Por Canuto Los agentes de IA prometen automatizar tareas como navegar por la web, resumir información y hasta gestionar pagos. Pero una nueva alerta de seguridad muestra que esa autonomía también abre la puerta a ataques invisibles, donde páginas maliciosas pueden manipular las instrucciones del sistema y empujar a estos asistentes hacia acciones peligrosas, incluso en servicios como PayPal.
***
- Investigadores de Google describen cómo páginas web maliciosas pueden infiltrar instrucciones ocultas para desviar el comportamiento de agentes de IA.
- El riesgo crece en entornos empresariales donde estos sistemas pueden navegar, leer correos, tomar decisiones y ejecutar flujos de pago.
- El caso ilustra por qué la automatización con IA aún enfrenta límites importantes en seguridad, permisos y supervisión humana.
Los agentes de inteligencia artificial se perfilan como una de las herramientas más ambiciosas de la nueva ola tecnológica. A diferencia de un chatbot tradicional, estos sistemas no solo responden preguntas, sino que también navegan por internet, interpretan contenido, rellenan formularios y ejecutan tareas en nombre del usuario.
Esa promesa de automatización, sin embargo, viene acompañada de nuevos riesgos. Un reporte citado por Decrypt advierte que páginas web maliciosas ya están siendo diseñadas para secuestrar el comportamiento de estos agentes mediante técnicas de prompt injection, una modalidad en la que se insertan instrucciones ocultas para alterar la lógica del sistema.
El problema es especialmente delicado cuando la IA tiene acceso a herramientas sensibles. Si el agente puede revisar correo, interactuar con plataformas corporativas o iniciar pagos, una manipulación exitosa deja de ser un error técnico menor y se convierte en una posible puerta para fraude, filtración de datos o ejecución de acciones no autorizadas.
En ese contexto, el caso más llamativo mencionado por la publicación apunta a PayPal. Según el reporte, algunos ataques ya buscan interferir en flujos vinculados con esa plataforma de pagos, lo que muestra hasta qué punto los delincuentes empiezan a adaptar tácticas clásicas del phishing y la ingeniería social al nuevo entorno de agentes de IA.
Cómo funciona el secuestro de instrucciones
La base del ataque está en algo simple, pero potente. Un agente de IA suele recibir una instrucción inicial del usuario o del sistema, y luego complementa su trabajo leyendo información de páginas, documentos, correos u otras fuentes externas. El riesgo aparece cuando ese contenido externo incluye texto diseñado específicamente para influir en el modelo.
En lugar de limitarse a analizar la página como un humano, el agente puede interpretar fragmentos ocultos o camuflados como si fueran nuevas órdenes válidas. Así, una web maliciosa podría indicarle que ignore instrucciones previas, que extraiga ciertos datos, que haga clic en enlaces concretos o que reformule su tarea de un modo beneficioso para el atacante.
Este tipo de prompt injection no depende necesariamente de vulnerar el sistema con malware tradicional. Más bien aprovecha una debilidad estructural de muchos modelos actuales: les cuesta separar de manera confiable qué parte del contenido es dato a procesar y qué parte es una instrucción que no deberían obedecer.
Eso vuelve el ataque especialmente difícil de contener. A primera vista, la página puede parecer inofensiva, pero incluir texto oculto, elementos de estilo que no son visibles para el usuario o indicaciones disfrazadas dentro de la estructura del sitio. Para un agente automatizado, esa capa invisible puede ser tan influyente como el contenido principal de la web.
En términos prácticos, el peligro aumenta cuanto más autónomo es el sistema. Un asistente que solo resume artículos tiene una superficie de daño limitada. En cambio, uno que puede iniciar sesión, conectarse a herramientas internas, comparar facturas, aprobar transacciones o interactuar con cuentas de pago representa un objetivo mucho más valioso.
Por qué PayPal y los flujos empresariales están en la mira
La mención a PayPal no es casual. Los sistemas de pago concentran credenciales, autorizaciones y movimientos de dinero real, por lo que resultan especialmente atractivos para campañas de manipulación. Si un agente de IA participa en tareas de tesorería, compras o reembolsos, incluso una alteración pequeña del flujo puede tener consecuencias materiales.
El escenario descrito sugiere que algunos ataques buscan aprovechar la confianza que empresas y usuarios depositan en estos asistentes. Un agente podría ser inducido a visitar una página concreta, malinterpretar una instrucción de verificación o priorizar un enlace fraudulento que conduzca a una acción financiera equivocada.
Para compañías que ya experimentan con IA en procesos administrativos, el riesgo no se limita a un pago aislado. También puede comprometer información comercial, historiales de transacciones, datos de clientes y acceso a plataformas conectadas mediante automatizaciones. En otras palabras, el agente se convierte en una nueva capa de privilegios que debe ser protegida con tanto rigor como una cuenta humana.
Este punto es crucial porque muchas organizaciones están integrando agentes en nombre de la eficiencia. La lógica es comprensible: si una IA puede encargarse de tareas repetitivas, el ahorro de tiempo es considerable. Pero esa misma eficiencia puede amplificar el daño cuando el sistema actúa rápido, con acceso extendido y poca revisión antes de ejecutar una orden.
La advertencia también recuerda que el fraude digital evoluciona junto con la interfaz disponible. Antes se engañaba directamente al usuario final. Ahora, el atacante también puede intentar engañar al software que opera por ese usuario, especialmente cuando ese software está construido sobre modelos probabilísticos y no sobre reglas duras e inflexibles.
Un reto de seguridad que aún no tiene solución simple
El avance de los agentes de IA ha sido celebrado como el siguiente gran paso en productividad. No obstante, este tipo de incidentes muestra que la industria aún está lejos de resolver un problema central: cómo permitir autonomía sin entregar obediencia ciega al contenido externo.
Las defensas posibles existen, pero ninguna parece suficiente por sí sola. Entre ellas figuran limitar permisos, segmentar tareas, imponer aprobaciones humanas para acciones sensibles, filtrar contenido web, registrar cada decisión del agente y separar claramente instrucciones del sistema frente a información del entorno. Aun así, el problema persiste porque los atacantes pueden reformular sus prompts de formas creativas.
La situación recuerda una lección repetida en ciberseguridad: toda nueva capa de automatización crea una nueva superficie de ataque. En el caso de la IA, esa superficie es más compleja porque combina lenguaje natural, integración con herramientas y capacidad para actuar en múltiples plataformas desde una misma interfaz.
Otro elemento preocupante es la confianza excesiva del usuario. Cuando un agente parece competente en tareas cotidianas, es fácil asumir que también sabrá detectar trampas. Pero los modelos actuales no entienden intenciones como lo hace una persona. Identifican patrones y generan acciones probables, lo que puede ser suficiente para ser útiles, pero no para ser infalibles frente a contenido hostil.
Por eso, el auge de agentes corporativos probablemente obligará a redefinir controles internos. No bastará con desplegar una herramienta y esperar resultados. Harán falta barreras técnicas, auditorías continuas, entornos restringidos y criterios claros sobre qué puede hacer una IA por sí sola y qué debe quedar bajo revisión humana obligatoria.
Más allá del caso puntual, la señal para el mercado es clara. La carrera por integrar agentes de IA en servicios financieros, atención al cliente y operaciones empresariales no solo depende de mejores modelos, sino también de mejores sistemas de defensa. Sin esa madurez, la misma tecnología que promete eficiencia puede convertirse en un atajo para el abuso.
Decrypt presentó este tema como una evidencia de que la seguridad de agentes ya pasó del terreno teórico a la práctica. Lo importante no es solo que exista la vulnerabilidad, sino que actores maliciosos ya estén intentando monetizarla en escenarios concretos, incluidos flujos relacionados con pagos digitales.
Para empresas, usuarios y proveedores tecnológicos, la conclusión es incómoda pero útil. Los agentes de IA pueden ahorrar trabajo, pero aún no deben tratarse como operadores confiables sin supervisión. En áreas donde hay dinero, credenciales o datos sensibles en juego, la automatización sigue necesitando límites estrictos y una vigilancia constante.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Análisis de mercado
Mercado de opciones mantiene tendencia alcista para Nvidia e Intel pese a debilidad en el sector
Empresas
GitHub anuncia que planes de Copilot ahora se cobrarán en función de su uso
Empresas
Apple redobla su apuesta por IA local tras relevo de Tim Cook
Capital de Riesgo