Durante mucho tiempo, el debate sobre seguridad en inteligencia artificial avanzó por dos caminos separados. Por un lado, los laboratorios advertían sobre la inyección indirecta de prompts, una técnica que permite ocultar instrucciones dañinas dentro de sitios web, correos electrónicos o documentos para que la inteligencia artificial ejecute órdenes no autorizadas al procesarlos. Por el otro, las empresas lanzaban agentes capaces de navegar, comprar y responder correos de forma autónoma. Lo primero parecía teoría académica; lo segundo, un futuro inevitable. Nadie conectaba los puntos.
El 23 de abril, Google unió esos caminos. Y el resultado cambia la narrativa.
El Threat Intelligence Group, en colaboración con el equipo de DeepMind, se propuso escanear la web abierta en busca de inyecciones ya implementadas. No en entornos controlados: en sitios reales. Para ello utilizaron Common Crawl, el archivo público que publica capturas mensuales de entre 2.000 y 3.000 millones de páginas en inglés. El informe fue firmado por Thomas Brunner, Yu-Han Liu y Moni Pande.
El laboratorio se trasladó a la web real
La pregunta del equipo era sencilla: si los artículos académicos describen el ataque desde hace tiempo, ¿alguien lo está utilizando en la práctica? La respuesta es afirmativa.
Los investigadores clasificaron las inyecciones en seis categorías. Desde bromas inofensivas que ordenan al chatbot resumir contenido imitando a un personaje de dibujos animados, hasta guías dirigidas a los resúmenes generados por inteligencia artificial. También hallaron optimización para buscadores, donde el sitio le susurra al asistente que lo recomiende por encima de la competencia. Otra categoría es la disuasión, con mensajes como si eres una IA, no leas esta página, incluyendo una variante que lleva al agente a una página que transmite texto infinito y nunca termina de cargar.
Las dos categorías más alarmantes son las últimas: exfiltración de datos y destrucción. La primera busca que el asistente filtre información del usuario; la segunda, que ejecute comandos para borrar archivos en el dispositivo donde corre el agente.
Google aclara que la sofisticación detectada hasta ahora es baja. La mayoría parecen experimentos individuales, no operaciones a gran escala. Sin embargo, hay un dato que merece leerse dos veces.
El 32% no es casualidad: es una tendencia
Entre noviembre de 2025 y febrero de 2026, los analistas repitieron el escaneo sobre versiones sucesivas del archivo. La categoría maliciosa creció un 32% en términos relativos en esos tres meses. El informe describe esto como una tendencia ascendente que sugiere un interés creciente en este vector de ataque.
Tres meses no bastan para establecer una serie histórica. Pero el sentido económico de la curva sí lo hace. Los sistemas de inteligencia artificial actuales son mucho más capaces, lo que los convierte en objetivos más valiosos. Los actores hostiles han comenzado a automatizar sus operaciones con IA agéntica, lo que reduce el costo de atacar. Google anticipa que tanto la escala como la sofisticación aumentarán en el futuro cercano.
Traducción: lo que antes era exótico y caro de explotar, ahora es barato. Y lo que era un blanco poco rentable, ahora vale la pena.
La industria vendía agentes asumiendo un riesgo teórico
Aquí entra la interpretación personal, porque el informe no la hace. Durante 2025 y lo que va de 2026, la conversación corporativa giró en torno a los agentes. Anthropic impulsó Claude Code y Claude en Chrome. OpenAI lanzó Operator. Google integró Gemini en el navegador. Microsoft renovó Copilot con capacidades agénticas. El agente lee tu correo, navega la web, completa formularios, realiza compras.
Toda esa narrativa descansaba sobre un supuesto implícito: que la inyección indirecta de prompts era un riesgo manejable, propio de papers académicos, sin manifestación en producción. El informe de Google derriba ese supuesto. El riesgo no está en el laboratorio; está en el archivo público de la web abierta, y está creciendo.
Common Crawl no incluye redes sociales porque omite sitios que requieren inicio de sesión. LinkedIn, Facebook, X y la mayoría de los espacios donde los agentes corporativos operarán quedaron fuera del barrido. Lo que Google muestra es solo la punta del iceberg.
Inteligencia artificial contra inteligencia artificial: el atacante también automatizó
Lo relevante no es la existencia de los ataques, sino quién los está fabricando. Los atacantes han comenzado a usar IA agéntica para automatizar sus operaciones, según el propio informe. El costo marginal de producir una nueva inyección, probarla contra modelos populares y replicarla en miles de sitios cae a casi cero.
La defensa sigue siendo costosa. Requiere equipos humanos de red team, programas de recompensas para investigadores, capas de filtrado y monitoreo continuo. Google describe esa inversión y la presenta como una ventaja competitiva. El problema es que la ventaja en defensa no escala al mismo ritmo que la economía del ataque.
Es la lógica perversa de toda transición tecnológica madura: el ofensor se beneficia del progreso técnico antes que el defensor. Sucedió con el spam, con el ransomware, con los deepfakes de voz. Ahora ocurre con los agentes.
El costo oculto lo paga el usuario, no el laboratorio
El escenario que describe el informe es uno donde el agente que un ejecutivo, un periodista o un contador deja corriendo en segundo plano se transforma en una superficie de ataque silenciosa. El asistente lee una página, la página le ordena algo que el dueño nunca aprobó, y el daño se consuma sin que aparezca una alerta del sistema. Bromas hoy, exfiltración mañana, comandos destructivos pasado mañana.
La industria no va a frenar el despliegue de agentes: la curva comercial es demasiado fuerte. Los modelos seguirán mejorando en capacidades antes que en defensas robustas contra contenido hostil, porque la capacidad vende y la defensa cuesta.
Pocas veces un actor de primer nivel publicó en su propio blog corporativo un dato que socava el discurso de adopción que la industria mantuvo durante todo 2025. Treinta y dos por ciento en tres meses, en la categoría maliciosa, dentro del único pedazo de internet que se deja escanear.
Quien todavía tratara este vector como un problema de paper, ya está corriendo detrás de la curva.
Fuente: Infobae