La integración de asistentes de inteligencia artificial en el navegador está abriendo una nueva superficie de riesgo: ya no hace falta que una víctima reciba un correo sospechoso o descargue un archivo malicioso. Según una investigación de Permiso Security, una simple página web puede convertirse en el vehículo de un ataque mediante phishing por IA si el usuario pide a ChatGPT que la resuma y el contenido de esa página incluye instrucciones diseñadas para manipular la respuesta del asistente.
La técnica ha sido bautizada como ChatGPhish y parte de una idea tan sencilla como inquietante: “la página es la carga útil”. Es decir, el contenido malicioso no llega necesariamente por email, sino que puede estar escondido en una página aparentemente legítima, como un README de GitHub, una documentación técnica, un blog, una página de producto o cualquier sitio que el usuario decida resumir con IA.
Del phishing por correo al phishing dentro del asistente
Hasta ahora, muchos ataques de ingeniería social se apoyaban en canales clásicos: mensajes de correo, SMS, archivos adjuntos o enlaces fraudulentos. Pero el uso de asistentes capaces de leer y resumir contenido web cambia el escenario. Si una página incluye instrucciones ocultas o texto diseñado para influir en el modelo, ese contenido puede acabar trasladándose a la respuesta del asistente.
Permiso Security explica que el riesgo no está únicamente en que el modelo pueda ser influido por contenido no confiable. El problema más delicado es cómo se presenta después esa información al usuario: dentro de una interfaz de confianza, con el tono y el formato propios del asistente.
En las pruebas descritas, una página web contenía una instrucción para que, al ser resumida, el asistente añadiera un falso aviso de seguridad de cuenta. El resultado era una respuesta aparentemente normal, con un resumen legítimo de la página, seguida de una alerta fraudulenta que incluía un enlace controlado por el atacante.
Enlaces, imágenes y códigos QR como señuelo
El informe señala varios escenarios de riesgo. El primero es el phishing mediante enlaces Markdown. Si el asistente renderiza enlaces procedentes del contenido de la página sin una separación clara de origen, el usuario puede interpretar que ese enlace ha sido generado o validado por ChatGPT, cuando en realidad procede de una instrucción maliciosa incluida en la web resumida.
El segundo escenario es todavía más preocupante: el uso de imágenes y códigos QR. En las pruebas, el contenido inyectado lograba que la respuesta del asistente mostrara un código QR alojado en infraestructura controlada por el atacante. Para la víctima, ese código podía aparecer como parte de una supuesta notificación de cuenta. Al escanearlo con el móvil, salía del entorno del navegador de escritorio y accedía a una URL que no necesariamente había visto en texto claro.
Este salto al móvil reduce la eficacia de muchas defensas habituales: vista previa de enlaces al pasar el cursor, filtros corporativos del navegador, comprobaciones del gestor de contraseñas o bloqueos de URLs sospechosas. El usuario ya no hace clic en un enlace visible; escanea una imagen que parece venir de una fuente confiable.
También puede servir para rastrear a la víctima
ChatGPhish no se limita al robo de credenciales. Permiso Security también describe un escenario de seguimiento pasivo mediante imágenes remotas o acortadores de URL. Si la respuesta del asistente carga automáticamente una imagen alojada por el atacante, esa petición puede revelar información técnica como la dirección IP, el User-Agent, el Referer cuando esté disponible y el momento exacto en el que se produjo la generación o visualización de la respuesta.
Con esos datos, un atacante podría confirmar que una persona concreta ha leído una página preparada previamente y que la ha resumido mediante el asistente. Esa información puede utilizarse después para ataques más dirigidos.
No es un fallo del navegador, sino de la frontera de confianza
Permiso Security utilizó Firefox para demostrar el flujo de ataque, pero aclara que no se trata de una vulnerabilidad propia de Firefox. El navegador actúa como punto de entrada porque permite al usuario visitar una página y pedir su resumen. El problema de fondo está en la forma en que contenido procedente de una web externa puede terminar renderizado como parte de una respuesta confiable dentro del asistente.
La clave está en la frontera entre contenido no confiable y salida del modelo. Si esa separación no se muestra de forma clara, el usuario puede no distinguir qué parte de la respuesta procede del razonamiento del asistente y qué parte ha sido inducida por instrucciones presentes en la página original.
