El lanzamiento del navegador ChatGPT Atlas, presentado por OpenAI el 21 de octubre de 2025, ya despertó serias preocupaciones en la comunidad de ciberseguridad. A menos de un día de su debut, investigadores independientes encontraron fallos críticos que exponen los límites de los navegadores impulsados por inteligencia artificial y ponen en duda su seguridad frente a ataques sofisticados.
Vulnerabilidades desde el primer día
El investigador conocido como @elder_plinius demostró en redes sociales un ataque de inyección de portapapeles capaz de engañar al Agente Atlas para copiar enlaces de phishing sin el conocimiento del usuario. Poco después, Brave Software publicó un informe donde detalla cómo los navegadores de IA pueden ser manipulados mediante ataques de inyección de prompts, es decir, instrucciones maliciosas ocultas dentro de páginas web.
“Cuando un asistente de IA sigue órdenes ocultas incrustadas en sitios web no confiables, las protecciones tradicionales como la política del mismo origen o el control de recursos cruzados dejan de tener efecto”, explicó Shivan Kaul Sahib, vicepresidente de Privacidad y Seguridad en Brave.
Los investigadores demostraron cómo comandos maliciosos pueden ocultarse con texto blanco sobre fondo blanco, comentarios HTML o incluso texto disimulado dentro de imágenes, permitiendo que el navegador ejecute acciones no autorizadas. En pruebas de laboratorio, lograron que Atlas accediera a cuentas de correo, extraiga direcciones y hasta publique credenciales robadas en foros públicos como Reddit.
OpenAI reconoce los riesgos
El propio Director de Seguridad de la Información de OpenAI, Dane Stuckey, admitió que el agente de ChatGPT “aún puede cometer errores —a veces sorprendentes—, como intentar comprar el artículo equivocado o no consultarte antes de actuar”. La compañía reconoció que el sistema puede verse afectado por “instrucciones maliciosas ocultas” en sitios web o correos electrónicos, lo que podría conducir al robo de datos o a acciones no intencionadas por parte del usuario.
Para mitigar el riesgo, OpenAI asegura haber incorporado salvaguardas: el agente solo puede operar en pestañas activas del navegador y debe solicitar aprobación del usuario antes de interactuar con sitios sensibles como los de bancos o plataformas financieras.
“Riesgos insuperables” y dudas sobre la privacidad
A pesar de las medidas, varios expertos sostienen que las amenazas de seguridad en este tipo de navegadores son difíciles de contener. El investigador Simon Willison calificó los riesgos como “aparentemente insuperablemente altos”, y criticó la falta de transparencia sobre las defensas de Atlas frente a ataques de inyección de prompts. “Por ahora, la principal línea de defensa parece ser que el usuario observe con atención lo que el agente está haciendo”, señaló.
Otra fuente de controversia es la función “Memories”, que rastrea el comportamiento de navegación del usuario para ofrecer experiencias personalizadas. Para especialistas en privacidad, esta característica representa una forma de vigilancia total, al combinar conversaciones, historial web y datos personales dentro de una sola interfaz controlada por IA.
En fase inicial, pero bajo la lupa
Atlas está disponible únicamente para macOS, aunque OpenAI planea lanzar versiones para Windows, iOS y Android. Durante esta fase inicial, el modo agente del navegador está limitado a los usuarios de ChatGPT Plus y Pro.
Sin embargo, las advertencias de los investigadores ya encendieron las alarmas: los navegadores con IA podrían marcar el comienzo de una nueva era de vulnerabilidades, en la que las amenazas no se dirigen al usuario, sino a la propia inteligencia artificial.