El navegador agentic de Perplexity, Comet, tiene vulnerabilidades de seguridad

Los investigadores de seguridad de LayerX descubrieron que el navegador es vulnerable a CometJacking

CometJacking convierte a Comet de Perplexity en una amenaza interna. Captura de pantalla: The Hacker News en X

La investigación llevada a cabo por LayerX mostró cómo los atacantes pueden realizar ataques CometJacking en Comet con el clic de una URL maliciosa.

En su investigación, descubrieron cómo una sola URL maliciosa, sin contenido de página malicioso, podría permitir a un atacante acceder a datos sensibles que han sido expuestos en el navegador Comet. Durante un ataque CometJacking, cuando se hace clic en el enlace malicioso, los comandos ocultos en la URL ordenan a la IA de Comet que acceda a la memoria del usuario y codifique los datos utilizando base64 antes de enviarlos a los servidores del atacante.

Por ejemplo, si un usuario pide a Comet que edite un correo electrónico o programe una cita en el calendario, los metadatos pueden ser filtrados al atacante. Lo preocupante es que para que se produzca el ataque, el usuario sólo tiene que hacer clic en el enlace malicioso, que puede enviarse por correo electrónico o aparecer en una página web, por ejemplo.

Si te interesa ver cómo se produce, echa un vistazo a los ataques de prueba de concepto de LayerX en YouTube.

Los agentes de IA como los de Comet Browser pueden realizar tareas a través de sesiones autenticadas, pero esto también significa que los ataques contra ellos pueden tener graves consecuencias. Piénsalo: el agente de IA tiene acceso a realizar tareas como reservar vuelos, escribir y enviar correos electrónicos y hacer pedidos en Amazon. Así que si hace clic en un enlace malicioso, proporcionado por atacantes, podría ser desastroso. Sin que usted lo sepa, podría exponer sus datos sensibles de Comet al atacante, que podría extraerlos y utilizarlos.

LayerX informó de sus hallazgos el 27 de agosto de 2025, pero Perplexity clasificó los problemas como “sin impacto en la seguridad”.

Activa la privacidad con un solo clic.

Get

Una razón más para evitar Comet: Riesgos para los datos y la privacidad

Los dos mayores riesgos para tu privacidad cuando utilizas Perplexity Comet son el amplio acceso que tiene a tus datos y cómo las vulnerabilidades de seguridad que se han encontrado podrían conducir a la exposición o acceso a los datos. Cuando concedes a una IA acceso a los servicios que utilizas, tu privacidad está en peligro, pero los riesgos se agravan aún más cuando utilizas Comet debido a sus fallos de seguridad.

Por ejemplo, si permites que el navegador Comet de Perplexity acceda a tu correo electrónico, tu buzón deja de ser privado. Lo mismo ocurre si utilizas un redactor de correo electrónico de IA. El navegador agéntico necesita acceder a tus cuentas y servicios para poder ejecutar tareas como el envío de correos electrónicos y la compra de productos. Dado el amplio acceso que requiere el navegador de IA, es esencial que el navegador Comet tenga una seguridad robusta, pero aquí es exactamente donde la nueva herramienta no brilla. El navegador Comet no es seguro.

Perplexity Comet también tiene grandes planes para recopilar datos de los usuarios, y su CEO ni siquiera intenta ocultarlo:

Esa es otra de las razones por las que queríamos construir un navegador, queremos obtener datos incluso fuera de la aplicación para entenderte mejor”.

Planeamos utilizar todo el contexto para construir un mejor perfil de usuario y, tal vez ya sabes, a través de nuestro feed de descubrimiento podríamos mostrar algunos anuncios allí”.

Esto lo dijo el CEO de Perplexity, Aravind Srinivas, en una entrevista para el podcast TBPN. En la entrevista, Srinivas admitió que la razón por la que la empresa estaba pasando de la inteligencia artificial a los navegadores es para recopilar datos de los usuarios sobre todo lo que hacen fuera de su aplicación con el fin de vender anuncios dirigidos. Si este tipo de modelo de negocio le resulta familiar, es porque se trata de un enfoque empresarial similar al de Chrome de Google: ofrecer un servicio gratuito, rastrear a los usuarios, vender sus datos y ofrecerles anuncios personalizados.

Activa la privacidad con un solo clic.

Get

Teniendo en cuenta cómo recopilan y procesan tus datos otros navegadores de las grandes tecnológicas, no es de extrañar que Srinivas expresara que Perplexity quería crear un navegador para recopilar más datos. Pero Comet, el navegador agéntico diseñado para aprender cómo piensas y qué haces en cada sitio, pone en peligro tus datos debido a sus fallos de seguridad.

Y lo que es más preocupante, Perplexity no se detiene en la recopilación de datos de los usuarios fuera del navegador Comet: aún quiere más. En agosto de 2025, Perplexity AI presentó una oferta pública de adquisición de Google Chrome por valor de 34.500 millones de dólares, durante el juicio antimonopolio contra Google en el que el Departamento de Justicia de EE.UU. alegó que Google era un monopolista en las búsquedas. En aquel momento, un portavoz de Perplexity dijo a la BBC que Perplexity quería comprar el navegador Chrome de Google y que la oferta propuesta marcaba un “importante compromiso con la web abierta, la elección del usuario y la continuidad para todos los que han elegido Chrome”, pero dada la descarada honestidad de su CEO sobre sus tácticas empresariales, es más creíble que la empresa de IA adquiriera Chrome por una única razón: el acceso a los datos de los usuarios, la mina de oro de toda empresa de IA.

Reflexiones finales: Utiliza herramientas que respeten tus datos

Sí, la IA es el nuevo hype y puede ser útil, pero al mismo tiempo, necesitas preguntarte si realmente vale la pena tener un navegador con IA que potencialmente podría exponer tus datos personales o secuestrar tus cuentas porque hiciste clic en un enlace malicioso o la IA fue engañada.

Para nosotros, en Tuta, la respuesta es un rotundo NO.

Cíñete a lo que es de confianza, y si estás buscando un navegador seguro, echa un vistazo a nuestras recomendaciones aquí.