

Riesgos en cadena: por qué este fallo afecta más que a Perplexity

El problema trasciende a un solo navegador. Herramientas como ChatGPT Agent (ex Operator) de OpenAI o los asistentes integrados en Chrome y Edge operan bajo principios similares: automatizar acciones basadas en contenido web sin filtros robustos. Brave advierte que, si estos sistemas se generalizan para gestionar correos, compras online o datos bancarios, la técnica podría escalar a:

Los investigadores subrayan que, a diferencia de los ataques tradicionales (como phishing), este método no depende de que el usuario haga clic en un enlace sospechoso. Basta con que la IA procese contenido manipulado —incluso de forma pasiva—, lo que lo hace más difícil de detectar y prevenir. Como solución inmediata, Brave propone que los navegadores agénticos separen estrictamente las órdenes del usuario del contenido web, tratando este último como "no confiable" por defecto, y que implementen verificaciones manuales para acciones críticas (como acceder a contraseñas o enviar correos).

El hallazgo llega en un momento clave: empresas como Microsoft, Google y startups como Arc están acelerando el desarrollo de navegadores con IA autónoma, prometiéndolos como "asistentes personales". Sin embargo, casos como este revelan que, sin salvaguardas técnicas, delegar tareas sensibles a estos sistemas podría abrir una nueva era de ciberataques automatizados.