Un riesgo emergente en navegadores con agentes autónomos
Un nuevo tipo de ataque fue revelado por Straiker STAR Labs, demostrando que un simple correo electrónico puede desencadenar la eliminación total del contenido de Google Drive cuando es procesado por navegadores con agentes autónomos, como el Comet Browser de Perplexity. El hallazgo expone riesgos crecientes asociados al uso de asistentes impulsados por modelos de lenguaje capaces de ejecutar acciones automatizadas en servicios como Gmail y Google Drive.
Cómo funciona el ataque Google Drive Wiper
El ataque, denominado Zero-Click Google Drive Wiper, explota una capacidad común en navegadores con agentes integrados: leer correos electrónicos, revisar carpetas, mover archivos y ejecutar tareas sin intervención del usuario.
Los investigadores demostraron que, si el usuario hace una petición rutinaria como “revisa mi correo y completa mis tareas de organización”, el agente sigue instrucciones encontradas dentro de los mensajes, asumiendo que forman parte de las órdenes legítimas.
Un atacante puede aprovechar este comportamiento enviando un correo que contenga instrucciones en lenguaje natural para eliminar archivos “como parte de un proceso de limpieza”. Como el agente interpreta el texto como una tarea más, ejecuta la acción sin validar si es segura, trasladando grandes volúmenes de archivos a la papelera o eliminándolos por completo.
No es un jailbreak ni una inyección de prompt tradicional
Un aspecto especialmente crítico es que este ataque no depende de técnicas clásicas como jailbreaks o prompt injections explícitas.
Funciona porque los agentes responden a lenguaje educado y secuencial, con frases como “encárgate de esto”, “hazlo en mi nombre”, o “gestiona estos archivos”, que empujan al sistema a asumir el rol de ejecutor de tareas sin cuestionarlas.
Esto revela una nueva superficie de ataque: los asistentes agentificados que interpretan instrucciones en correos o documentos como tareas legítimas, sin mecanismos sólidos de verificación contextual.
Propagación a gran escala y riesgos corporativos
Una vez que el agente tiene acceso OAuth a Gmail y Google Drive, cualquier instrucción puede replicarse en carpetas compartidas, unidades de equipo y otros repositorios.
Esto eleva la posibilidad de pérdidas masivas de información dentro de organizaciones que utilizan Drive para trabajo colaborativo.
El resultado: un wiper de datos completamente automatizado, capaz de activarse con una sola interacción inocente del usuario.
HashJack: otro ataque que manipula navegadores IA mediante URLs
En paralelo, Cato Networks reveló un segundo ataque ligado a navegadores con IA: HashJack, un método que esconde instrucciones maliciosas en la parte del fragmento URL (después del símbolo “#”).
Al acceder a una URL legítima que contenga un fragmento manipulado, el navegador IA ejecuta las instrucciones ocultas cuando el usuario hace una consulta relacionada.
Este enfoque permite transformar cualquier sitio web confiable en un vector para manipular al agente de navegación, sin modificar realmente el contenido del dominio.
Respuesta de los fabricantes y estado de los parches
Tras la divulgación responsable:
Google clasificó HashJack como “no corregible (comportamiento esperado)” y de baja severidad.
Perplexity y Microsoft ya publicaron parches para Comet (v142.0.7444.60) y Edge (142.0.3595.94).
Las extensiones Claude for Chrome y OpenAI Atlas se consideran inmunes al ataque HashJack.
Conclusiones: asegurar no solo el modelo, sino también el agente
Ambos ataques evidencian una tendencia clara: los navegadores con asistentes autónomos amplían la superficie de riesgo más allá de los modelos de lenguaje.
El desafío ahora es asegurar los conectores, permisos, flujos automáticos y la forma en que los agentes interpretan instrucciones en lenguaje natural provenientes de contenido no confiable.
