Un nuevo vector de ataque está acaparando la atención del sector: HashJack, una técnica de indirect prompt injection capaz de manipular navegadores y asistentes de inteligencia artificial para entregar enlaces de phishing, desinformación o incluso extraer datos sensibles del usuario sin que este lo note. La investigación fue presentada por expertos de Cato Networks y expone un riesgo emergente para organizaciones que dependen cada vez más de herramientas de IA.
¿Cómo funciona HashJack?
HashJack se basa en una idea tan simple como peligrosa: ocultar instrucciones maliciosas dentro del fragmento “#” de una URL aparentemente legítima.
Ese fragmento no se envía al servidor, pero sí puede ser leído por navegadores o asistentes de IA que analizan el contenido de la página para dar respuestas o generar acciones.
Un atacante solo necesita compartir un enlace con estas instrucciones encubiertas mediante correo electrónico, redes sociales o incrustado en una página web. Cuando el usuario lo abre y hace cualquier consulta al asistente integrado en el navegador, la IA incorpora las instrucciones ocultas como si fueran parte del contexto.
El resultado puede ser:
Generación automática de enlaces manipulados.
Recomendaciones peligrosas (por ejemplo, dosificación incorrecta de medicamentos o consejos financieros falsos).
Envío de datos sensibles a un servidor del atacante.
Ejecución de acciones en segundo plano en navegadores con capacidades “agénticas”.
Impacto en navegadores y asistentes de IA
Los investigadores evaluaron el ataque en varias soluciones del mercado: Perplexity Comet, OpenAI Atlas, Copilot en Microsoft Edge, Gemini para Chrome y Claude para Chrome.
Los hallazgos clave:
Claude para Chrome y Atlas fueron inmunes.
Comet, Edge (con Copilot) y Gemini para Chrome fueron susceptibles, aunque con limitaciones.
Chrome suele reescribir enlaces, lo que reduce el riesgo, pero no lo elimina.
Edge muestra un cuadro de confirmación antes de navegar, lo que atenúa el impacto.
Una preocupación adicional es que los navegadores basados en agentes, como Comet, tienen permisos ampliados para interpretar el estado de la página, lo que abre la puerta a abusos más complejos, como enviar datos ingresados por el usuario a servidores externos.
Respuesta de proveedores y estado del parcheo
Tras la divulgación del hallazgo:
Perplexity y Microsoft lanzaron actualizaciones que mitigan HashJack en Comet y Edge.
Google, en cambio, clasificó este comportamiento como “funcionamiento previsto”, considerando el riesgo como un problema de ingeniería social y no una vulnerabilidad de seguridad.
Claude para Chrome, por su arquitectura, nunca tuvo acceso directo al fragmento de la URL y, por tanto, resultó inmune desde el inicio.
¿Es un riesgo real para empresas?
Aunque el ataque requiere varios pasos y depende de la interacción del usuario con el asistente de IA, los investigadores advierten que representa un nuevo tipo de manipulación contextual que las empresas deben tomar en serio.
El uso creciente de asistentes de IA en flujos corporativos incrementa el valor de este vector, especialmente en entornos donde estos asistentes pueden ejecutar acciones automáticas o interpretar datos internos.
Recomendaciones para organizaciones
Actualizar navegadores y asistentes compatibles con IA tan pronto como existan parches disponibles.
Deshabilitar asistentes automáticos en entornos críticos o de alto riesgo.
Capacitar a los usuarios sobre enlaces con fragmentos sospechosos o comportamientos inesperados de la IA.
Implementar controles de contenido que limiten interacciones automáticas con páginas no confiables.
Supervisar la salida generada por herramientas de IA utilizadas para tareas internas.
Conclusión
HashJack demuestra que los asistentes de IA abren una nueva superficie de ataque donde pequeños fragmentos de contexto pueden desencadenar acciones peligrosas. Aunque su explotación masiva es poco probable, su potencial impacto en entornos empresariales lo convierte en un riesgo emergente que debe ser monitoreado.
Las organizaciones que integran IA en sus operaciones deben mantenerse informadas, actualizar sus herramientas y reforzar prácticas de seguridad que contemplen este nuevo escenario.
