Una inofensiva almohadilla (#) se convierte en arma: HashJack vulnera las defensas de Copilot y Gemini

Cato Networks anunció una nueva técnica de ataque llamada HashJack, que oculta indicaciones maliciosas para IA detrás del carácter «#» en URL legítimas y hace que los navegadores con IA las ejecuten, permaneciendo invisibles para las medidas de protección tradicionales. De hecho, cualquier enlace conocido por el usuario a un sitio popular puede convertirse en una herramienta para controlar al asistente de IA directamente en el navegador.

En la base de HashJack está la idea clásica de la inyección de indicaciones: la situación en la que un texto que el propio usuario no introdujo se convierte en órdenes para un bot basado en IA. Normalmente se distinguen dos tipos de esos ataques: directos, cuando la orden maliciosa llega directamente al campo de entrada, e indirectos, cuando las instrucciones ocultas se esconden en el contenido de páginas, PDF u otros datos que la IA debe analizar. Los navegadores con IA, la nueva ola de productos que intentan «entender la intención del usuario» y ejecutar acciones automáticamente, ya han demostrado ser vulnerables a inyecciones de indicaciones indirectas: al intentar ser útiles, a veces terminan ayudando no al usuario, sino al atacante.

Cato describe HashJack como «la primera inyección de indicaciones indirecta conocida que permite convertir cualquier sitio legítimo en un arma contra los asistentes de navegador con IA». El método se basa en la manipulación del fragmento de la URL —la parte después del carácter «#». Ahí es donde el atacante oculta instrucciones para la IA, y el asistente con IA en el navegador, como Copilot en Edge, Gemini en Chrome o Comet de Perplexity AI, usa esos fragmentos como parte del contexto para la consulta al modelo.

El punto clave es que el fragmento de la URL nunca sale del navegador: no se envía al servidor del sitio ni llega a los sistemas tradicionales de monitorización del tráfico. Para las medidas de protección de red y servidor ese tráfico parece completamente legítimo, mientras que el asistente de IA ve la URL completa y «recoge» las instrucciones ocultas después del «#». Como resultado, el sitio de confianza acostumbrado por el usuario se convierte en un vector de ataque, aunque el propio recurso puede no sospechar nada.

Técnicamente, el ataque parece inofensivo: a un enlace normal se le añade el símbolo «#», que no cambia la dirección de destino, y luego se añade el texto con instrucciones maliciosas. El usuario hace clic en un dominio conocido, abre la página y pide ayuda al asistente de IA —por ejemplo, «explica este artículo» o «resume esto». En ese momento, el fragmento oculto de la URL se mezcla en la consulta al modelo y puede provocar consecuencias como filtración de datos, phishing, difusión de desinformación, instrucciones para crear software malicioso o incluso daños potenciales a la salud —si, por ejemplo, el asistente da recomendaciones erróneas sobre la dosis de medicamentos.

«Este hallazgo es especialmente peligroso porque convierte sitios legítimos en armas a través de sus URL. Los usuarios ven un recurso de confianza, confían en su navegador con IA y, en consecuencia, confían en la respuesta del asistente: la probabilidad de un ataque exitoso aquí es mucho mayor que en el phishing clásico», señala el investigador de Cato Networks Vitaliy Simonovich. En esencia, HashJack juega con la confianza en las marcas y en las herramientas de IA, disfrazándose como un escenario normal de uso del asistente.

En pruebas, la unidad de investigación Cato CTRL demostró que los navegadores con IA «agentes» capaces de ejecutar acciones, como Comet, se pueden forzar a enviar datos del usuario a servidores controlados por atacantes. Los asistentes más «pasivos», que principalmente muestran respuestas y enlaces, también resultan vulnerables: pueden mostrar instrucciones engañosas, insertar URLs de phishing o recomendaciones que benefician al atacante. A diferencia de la inyección directa de indicaciones, este escenario se distingue porque el usuario está convencido de que solo interactúa con un sitio de confianza y ni siquiera sospecha de los fragmentos ocultos y las solicitudes en segundo plano.

Según Cato, Google y Microsoft fueron notificados sobre HashJack en agosto, y Perplexity lo fue ya en julio. La reacción de las plataformas fue diversa: Google clasificó el problema como «won't fix (comportamiento previsto)» y de baja gravedad, mientras que Perplexity y Microsoft implementaron correcciones en sus navegadores con IA. Microsoft explicó en un comentario que la protección contra las inyecciones de indicaciones indirectas «no es solo un reto técnico, sino un compromiso continuo de proteger a los usuarios en un mundo digital que cambia rápido», y aseguró que cada nueva variante de tales ataques se considera como un escenario separado que requiere análisis detallado.

Las conclusiones de Cato son que ya no se puede confiar únicamente en los registros de red y en la filtración de URL en el servidor. La protección debe ser multicapa: las empresas instan a implementar una política de gobernanza de IA, bloquear fragmentos sospechosos en los enlaces, limitar el conjunto de asistentes de IA permitidos y reforzar la monitorización en el lado del cliente. En otras palabras, hay que fijarse no solo en qué sitio abre el usuario, sino en cómo la combinación «navegador + asistente de IA» procesa el contexto oculto.

A medida que los navegadores con IA pasan de la fase de entusiastas al uso masivo, HashJack señala una nueva clase de amenazas. Lo que antes se asociaba principalmente con vulnerabilidades en el servidor o páginas de phishing ahora puede residir dentro de la interfaz habitual del navegador —en la barra de direcciones y en la ventana emergente del asistente—. Y cuanto más deleguemos tareas rutinarias en manos de la IA, más atractivas serán estas técnicas para los atacantes.