Investigadores de SquareX han documentado un nuevo vector de ataque contra navegadores con asistentes embebidos: AI Sidebar Spoofing. La técnica permite a una extensión maliciosa replicar visualmente la barra lateral de ayuda de productos como ChatGPT Atlas de OpenAI y Comet de Perplexity, desviando de forma imperceptible las acciones del usuario hacia objetivos maliciosos. El riesgo se agrava en entornos con agentes de IA capaces de actuar de forma semiautónoma.
AI Sidebar Spoofing: cómo opera la suplantación de interfaz en LLM-browsers
Según SquareX, un complemento con permisos comunes de navegador —host y storage— puede inyectar JavaScript en páginas visitadas y superponer un clon de la barra lateral sobre el componente legítimo. La copia es prácticamente indistinguible y captura clics, entradas de texto y contexto de página, convirtiéndose en un man-in-the-UI que media silenciosamente el diálogo humano-IA.
Por qué los agentes de IA amplifican el impacto
Tanto Atlas como Comet habilitan modos agente: reservar servicios, completar formularios, realizar compras o ejecutar tareas multi-paso. Si el UI es suplantado, cualquier acción automática se transforma en un canal de fraude: desde la exfiltración de datos de pago hasta cambios no autorizados en cuentas y flujos OAuth.
Demostración y productos afectados: ChatGPT Atlas y Comet
SquareX mostró una prueba de concepto sobre Comet empleando Google Gemini, alterando ajustes para inducir respuestas maliciosas bajo condiciones específicas. Tras el lanzamiento de ChatGPT Atlas para macOS, los investigadores confirmaron que la suplantación de la barra lateral también es viable. De acuerdo con SquareX, sus comunicaciones dirigidas a Perplexity y OpenAI no obtuvieron respuesta pública al cierre de su análisis.
Escenarios de abuso plausibles y de alto impacto
— Cripto-fraude dirigido: ante consultas sobre criptomonedas, el “asistente” redirige a sites de phishing con promesas de inversión o soporte técnico.
— Consent phishing vía OAuth: se persuade al usuario para otorgar acceso a Gmail/Drive a una app falsa de compartición de archivos, explotando la confianza en el flujo OAuth legítimo.
— Persistencia y control remoto: se sugieren comandos de “instalación” que, en realidad, despliegan un reverse shell y establecen acceso remoto sostenido.
Tendencias y contexto: UI spoofing y extensiones como superficie de ataque
La suplantación de interfaz y el abuso de permisos de extensiones son patrones bien conocidos en la seguridad del navegador. El Verizon DBIR 2024 subraya que el “elemento humano” está presente en ~68% de las brechas, con el phishing y la manipulación de consentimiento entre las técnicas más frecuentes. Guías de CISA y de Google advierten desde hace años sobre consent phishing como vía de bypass sin robo de contraseñas. En la práctica, permisos como host/storage son ubicuos en extensiones legítimas, lo que dificulta políticas de mínima privilegiación sin afectar usabilidad.
Medidas de mitigación y buenas prácticas
Para usuarios y organizaciones
— Limitar las funciones agente a tareas de bajo riesgo; evitar transacciones financieras, gestión de correo y datos sensibles a través del asistente.
— Auditar extensiones periódicamente: desinstalar las innecesarias, revisar permisos solicitados, instalar solo desde fuentes confiables y separar perfiles laborales y personales.
— Desconfiar de comandos “propuestos” por el asistente que impliquen instalaciones o acciones en terminal; aplicar políticas de bloqueo para binarios y scripts no confiables.
— Gobernanza de OAuth: revocar accesos inactivos, revisar apps conectadas a correo y nube, activar MFA y alertas de seguridad.
Para fabricantes de navegadores con IA
— Establecer una zona de UI confiable a nivel de la “chrome” del navegador, inmune a overlays del DOM de las páginas.
— Integrar defensas anti-spoofing: indicadores autenticados de interfaz, marcas de agua visuales, verificaciones de integridad del sidebar y detección de cubrimientos.
— Endurecer el modelo de extensiones: aislamiento de contenido, restricción granular de host permissions, Permission Prompt Transparency y trazabilidad detallada de interacciones con el asistente.
La convergencia entre “chat” y “acciones en tu nombre” convierte la seguridad de la interfaz en un requisito crítico. Adoptar higiene básica —auditar extensiones, controlar accesos OAuth y minimizar privilegios— y exigir a los proveedores un trusted UI verificable reduce sustancialmente la probabilidad de AI Sidebar Spoofing y sus consecuencias. Mantente atento a parches y avisos de seguridad, y valida cualquier instrucción sensible del asistente antes de ejecutarla.
