Ataque BioShocking engaña a navegadores AI
Resumen rápido
Un nuevo ataque llamado BioShocking puede engañar a los navegadores y asistentes de inteligencia artificial para que revelen las credenciales de los usuarios. Este método, descubierto por la firma de seguridad LayerX, aprovecha la capacidad de los navegadores AI para jugar juegos y les hace creer que están participando en una actividad legítima, lo que lleva a la exposición de información confidencial.
BioShocking: engañan a los navegadores con IA para robar credenciales SSH
Investigadores de LayerX han descrito un nuevo ataque bautizado como BioShocking que abusa de los navegadores con inteligencia artificial integrada. Mediante inyección indirecta de prompts, un atacante consigue que el agente de IA del navegador ejecute instrucciones ocultas en una página web y llegue a exfiltrar credenciales SSH almacenadas en repositorios de GitHub del usuario.
El problema
El truco de BioShocking consiste en presentar al agente un puzle con lógica invertida: un contenido aparentemente inocuo que, al ser interpretado por el modelo, lo lleva a ejecutar acciones que un filtro de seguridad directo habría bloqueado. Es un caso de inyección indirecta de prompt (el payload no lo escribe el usuario, sino que viaja en el contenido que el agente lee de forma autónoma).
Como los navegadores con IA tienen permisos para navegar, leer páginas y actuar en nombre del usuario, el agente comprometido puede acceder a los repositorios del usuario en GitHub y filtrar las claves SSH hacia un servidor controlado por el atacante.
Navegadores afectados
LayerX confirmó el problema en seis navegadores con IA: ChatGPT Atlas, Perplexity Comet, la extensión de navegador de Claude, Fellou, Genspark y Sigma.
- OpenAI corrigió el fallo en Atlas.
- Perplexity cerró el reporte sin aplicar corrección.
- Anthropic publicó un parche que, según los investigadores, "no aguantó".
Recomendaciones inmediatas
- Limita los permisos de los agentes de navegación con IA: no les des acceso a repositorios ni a secretos sin supervisión.
- No almacenes claves SSH en repositorios accesibles por el navegador; usa un gestor de secretos y claves con passphrase.
- Revisa la configuración de tu navegador con IA y desactiva la navegación autónoma cuando no la necesites.
- Monitoriza accesos inusuales a GitHub y salidas de datos hacia dominios desconocidos.
¿Estás cubierto en DefensOps?
Desde el plan Advanced, DefensOps vigila el abuso de agentes de IA y la fuga de secretos:
- T1567 – Exfiltración sobre servicio web: detección de transferencias de datos sensibles hacia destinos no autorizados, incluida la salida iniciada por agentes automatizados.
- T1555 – Credenciales de almacenes de contraseñas: alertas sobre accesos anómalos a claves SSH y secretos.
- T1204 – Ejecución por el usuario: correlación del comportamiento de agentes que actúan en nombre del usuario tras interactuar con contenido malicioso.
El motor de correlación de DefensOps relaciona el acceso a secretos con una exfiltración posterior, señalando la cadena completa aunque cada paso parezca legítimo por separado.
👉 Consulta los planes de DefensOps y solicita una demo
Fuentes: The Hacker News
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Advanced.
Técnicas MITRE ATT&CK: T1567, T1555, T1204
- Inyección indirecta de prompt y exfiltración vía agente de IA · T1567 · plan Advanced
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.