La integración de asistentes de inteligencia artificial en navegadores —como Copilot en Microsoft Edge, Gemini en Google Chrome o Comet de Perplexity— ha convertido el análisis automático de páginas web en una funcionalidad cotidiana. Sin embargo, una investigación de Cato Networks ha revelado que esta comodidad abre la puerta a una nueva clase de ataque, denominada HashJack, que aprovecha la barra de direcciones como canal oculto para prompt injection y elude los mecanismos de defensa tradicionales.
¿Qué es el ataque HashJack y cómo explota el fragmento de URL?
HashJack se apoya en la forma en que los navegadores procesan las direcciones web. Todo lo que aparece después del símbolo # —el llamado fragmento de URL o hash— no se envía al servidor, sino que se gestiona exclusivamente en el lado del cliente. Históricamente se ha utilizado para navegación interna en la página, marcadores o el estado de aplicaciones web de una sola página (SPA).
Los investigadores demostraron que un atacante puede tomar una URL completamente legítima, añadir un «#» al final e incorporar tras él instrucciones en texto claro dirigidas al asistente de IA: órdenes, reglas alternativas o peticiones de exfiltración de datos. Para el servidor, la petición sigue siendo inocua, ya que el fragmento jamás viaja por la red. No obstante, el asistente de IA integrado en el navegador, al analizar la página y su contexto, interpreta ese texto oculto como parte del encargo del usuario.
El símbolo # como canal encubierto de control de la IA
En la práctica, HashJack convierte el fragmento de la URL en un canal de mando y control sobre el modelo de lenguaje. Cuando el usuario solicita al asistente que «resuma la página» o que «responda preguntas sobre este contenido», la IA recibe no solo el HTML mostrado, sino también las instrucciones escondidas tras el «#». El resultado es una inyección de prompt indirecta: la respuesta del modelo obedece a las órdenes del atacante, no a la intención real del usuario.
Un nuevo modelo de amenaza para la prompt injection
La prompt injection se considera desde hace años uno de los riesgos clave de los modelos generativos: el atacante redacta mensajes para forzar a la IA a ignorar políticas, revelar datos o ejecutar acciones no deseadas. La particularidad de HashJack es que supone la primera técnica documentada que convierte cualquier sitio confiable en vector de ataque sin necesidad de comprometerlo. La web puede ser legítima y segura, pero la manipulación de la URL transforma la interacción con el asistente de IA en peligrosa.
El riesgo se desplaza así desde «el atacante controla el contenido del sitio» a «el atacante controla el enlace por el que llega el usuario». Esto facilita enormemente las campañas a través de correos, chats, documentos compartidos o anuncios, donde basta con distribuir un enlace modificado con un # seguido de un prompt malicioso.
Escenarios de explotación: fuga de datos y phishing asistido por IA
En sus pruebas, Cato Networks mostró que, en navegadores con capacidades de agente —como Comet de Perplexity—, HashJack puede forzar la exfiltración de datos del usuario hacia servidores bajo control del atacante. Un agente de IA instruido mediante el fragmento de la URL puede recopilar historial de navegación, contenido de la página o información sensible introducida en formularios y enviarla al exterior.
Otros escenarios incluyen que el asistente genere enlaces de phishing aparentemente legítimos, entregue recomendaciones engañosas o altere la interpretación de datos críticos. Los dominios más sensibles son sanidad, finanzas y sector legal: una sugerencia de dosificación médica errónea o un consejo de inversión imprudente, producidos por una IA manipulada, pueden traducirse en daños muy tangibles.
Respuesta de Google, Microsoft y Perplexity
Cato Networks notificó la técnica a los principales proveedores: Perplexity en julio y Google y Microsoft en agosto. Según el informe, Google clasificó el comportamiento como “esperado”, le asignó baja prioridad y no planea modificar ni Chrome ni Gemini por este motivo.
Por el contrario, Microsoft y Perplexity publicaron actualizaciones en sus navegadores con IA para reducir el impacto de las inyecciones de prompt mediante fragmentos de URL. Microsoft ha señalado que la protección frente a estas técnicas se considera un «proceso continuo», analizando cada nueva variante de ataque de forma individual. Esta disparidad de respuestas refleja la ausencia de estándares consolidados sobre seguridad de modelos de lenguaje integrados en navegadores.
Por qué las defensas tradicionales no ven HashJack
Los controles clásicos de seguridad web —WAF, filtros en servidor, IDS/IPS o proxys corporativos— no inspeccionan el contenido que sigue al «#» porque, por diseño, ese fragmento nunca se transmite por HTTP. En consecuencia, reglas, firmas y análisis de tráfico no pueden bloquear el prompt malicioso incrustado en la URL.
Además, muchas soluciones se centran en el contenido del sitio y los archivos descargados, pero no modelan el riesgo específico de la combinación «navegador + asistente de IA». Esta ceguera hace que HashJack escape tanto a los motores tradicionales de reputación de URL como a gran parte de los mecanismos antiphishing actuales.
Cómo proteger la organización frente a HashJack y ataques en navegadores con IA
Mitigar HashJack requiere un enfoque multinivel. A nivel de gobierno corporativo, es recomendable establecer políticas claras sobre el uso de herramientas de IA: definir un listado de asistentes autorizados, configurar de forma centralizada sus opciones de seguridad y desactivar funcionalidades de alto riesgo cuando no aporten valor directo al negocio.
En el lado del cliente, conviene desplegar mecanismos de filtrado y normalización de URLs en agentes de seguridad, extensiones de navegador o pasarelas web seguras. Fragmentos inusualmente largos tras el «#», especialmente si contienen instrucciones en lenguaje natural, deberían eliminarse, bloquearse o al menos marcarse como no aptos para su procesamiento por la IA.
Otro vector clave es el monitorizado de la actividad de los asistentes de IA. Registrar prompts y respuestas, aplicar detección de comportamientos anómalos (como la inclusión reiterada de enlaces externos desconocidos) y usar tecnologías de DLP para limitar qué datos pueden enviarse a servicios de IA reduce significativamente la superficie de ataque.
Finalmente, la formación del usuario sigue siendo esencial. Es necesario explicar que un dominio conocido y una interfaz de navegador confiable no garantizan que la respuesta del asistente sea segura. Cualquier recomendación relacionada con dinero, salud o decisiones críticas debe contrastarse siempre con fuentes independientes.
El auge de los navegadores con IA demuestra que la frontera de la ciberseguridad ya no termina en el servidor web: se extiende hasta el contexto de los modelos de lenguaje. Incorporar estos riesgos a las estrategias de protección, revisar las políticas de uso de IA y exigir a los proveedores controles específicos frente a prompt injection son pasos prioritarios para impedir que un simple clic en un enlace con «#» se convierta en el inicio de un incidente grave.
