BioShocking: cuando «jugar» con agentes de IA ya no es un juego

| 1 de julio de 2026
bioshocking: solo hay una salida

Los navegadores y agentes basados en inteligencia artificial prometen eliminar la monotonía de las tareas en la web. Pueden resumir páginas, extraer datos de tus cuentas e incluso actuar como un asistente inteligente que hace clic y escribe por ti. Sin embargo, una nueva investigación revela que, cuando esos asistentes pierden la noción de lo que es real y lo que es solo un juego, tus credenciales y datos confidenciales podrían verse afectados.

La característica principal de cada tipo de ataque es eludir una de las reglas básicas:

«Los modelos de lenguaje a gran escala (LLM) están diseñados con medidas de seguridad destinadas a evitar acciones perjudiciales».

El investigador Roy Paz ha ideado y dado a conocer un ataque al que denomina «BioShocking», una técnica que consigue que los navegadores basados en IA abandonen sus medidas de seguridad al presentarles un escenario ficticio como si fuera real.

De este modo, BioShocking se sitúa en la encrucijada entre la inyección de indicaciones y la manipulación de objetivos. La inyección de indicaciones funciona porque los modelos de IA no pueden distinguir entre las instrucciones de la aplicación y las del atacante, por lo que a veces siguen las incorrectas. Los ataques de manipulación de objetivos modifican sutilmente aquello para lo que el agente cree que debe optimizar, convirtiendo «ayudar al usuario» en «ganar el juego a toda costa».

En la demostración de concepto de BioShocking, el atacante controla una página web aparentemente inofensiva inspirada en el universo del videojuego BioShock. La página presenta un acertijo que el agente de IA, que actúa como un navegador autónomo, debe resolver en nombre del usuario. Pero aquí está el giro: el acertijo recompensa las respuestas incorrectas y le indica explícitamente al agente que se trata de un entorno especial en el que no se aplican las reglas habituales.

El último paso del rompecabezas indica al agente que visite un repositorio de GitHub, localice datos confidenciales —como contraseñas o credenciales— en el código y los comparta como parte de la finalización del juego. En las pruebas realizadas con seis navegadores y complementos de IA más habituales —ChatGPT Atlas, Comet, Fellou, Genspark Browser, Sigma Browser y la Chrome «Claude»—, todos los agentes siguieron las instrucciones en lugar de rechazar la solicitud.

Así pues, al sumergir al agente de IA en una realidad ficticia, el atacante lo convenció para que se saliera de los límites establecidos.

El «BioShocking» no es un fenómeno aislado. Es un ejemplo más de una categoría cada vez más extendida de ataques que tienen como objetivo a los propios agentes de IA. Un estudio reciente sobre el agente de correo electrónico con IA de OpenClaw demostró que unas tácticas básicas de phishing lograron engañar al agente para que revelara credenciales de AWS y registros de clientes.

Es evidente que el punto débil común es la forma en que estos navegadores gestionan los contextos autenticados. Cuando un navegador con IA funciona en «modo agente», a menudo hereda el estado de inicio de sesión del usuario en plataformas sensibles como el correo electrónico, los repositorios de código, los paneles de control en la nube, los gestores de contraseñas, etcétera. Desde la perspectiva del modelo de IA, se trata simplemente de otra página que leer y más campos que copiar. Para ellos, no tienen ningún significado especial.

Si la narrativa general afirma que copiar credenciales forma parte de un reto inofensivo, muchas implementaciones actuales lo aceptarán sin más.

Lo preocupante es la respuesta —o la falta de ella— por parte de los proveedores. Paz notificó el problema «BioShocking» a seis proveedores afectados en octubre de 2025. Según el informe, tres de ellos no respondieron, y solo ChatGPT Atlas, de OpenAI, implementa actualmente una solución que bloquea la prueba de concepto. Anthropic intentó aplicar un parche a su Chrome Claude Chrome , pero, según se informa, la medida de mitigación sigue siendo ineficaz frente al escenario de ataque. Perplexity AI, en el momento de redactar este informe, cerró el incidente sin aplicar ninguna solución.


No nos limitamos a informar de las amenazas: las eliminamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.

Acerca del autor

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.