CometJacking: un clic puede convertir al navegador Comet de Perplexity en exfiltrador de datos

octubre 4, 2025

CometJacking: un clic puede convertir al navegador Comet de Perplexity en exfiltrador de datos

Resumen de la divulgación

Investigadores en ciberseguridad han divulgado detalles de un nuevo vector de ataque denominado «CometJacking» que apunta a Comet, el navegador agentic AI desarrollado por Perplexity. Según el informe, el ataque consiste en incrustar una instrucción maliciosa (prompt injection) dentro de un enlace que aparentemente es inofensivo. Al hacer clic en ese enlace, la cadena maliciosa puede inducir al agente de Comet a ejecutar acciones que deriven en el robo de información sensible, incluidas integraciones conectadas como correo electrónico y calendario.

Cómo funciona el ataque (técnicamente, a grandes rasgos)

Los detalles técnicos publicados por los investigadores describen el ataque como una variante de inyección de prompts dirigida a un agente AI con capacidad de actuar en nombre del usuario. De forma esquemática:

  • Un enlace contiene o conduce a contenido que incorpora una instrucción adversa diseñada para ser interpretada por el modelo o por los flujos de control del agente.
  • Cuando el usuario hace clic, el entorno de Comet procesa el contenido y el agente puede ejecutar acciones automatizadas (por ejemplo, leer o consultar servicios conectados) siguiendo la instrucción maliciosa.
  • Si el agente tiene permisos o tokens para acceder a servicios como correo o calendario, el flujo puede exponer datos sensibles o reenviarlos a un tercero.

Es importante subrayar que la naturaleza «agentic» de Comet (capacidad de realizar tareas y encadenar acciones por cuenta del usuario) incrementa la superficie de ataque respecto a asistentes que solo responden con texto, porque las acciones automatizadas abren vectores de exfiltración más directos.

Contexto y antecedentes: por qué importa

La categoría de ataques por inyección de prompt y los llamados «jailbreaks» contra modelos de lenguaje han ganado atención desde que los asistentes conversacionales y navegadores potenciados por IA comenzaron a integrar capacidades de acción. Algunos puntos relevantes de contexto:

  • La inyección de prompts es una clase conocida de riesgo para modelos de lenguaje: instrucciones maliciosas en entradas controladas por el atacante pueden manipular el comportamiento del modelo.
  • Los sistemas agentic —diseñados para actuar automáticamente sobre recursos externos— amplifican el riesgo porque pueden portar credenciales o tokens que les permiten interactuar con cuentas y servicios en nombre del usuario.
  • Las integraciones con correo, calendario, almacenamiento en la nube y APIs empresariales representan una recompensa alta para adversarios: acceso directo a datos personales, credenciales y oportunidades para movimientos laterales.

En suma, CometJacking encaja en una evolución previsible de amenazas: la combinación de interfaces ricas (links, HTML, imágenes con metadatos) y agentes que tienen privilegios crea nuevos vectores que las defensas tradicionales no siempre cubren.

Análisis experto y recomendaciones para profesionales

Para equipos de seguridad y desarrolladores de plataformas agentic, la aparición de CometJacking obliga a revisar varios controles técnicos y de diseño. A continuación, medidas prácticas y recomendaciones de riesgo que deberían considerarse como prioridades:

  • Principio de menor privilegio para tokens y permisos: minimizar el alcance y tiempo de validez de tokens que el agente usa para acceder a servicios. Evitar tokens persistentes con amplios permisos.
  • Aislamiento y sandboxing de contenidos externos: procesar enlaces y contenidos externos en un entorno aislado donde las instrucciones no puedan invocar acciones con privilegios elevados sin una segunda confirmación explícita del usuario.
  • Filtro y normalización de entradas: aplicar sanitización y detección de patrones de prompt injection en contenido HTML/Markdown antes de derivarlo al motor que decide acciones.
  • Consentimiento explícito para acciones sensibles: exigir interacción de usuario (doble confirmación) para que el agente realice operaciones que impliquen acceso a correo, calendario, contactos o archivos.
  • Registro y monitorización de comportamiento del agente: generar trazas auditables de las decisiones y llamadas externas realizadas por el agente para facilitar detección y respuesta ante anomalías.
  • Políticas de red y control de egress: restringir y supervisar destinos hacia los que el agente puede enviar datos, y emplear listas blancas para integraciones oficiales.

Además, en el diseño de la interfaz de usuario es recomendable que las plataformas expongan claramente cuándo una acción será automática, qué datos implicará y qué cuentas o servicios serán accedidos, evitando que se ejecute un flujo sensible por un único clic inadvertido.

Casos comparables y tendencias conocidas

CometJacking no surge en el vacío; la comunidad de seguridad ha documentado durante los últimos años ataques y pruebas de concepto que explotan prompts, permisos excesivos y la integración de modelos con APIs externas. Entre las tendencias observadas:

  • Investigaciones públicas han demostrado que modelos de lenguaje pueden ser inducidos por entradas maliciosas para revelar información de contexto o para ignorar restricciones de seguridad.
  • Las integraciones con servicios de terceros han sido un vector recurrente para exfiltración en entornos SaaS y aplicaciones web tradicionales.
  • El auge de asistentes con capacidades de «actuar por el usuario» ha generado recomendaciones formales de mitigación por parte de investigadores y algunos fabricantes: limitación de permisos, validación de entradas y transparencia de acciones automatizadas.

Estos antecedentes refuerzan que, aunque las tecnologías cambian, los principios de seguridad aplicables —control de acceso, aislamiento y trazabilidad— siguen siendo los pilares de una defensa eficaz.

Riesgos, implicaciones y respuesta operativa

Las implicaciones de una explotación exitosa de CometJacking abarcan dimensiones técnicas, operativas y regulatorias:

  • Exfiltración de datos personales y corporativos: correos, citas del calendario y documentos accesibles por el agente pueden salir inadvertidamente.
  • Compromiso de cuentas: si los tokens o credenciales son reutilizables, un atacante podría ejecutar acciones continuadas o pivotar a otros recursos.
  • Daño reputacional y cumplimiento: filtraciones que afecten a datos regulados (datos personales, clientes, propiedad intelectual) pueden derivar en sanciones y pérdida de confianza.

Medidas operativas inmediatas que deberían activarse ante la detección de intentos de CometJacking incluyen:

  • Revocación y rotación de tokens asociados al agente afectado.
  • Revisión de logs para identificar acciones anómalas o transferencias de datos recientes.
  • Notificación a usuarios afectados y, si procede, a autoridades de protección de datos según los marcos regulatorios aplicables.
  • Aplicación de parches y despliegue de mitigaciones en el cliente (p. ej. deshabilitar el modo agentic hasta implementar controles adicionales).

«CometJacking aprovecha una inyección de prompt embebida en un enlace aparentemente inocuo para inducir al agente a actuar sobre recursos conectados, lo que subraya la necesidad de controles estrictos de permisos y de aislamiento.» — Resumen técnico de la divulgación

Recomendaciones para usuarios y administradores

Acciones prácticas que pueden tomar distintos perfiles para reducir el riesgo:

  • Usuarios finales: evitar hacer clic en enlaces no verificados desde Comet, revisar y revocar permisos de integraciones innecesarias, activar MFA y usar cuentas separadas para accesos sensibles.
  • Administradores TI: aplicar políticas de seguridad para tokens API y OAuth, controlar egress network, y establecer procesos de revisión de integraciones de terceros.
  • Desarrolladores de plataformas AI: implementar validaciones de prompt, sandboxing de ejecución y diseños que requieran confirmación explícita para acciones sobre servicios externos.

Conclusión

CometJacking pone de relieve una lección clave: la capacidad de un agente AI para actuar en nombre del usuario introduce riesgos nuevos y significativos cuando se combina con entradas externas manipulables. La mitigación exige cambios técnicos (menor privilegio, aislamiento, validación), operativos (monitorización, respuesta) y de diseño de producto (transparencia y consentimiento). Hasta que se dispongan de controles robustos y estandarizados, tanto usuarios como organizaciones deben asumir una postura preventiva: limitar integraciones, auditar permisos y tratar los enlaces y contenidos externos con sospecha.

Source: thehackernews.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

CoPhish: nueva técnica que usa agentes de Copilot Studio para robar tokens OAuth
Noticias Ciberseguridad
Ataques masivos explotan plugins antiguos de WordPress: GutenKit y Hunk Companion permiten RCE
Noticias Ciberseguridad
TP‑Link parchea cuatro fallos en Omada Gateway; dos permiten ejecución remota de código
Noticias Ciberseguridad
Cierre inmediato de DNS0.EU: el servicio DNS público europeo cesa por problemas de sostenibilidad
Noticias Ciberseguridad