El navegador agéntico de Perplexity, Comet, tiene vulnerabilidades de seguridad

Los investigadores de seguridad de LayerX descubrieron que es vulnerable a CometJacking

CometJacking convierte a Comet de Perplexity en una amenaza interna. Captura de pantalla: The Hacker News en X

La investigación llevada a cabo por LayerX mostró cómo los atacantes pueden realizar ataques CometJacking en Comet con el clic de una URL maliciosa.

En su investigación, descubrieron cómo una sola URL maliciosa, sin contenido de página malicioso, podría permitir a un atacante acceder a datos sensibles que han sido expuestos en el navegador Comet. Durante un ataque CometJacking, cuando se hace clic en el enlace malicioso, los comandos ocultos en la URL ordenan a la IA de Comet que acceda a la memoria del usuario y codifique los datos utilizando base64 antes de enviarlos a los servidores del atacante.

Por ejemplo, si un usuario pide a Comet que edite un correo electrónico o programe una cita en el calendario, los metadatos pueden ser filtrados al atacante. Lo preocupante es que para que se produzca el ataque, el usuario sólo tiene que hacer clic en el enlace malicioso, que puede enviarse por correo electrónico o aparecer en una página web, por ejemplo.

Si te interesa ver cómo sucede, echa un vistazo a los ataques de prueba de concepto de LayerX en YouTube.

Dado que los agentes de IA realizan tareas y operan con todos los privilegios del usuario a través de sesiones autenticadas, estos ataques podrían tener consecuencias aterradoras. Piénsalo: el agente de IA tiene acceso a realizar tareas como reservar vuelos, escribir y enviar correos electrónicos y hacer pedidos a Amazon. Así que si haces clic en un enlace convertido en arma, podría ser desastroso. Sin que lo sepas, podría exponer tus datos sensibles de Comet al atacante, que puede extraerlos y exfiltrarlos.

LayerX informó de sus hallazgos el 27 de agosto de 2025, pero Perplexity los clasificó como “sin impacto en la seguridad”.

Activa la privacidad con un solo clic.

Get

Una razón más para evitar Comet: Riesgos para los datos y la privacidad

Los dos mayores riesgos para tu privacidad cuando utilizas Perplexity Comet son el amplio acceso que tiene a tus datos y cómo las vulnerabilidades de seguridad que se han encontrado podrían conducir a la exposición o acceso a los datos. Cuando concedes a una IA acceso a los servicios que utilizas, tu privacidad está en peligro, pero los riesgos se agravan aún más cuando utilizas Comet debido a sus fallos de seguridad.

Por ejemplo, si permites que el navegador Comet de Perplexity acceda a tu correo electrónico, tu buzón deja de ser privado. Lo mismo ocurre si utilizas un redactor de correo electrónico de IA. El navegador agéntico necesita acceder a tus cuentas y servicios para poder ejecutar tareas como el envío de correos electrónicos y la compra de productos. Dado el amplio acceso que requiere el navegador de IA, es esencial que el navegador Comet tenga una seguridad robusta, pero aquí es exactamente donde la nueva herramienta no brilla. El navegador Comet no es seguro.

Perplexity Comet también tiene grandes planes para recopilar datos de los usuarios, y su CEO ni siquiera intenta ocultarlo:

Esa es otra de las razones por las que queríamos construir un navegador, queremos obtener datos incluso fuera de la aplicación para entenderte mejor”.

Planeamos utilizar todo el contexto para construir un mejor perfil de usuario y, tal vez ya sabes, a través de nuestro feed de descubrimiento podríamos mostrar algunos anuncios allí”.

Esto fue lo que dijo el CEO de Perplexity, Aravind Srinivas, en una entrevista para el podcast TBPN. En la entrevista, Srinivas admitió que la razón por la que la empresa estaba pasando de la inteligencia artificial a los navegadores es para recopilar datos de los usuarios sobre todo lo que hacen fuera de su aplicación con el fin de vender anuncios dirigidos. Si este tipo de modelo de negocio le resulta familiar, es porque se trata de un enfoque empresarial similar al de Chrome de Google: ofrecer un servicio gratuito, rastrear a los usuarios, vender sus datos y ofrecerles anuncios personalizados.

Activa la privacidad con un solo clic.

Get

Teniendo en cuenta cómo recopilan y procesan tus datos otros navegadores de las grandes tecnológicas, no es de extrañar que Srinivas expresara que Perplexity quería crear un navegador para recopilar más datos. Pero Comet, el navegador agéntico diseñado para aprender cómo piensas y qué haces en cada sitio, pone en peligro tus datos debido a sus fallos de seguridad.

Y lo que es más preocupante, Perplexity no se detiene en la recopilación de datos de los usuarios fuera del navegador Comet: aún quiere más. En agosto de 2025, Perplexity AI presentó una oferta pública de adquisición de Google Chrome por valor de 34.500 millones de dólares, durante el juicio antimonopolio contra Google en el que el Departamento de Justicia de EE.UU. alegó que Google era un monopolista en las búsquedas. En aquel momento, un portavoz de Perplexity dijo a la BBC que Perplexity quería comprar el navegador Chrome de Google y que la oferta propuesta marcaba un “importante compromiso con la web abierta, la elección del usuario y la continuidad para todos los que han elegido Chrome”, pero dada la descarada honestidad de su CEO sobre sus tácticas empresariales, es más creíble que la empresa de IA adquiriera Chrome por una única razón: el acceso a los datos de los usuarios, la mina de oro de toda empresa de IA.

Reflexiones finales: Cíñete a lo que conoces

Sí, la IA es el nuevo hype y puede ser útil, pero al mismo tiempo, necesitas preguntarte si realmente vale la pena tener un navegador con IA que podría potencialmente caer en riesgo de exponer tus datos personales o secuestrar tus cuentas porque hiciste clic en un enlace malicioso o la IA fue engañada.

Para nosotros en Tuta, la respuesta es un gran NO.

Quédate con lo que conoces, y si estás buscando un navegador seguro, consulta nuestra guía aquí.