El 21 de octubre de 2025, OpenAI lanzó al público la primera versión de su navegador, ChatGPT Atlas que, por el momento, está disponible para macOS, aunque hay planes de ampliar a otras plataformas como Windows, Android e iOS.

La idea del navegador, como su nombre indica, es hacer que la navegación sea directamente ChatGPT, eliminando la necesidad de copiar y pegar contenido para que la inteligencia artificial generativa (GenAI) pueda realizar acciones en él.

La propuesta, centrada en la practicidad y en las instalaciones muy atractivas, puede ocultar riesgos para la seguridad de sus usuarios.

A continuación, te mostraré una recopilación de los principales riesgos y las consecuencias que podrían tener para los usuarios.

Riesgos asociados al uso del ChatGPT Atlas

Inyección rápida

La inyección de prompts es uno de los principales riesgos en navegadores integrados con GenAI. El contenido malicioso puede ocultarse en la página visitada, en URL o incluso en imágenes manipuladas. Cuando el navegador interpreta esta información oculta, su comportamiento puede alterarse: desde proporcionar datos sensibles a atacantes, mostrar contenido distinto al esperado, hasta modificar sus ajustes para ser más permisivo en etapas posteriores del ataque.

Filtración de datos sensibles

Entre las funciones del navegador está el relleno de formularios de forma automatizada, lo que significa que, si una página maliciosa solicita datos que normalmente se solicitan en estos formularios, como nombre completo, teléfono, dirección, entre otros, el navegador puede proporcionarlos sin necesidad de validaciones adicionales. 

Acceso excesivo a datos personales

Dado que el navegador está integrado de forma nativa con una GenAI, es posible que pueda acceder y procesar el contenido de todas las pestañas abiertas o que hayan estado abiertas. Por ejemplo, si mantienes abiertas tus cuentas de correo en distintos proveedores, una pestaña con tu calendario para no perder citas o tus contactos, el navegador podría utilizar esa información para ejecutar acciones en esas herramientas. Esto puede ser muy útil en un uso legítimo, pero si se explota de manera maliciosa, podría implicar la exposición de datos sensibles a ciberdelincuentes.

Las integraciones pueden implicar riesgos de privacidad que muchos usuarios no anticipan, incluyendo el acceso a todos los archivos presentes en el dispositivo. De hecho, es posible enviar cualquier archivo como adjunto, y el navegador podría procesarlo sin aplicar controles adicionales, lo que aumenta la exposición de información sensible.

Memoria del navegador

Las sesiones activas en el navegador representan otro riesgo importante. Dado que el navegador puede interactuar con servicios autenticados, estas sesiones pueden permanecer abiertas indefinidamente. Si ocurre una interacción maliciosa y el navegador tiene varias sesiones activas, los atacantes podrían aprovecharlas para realizar acciones no autorizadas, incluyendo ataques de secuestro de sesión.

Vulnerabilidad ante ataques de phishing

Los ataques de phishing representan una amenaza significativa en navegadores que procesan contenido antes de mostrarlo en pantalla. Aunque existen ciertos indicadores para diferenciar un sitio legítimo de uno fraudulento, aún no se han identificado mecanismos eficientes para hacerlo. Esta falta de detección facilita la interacción con contenido malicioso, lo que beneficia a los ciberdelincuentes.

Omnibox vulnerable a comandos maliciosos

La Omnibox es la funcionalidad de la barra de direcciones que permite ingresar tanto URLs como términos de búsqueda, ofreciendo resultados relevantes en ambos casos. En el contexto de ChatGPT Atlas, existe el riesgo de que los usuarios sean engañados para hacer clic en comandos disfrazados de URLs. Estos comandos pueden alterar el comportamiento del navegador o redirigir a las víctimas hacia sitios web controlados por ciberdelincuentes.

Falta de transparencia en la ejecución de las acciones

Este punto resume la mayoría de las preocupaciones de seguridad relacionadas con este navegador. Al contar con capacidades automatizadas basadas en IA, muchas de las acciones que realiza no son visibles ni controlables por el usuario. Esto incluye desde interacciones con contenido malicioso en páginas web hasta el procesamiento de información personal o sensible, que incluso podría utilizarse como parte de modelos de entrenamiento o en respuestas futuras a otros usuarios.

Idealmente, este tipo de navegador debería ofrecer configuraciones explícitas para cada funcionalidad que pueda comprometer la seguridad o privacidad del usuario

Ausencia de estándares de divulgación de vulnerabilidades

No existe un protocolo claro para informar, rastrear y corregir fallos de seguridad. Al igual que cualquier otro tipo de software, los navegadores integrados con IA pueden tener vulnerabilidades que afectan a su funcionamiento. Esto hace necesario que la propia OpenAI disponga de formas de revelar estas vulnerabilidades para poder trabajar en una solución y actualización de software.

Cabe recordar que muchas vulnerabilidades permiten a los ciberdelincuentes controlar los dispositivos sin tener que interactuar con sus víctimas.

Susceptibilidad a la desinformación (camuflaje de IA)

Actualmente, no existe un protocolo claro para informar, rastrear y corregir fallos de seguridad en este tipo de navegadores. Al igual que cualquier software, los navegadores integrados con IA pueden presentar vulnerabilidades que afectan su funcionamiento. Por ello, es fundamental que OpenAI implemente mecanismos seguros para la divulgación y corrección de estas vulnerabilidades, garantizando actualizaciones oportunas.

Es importante destacar que muchas de estas fallas pueden permitir a los ciberdelincuentes tomar control del dispositivo sin interacción directa con la víctima.

Inyección en portapapeles

La manipulación de portapapeles es un recurso utilizado por varios tipos de malware y suele estar destinada a robar información. Los troyanos suelen usar esta función al atacar carteras de criptomonedas; cuando la víctima copia la dirección de la cartera a la que quiere enviar fondos, el troyano la cambia y coloca la cartera de los ciberdelincuentes; cuando la víctima va a pegar la información y completa la transferencia, los fondos se envían a los delincuentes.

Inyección de Reconocimiento Óptico de Caracteres (OCR)

La interpretación de texto oculto en imágenes como comandos válidos representa un riesgo emergente. Aunque la capacidad de reconocer contenido en imágenes no es nueva, el problema surge cuando esta función se utiliza con fines maliciosos. Es posible incrustar instrucciones ocultas en imágenes, invisibles para el ojo humano, que el navegador interprete como comandos válidos. Esto puede modificar su comportamiento de manera similar a una inyección de prompts.

Mitigaciones implementadas por OpenAI

Consciente de los riesgos asociados al nuevo producto, OpenAI ha adoptado medidas para mejorar la seguridad del navegador Atlas:

Limitaciones de agentes:

Atlas no puede ejecutar código, descargar archivos, instalar extensiones, acceder a otras aplicaciones ni a información del dispositivo local.

Sin acceso a contraseñas ni autocompletado

El agente no puede acceder a contraseñas guardadas, datos autocompletados ni memorias internas fuera de su alcance.

Historial y control de navegación

El usuario puede borrar historial, memorias y definir qué sitios son visibles para ChatGPT, incluyendo la opción de bloquear la IA con un solo clic.

Memoria opcional

Para que Atlas recuerde páginas visitadas, el usuario debe habilitar la función (desactivada por defecto).

Privacidad por defecto

Las interacciones no se usarán para entrenamiento de modelos, salvo que el usuario lo autorice explícitamente.

Protección para sitios críticos

Acciones en sitios sensibles (por ejemplo, bancos) requieren aprobación manual del usuario.

OpenAI Web Layer (OWL)

Atlas se basa en Chromium, pero la IA se ejecuta en procesos separados para reducir riesgos.

Recomendaciones de seguridad

Aunque estas medidas reducen riesgos, es importante adoptar buenas prácticas:

  • No proporciones datos para entrenamiento: evita enviar información sensible que pueda aparecer en interacciones futuras.
  • Cumple con leyes de protección de datos: especialmente en entornos corporativos (LGPD, GDPR).
  • Usa el agente con precaución: recuerda que toma decisiones por ti; no todas serán seguras.
  • Evita sitios poco confiables: reducirás riesgos de inyección de prompts y otros ataques.
  • Utiliza entornos virtuales cuando sea posible: Facilita la recuperación ante fallos o ataques.
  • Capacita a los usuarios: La formación en seguridad es clave para minimizar riesgos.

Conclusión

La integración con GenAI es una tendencia inevitable, pero la seguridad debe evolucionar al mismo ritmo. Será responsabilidad de los profesionales y usuarios configurar y usar estas herramientas de forma consciente para reducir riesgos.