Un clic en Firefox y un desconocido puede leer tu correo: bienvenido a la era de los asistentes de IA
En solo tres segundos, un sitio malicioso puede secuestrar una cuenta en Firefox.
Un botón inofensivo que resume brevemente la página en Firefox pudo convertir el navegador en un conducto por el que se filtraban datos personales. El especialista de ERNW Florian Port informó sobre una vulnerabilidad en la integración del navegador con chatbots basados en inteligencia artificial, debido a la cual una página maliciosa podía extraer sin ser detectada información del correo electrónico del usuario y enviarla al atacante.
El problema se encontró en octubre de 2025 en las funciones de Firefox que resumen, explican y verifican texto. Cuando el usuario activa una de estas funciones, el navegador envía al panel lateral con el chatbot el título de la página, el fragmento destacado o parte del contenido, así como la instrucción de procesar el texto. El propio panel funciona como una ventana integrada de un servicio externo, por ejemplo Claude o Copilot.
La vulnerabilidad se debía al título de la página. Un sitio malicioso podía ocultar en él comandos adicionales para el modelo. El usuario veía solo el principio del nombre habitual de la pestaña, mientras que la parte oculta pasaba a la consulta al chatbot y se interpretaba como una indicación del propio usuario. Esta técnica pertenece a los ataques en los que se inyectan comandos en las solicitudes dirigidas a sistemas de inteligencia artificial.
En la demostración se utilizó Copilot. Debido a las limitaciones de la versión gratuita, el servicio no ofrecía acceso completo a los correos, pero podía acceder a sus metadatos, incluidos el asunto, el remitente y la hora. Eso a veces basta para un ataque serio, ya que algunos sitios envían códigos de acceso o de confirmación directamente en el asunto del correo.
En el escenario mostrado, la página maliciosa obligaba al chatbot a localizar el último correo con un código de confirmación de Booking.com, extraer el código del asunto y enviarlo a un dominio controlado por el atacante. El usuario solo pulsaba el botón para resumir la página y no veía la orden oculta ni en el nombre de la pestaña ni en la ventana de chat sin desplazarse adicionalmente.
Según Port, el problema no se limita a Firefox. El riesgo aparece en cualquier aplicación que inserte datos externos en una solicitud enviada en nombre del usuario. Para el proveedor del chatbot, esa solicitud parece de confianza, aunque parte del texto pudiera haber sido preparada por el atacante.
Mozilla recibió el informe sobre la vulnerabilidad el 20 de octubre de 2025 y al día siguiente confirmó su recepción. Hasta abril de 2026, con la participación de Microsoft, las partes discutieron cómo corregir la vulnerabilidad. Según ERNW, Mozilla limitó la longitud del título de la página, lo que hace que un ataque exitoso sea poco probable, aunque la posibilidad de insertar texto externo en la solicitud del usuario persiste. Los detalles se divulgaron el 16 de junio de 2026.