Las páginas web maliciosas están secuestrando agentes de IA, y algunas están atacando tu PayPal

En resumen

• Google documentó un aumento del 32% en los ataques de inyección de indicaciones indirectas maliciosas entre noviembre de 2025 y febrero de 2026, dirigidos a agentes de IA que navegan por la web.
• Los payloads reales encontrados en la naturaleza incluían instrucciones de transacción de PayPal completamente especificadas incrustadas de manera invisible en HTML ordinario, dirigidas a agentes con capacidades de pago.
• Actualmente no existe un marco legal que determine la responsabilidad cuando un agente de IA con credenciales legítimas ejecuta un comando plantado por un sitio web malicioso.

Los atacantes están colocando en secreto trampas en páginas web con instrucciones invisibles diseñadas para agentes de IA, no para lectores humanos. Y según el equipo de seguridad de Google, el problema está creciendo rápidamente. En un informe publicado el 23 de abril, los investigadores de Google Thomas Brunner, Yu-Han Liu y Moni Pande escanearon de 2 a 3 mil millones de páginas web rastreadas por mes en busca de ataques de inyección de indicaciones indirectas—comandos ocultos incrustados en sitios web que esperan a que un agente de IA los lea y luego siga las órdenes. Encontraron un aumento del 32% en casos maliciosos entre noviembre de 2025 y febrero de 2026. Los atacantes incrustan instrucciones en una página web de formas invisibles para los humanos: texto reducido a un solo píxel, texto casi transparente, contenido oculto en secciones de comentarios HTML, o comandos enterrados en los metadatos de la página. La IA lee el HTML completo. El humano no ve nada.

La mayor parte de lo que Google encontró era de bajo nivel—bromas, manipulación de motores de búsqueda, intentos de impedir que los agentes de IA resuman contenido. Por ejemplo, había algunos indicios que intentaban decirle a la IA que “Tuitee como un pájaro.” Pero los casos peligrosos son otra historia. Un caso instruyó al LLM a devolver la dirección IP del usuario junto con sus contraseñas. Otro intentó manipular a la IA para que ejecutara un comando que formatea la máquina del usuario de IA.

Pero otros casos son borderline criminales.

Investigadores de la firma de ciberseguridad Forcepoint publicaron un informe casi simultáneamente, y encontraron payloads que iban más allá. Uno incrustaba una transacción de PayPal completamente especificada con instrucciones paso a paso dirigidas a agentes de IA con capacidades de pago integradas, usando también la famosa técnica de “ignorar todas las instrucciones previas” para jailbreak.

Un segundo ataque utilizó una técnica llamada “inyección de espacio de nombres de metaetiquetas” combinada con una palabra clave amplificadora de persuasión para dirigir pagos mediadas por IA hacia un enlace de donación de Stripe. Un tercero parecía diseñado para explorar qué sistemas de IA son realmente vulnerables—reconocimiento previo a un ataque mayor. Este es el núcleo del riesgo empresarial. Un agente de IA con credenciales de pago legítimas, ejecutando una transacción que lee en un sitio web, produce registros que parecen idénticos a las operaciones normales. No hay inicio de sesión anómalo. No hay fuerza bruta. El agente hizo exactamente lo que estaba autorizado a hacer—simplemente recibió sus instrucciones de la fuente equivocada. El ataque CopyPasta documentado en septiembre pasado mostró cómo las inyecciones de indicaciones podían propagarse a través de herramientas de desarrollo ocultándose en archivos “readme”. La variante financiera es el mismo concepto aplicado al dinero en lugar de código—y con un impacto mucho mayor por cada golpe exitoso. Como explica Forcepoint, una IA de navegador que solo puede resumir contenido es de bajo riesgo. Una IA con capacidades de agente que puede enviar correos electrónicos, ejecutar comandos en terminal o procesar pagos es una categoría de objetivo completamente diferente. La superficie de ataque escala con el privilegio.  Ni Google ni Forcepoint encontraron evidencia de campañas sofisticadas y coordinadas. Forcepoint sí señaló que las plantillas de inyección compartidas en múltiples dominios “sugieren herramientas organizadas en lugar de experimentación aislada”—lo que significa que alguien está construyendo infraestructura para esto, incluso si aún no la han desplegado completamente.

Pero Google fue más directo: El equipo de investigación dijo que espera que tanto la escala como la sofisticación de los ataques de inyección de indicaciones indirectas crezcan en un futuro cercano. Los investigadores de Forcepoint advierten que la ventana para adelantarse a esta amenaza se está cerrando rápidamente. La cuestión de la responsabilidad es la que nadie ha respondido. Cuando un agente de IA con credenciales aprobadas por la empresa lee una página web maliciosa e inicia una transferencia fraudulenta de PayPal, ¿quién es el responsable? ¿La empresa que desplegó el agente? ¿El proveedor del modelo cuyo sistema siguió la instrucción inyectada? ¿El propietario del sitio web que alojó el payload, consciente o no? Actualmente no existe un marco legal que cubra esto. Es un área gris aunque el escenario ya no es solo teórico, ya que Google encontró los payloads en la naturaleza en febrero pasado. El Proyecto Abierto de Seguridad en Aplicaciones Mundiales clasifica la inyección de indicaciones como LLM01:2025—la vulnerabilidad más crítica en las aplicaciones de IA. El FBI rastreó casi $900 millones en pérdidas por estafas relacionadas con IA en 2025, su primer año registrando la categoría por separado. Los hallazgos de Google sugieren que los ataques financieros más específicos y dirigidos a agentes apenas están comenzando. El aumento del 32% medido entre noviembre de 2025 y febrero de 2026 solo cubre páginas públicas estáticas. El contenido en redes sociales, contenido con muro de inicio de sesión y sitios dinámicos quedaron fuera del alcance. La tasa de infección real en toda la web probablemente sea mayor.