En los últimos análisis de seguridad se ha identificado una táctica en la que asistentes de inteligencia artificial que permiten navegación web o recuperación de URLs son aprovechados como canales de comunicación para malware. Este método transforma interfaces públicas de IA en un puente que transporta instrucciones y datos robados sin necesidad de claves o cuentas, complicando la detección tradicional.
La técnica consiste en que un programa malicioso ya instalado en un equipo solicita a la IA que acceda a una URL controlada por el atacante.
La respuesta visible para la IA se convierte en la vía por la cual el servidor del atacante recibe información y entrega órdenes en lenguaje natural o codificado. Al usar servicios considerados legítimos, el tráfico se mezcla con comunicaciones normales y evade controles sencillos.
Cómo funciona el canal: pasos y componentes
En esencia, el flujo requiere dos elementos: primero, un malware que recopile información local y la empaquete; segundo, un asistente de IA con capacidad de leer páginas web o resumir contenidos.
El malware codifica los datos en una cadena que se inserta en una URL controlada por el atacante, por ejemplo dentro de parámetros de consulta. A continuación, el software malicioso ordena a la IA algo tan inocuo como «resumen del contenido de esta página», lo que provoca que la IA solicite la dirección al servidor atacante y, de paso, deje registrar la información.
Esta fachada aprovecha que muchos sistemas de seguridad no bloquean o inspeccionan en profundidad las peticiones a servicios de IA de confianza.
Además, si la interacción con el agente se realiza por una interfaz web anónima, no existen credenciales que revocar, lo que complica contramedidas como la suspensión de cuentas o la revocación de claves API.
Vector de entrada: compromiso previo
Es importante subrayar que este método no explica cómo se instala el malware: la técnica opera sobre una máquina ya comprometida. Los vectores tradicionales (phishing, exploits, descargas maliciosas) siguen siendo la puerta de entrada.
Una vez dentro, el atacante aprovecha el servicio de IA para convertirlo en un canal de comando y control (C2), lo que facilita la exfiltración y la ejecución remota de instrucciones.
Capacidades ampliadas: la IA como motor de decisiones
Más allá de servir como pasarela de datos, los investigadores han mostrado que la IA puede actuar como un motor de decisión externo. El malware puede enviar información del sistema —por ejemplo archivos, detalles del entorno o indicadores de sandbox— y pedirle a la IA que evalúe si el objetivo merece una segunda fase de explotación. De esta forma, la intrusión puede volverse adaptativa: permanecer latente en entornos de análisis o avanzar cuando se detecta un valor alto del objetivo.
Este uso implica que el asistente no solo transmita contenido, sino que también devuelva instrucciones codificadas o sugerencias técnicas que el malware parsea y ejecuta. En la práctica, el servicio de IA funciona como un operador remoto sin necesidad de que el atacante mantenga una conexión directa visible, dificultando la atribución y la interrupción del canal.
Salvaguardas y limitaciones técnicas
Las plataformas de IA incorporan filtros para impedir intercambios manifiestamente maliciosos, y la técnica descrita tiene restricciones: depende de la capacidad del asistente para acceder a URLs y del diseño de la interfaz en el host (por ejemplo, componentes como WebView en Windows). Además, la táctica exige que el atacante diseñe prompts y respuestas que evadan las defensas automáticas, a menudo cifrando o empaquetando los datos en blobs de alta entropía para evitar detección por patrones.
Aun así, estas barreras no son invulnerables: la combinación de anonimato en el acceso y tráfico que imita consultas legítimas crea un riesgo real que las organizaciones deben considerar en sus políticas de monitoreo y filtrado.
Contramedidas prácticas para empresas y administradores
Para mitigar esta amenaza se recomiendan varias acciones complementarias: restringir o supervisar el acceso a asistencias con capacidad de navegación desde endpoints críticos; implementar análisis de comportamiento saliente que detecte solicitudes atípicas a servicios de IA; y reforzar la protección perimetral con inspección de URLs y patrones de parámetros sospechosos.
Además, la segmentación de red y la limitación de componentes como WebView en estaciones de trabajo de alto riesgo reduce la probabilidad de explotación. En caso de detección, comprender que bloquear cuentas no siempre será suficiente obliga a diseñar controles a nivel de tráfico y de comportamiento del proceso.
La vigilancia, la higiene de privilegios y la actualización de las estrategias de detección son medidas esenciales para limitar este nuevo vector de amenaza.
