Un equipo de la Universidad de Washington probó siete navegadores con agentes de inteligencia artificial y descubrió que cuatro podían usarse para colarse entre páginas distintas, algo que el propio navegador debería impedir.
La barrera se llama política de mismo origen y rige desde 1995. Impide que una web lea o manipule los datos de otra abierta en paralelo, para que una página cualquiera no pueda asomarse a tu correo o a tu banco. Con un agente de por medio, esa solidez pasa a depender de que el modelo no se deje engañar.
Estos navegadores no se limitan a mostrar páginas. Interpretan lo que hay en pantalla, coordinan pestañas y ejecutan tareas por su cuenta, desde reservar un viaje hasta rellenar formularios. Ese margen que los hace tan útiles es justo lo que los vuelve frágiles.
Cómo se cuela un atacante
El vector se llama inyección de prompts. Consiste en esconder órdenes dentro del contenido de una web para que el agente las lea como si fueran instrucciones legítimas del usuario. En un chatbot corriente eso ya molesta, pero en un navegador que actúa el alcance crece, porque esas órdenes se traducen en acciones reales.
Los investigadores llevaron la idea hasta el final en ChatGPT Atlas, en su modo agente. Montaron una página trampa que cargaba dentro un marco de otra web y pedían al agente que resumiera el contenido, aprovechando ese resumen para arrastrar datos ajenos hacia un formulario que los enviaba al atacante.
La imagen que emplean los propios autores resulta gráfica. Sería como si un anuncio incrustado en tu bandeja de correo pudiera espiar tus mensajes y reenviarlos, sin más gesto por tu parte que pedirle al agente un resumen de la página.
No todos fallan igual
Los otros tres navegadores que reunían condiciones parecidas fueron Chrome con Gemini, Claude for Chrome y Perplexity Comet, según la investigación de la Universidad de Washington, presentada en el taller Agents in the Wild, celebrado en Río de Janeiro dentro del congreso ICLR 2026.
La diferencia decisiva fue el nivel de permisos. Cuanto más margen se concede al agente para actuar entre pestañas y orígenes, mayor el riesgo. En el extremo prudente quedó el modo IA de Firefox, el más restrictivo de los siete y también el más limitado en lo que deja hacer.
Lo que la investigación no afirma
Conviene marcar los límites. El trabajo describe pruebas de concepto sobre versiones concretas en un momento dado, no ataques reales contra servicios en funcionamiento ni contra datos de personas. Que exista la posibilidad técnica no significa que cualquier usuario vaya a sufrir un robo mañana.
Los autores avisaron a los fabricantes con más de sesenta días de antelación antes de publicar sus hallazgos, en línea con la divulgación responsable habitual en seguridad. Buena parte del riesgo depende de decisiones de diseño que las empresas pueden revisar.
Aun así, el aviso de fondo permanece. La profesora Franziska Roesner, coautora principal, apunta que la presión competitiva está acelerando el despliegue de estos productos antes de resolver cómo compaginar la utilidad del agente con el aislamiento que la web lleva décadas garantizando.