La Inteligencia Artificial transformó las dinámicas de múltiples sectores, incluida la ciberseguridad. Hoy puede ser una aliada en la prevención y detección de ataques, pero también un recurso para potenciar acciones maliciosas.
Además, la IA puede ser engañada y utilizada como vector para comprometer a las víctimas. ESET, compañía líder en detección proactiva de amenazas, analiza la técnica PromptFix —una variante de prompt injection—, sus posibles consecuencias y cómo prevenir esta amenaza.
PromptFix es una modalidad específica de prompt injection diseñada para manipular asistentes integrados en navegadores. Mediante instrucciones ocultas, induce a la IA a interactuar con sitios maliciosos o de phishing. El término surge como evolución de la técnica ClickFix, que engaña a los usuarios para que hagan clic en verificaciones falsas y así ejecutar acciones maliciosas.
“Los actores maliciosos insertan instrucciones ocultas en contenido aparentemente legítimo para que la IA realice ciertas acciones sin que el usuario lo sepa ni tenga que intervenir. Por ejemplo, hacer clic en botones invisibles que simulan verificaciones, descargar archivos maliciosos o interactuar con enlaces fraudulentos”, comenta Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.
Para ejecutar un ataque PromptFix, los cibercriminales ocultan instrucciones maliciosas en sitios comprometidos o en contenido que controlan, incluso en redes sociales o plataformas públicas como comentarios en Reddit o publicaciones en Facebook. Algunas técnicas consisten en ocultar instrucciones en texto invisible o en comentarios HTML, insertar texto oculto dentro de imágenes o incrustar información en archivos digitales sin alterar su apariencia.
El ataque se activa cuando un usuario visita un sitio comprometido y utiliza el asistente de IA del navegador para resumir o extraer información. En ese momento, el modelo procesa todo el contenido sin distinguir entre datos e instrucciones, interpretando los comandos ocultos como solicitudes legítimas del usuario. Esto puede llevar al agente a realizar acciones no deseadas, como abrir enlaces fraudulentos o iniciar descargas.
Las consecuencias de un ataque PromptFix pueden incluir la descarga de archivos maliciosos infectados con malware, la interacción con botones ocultos que evaden validaciones o el acceso a enlaces de phishing que exponen credenciales.
Dado que una característica distintiva de PromptFix es que puede ejecutar acciones sin intervención ni conocimiento de la víctima,
ESET recomienda adoptar las siguientes medidas:
No autorizar acciones automáticas por defecto: si la IA intenta hacer clic, enviar archivos o completar formularios, debe solicitar y obtener confirmación previa del usuario.
Limitar al agente: no otorgar permisos para navegar libremente por internet, acceder a contraseñas guardadas ni utilizar funciones de autocompletado.
Revisar imágenes y archivos antes de procesarlos: los ciberatacantes pueden ocultar instrucciones dentro de ellos; se recomienda filtrarlos para detectar texto oculto o señales anómalas.
Utilizar listas de sitios confiables: permitir que el agente interactúe únicamente con dominios conocidos. Ante un enlace sospechoso, debe bloquearlo y solicitar autorización.
