La ceguera de EDR, Email y SASE ante ataques al navegador

La mayoría del trabajo empresarial actual se realiza directamente en el navegador. Las aplicaciones SaaS, los proveedores de identidad, las consolas de administración en la nube y las herramientas de inteligencia artificial han transformado al navegador en la interfaz principal para acceder a información crítica, gestionar operaciones y ejecutar procesos estratégicos.

Desde plataformas de colaboración hasta sistemas financieros, recursos humanos y herramientas de desarrollo, el navegador se ha convertido en el entorno de ejecución real del negocio digital. Sin embargo, este cambio profundo no ha sido acompañado por una evolución equivalente en las arquitecturas de seguridad empresarial.

Una brecha creciente en las arquitecturas de seguridad

A pesar de su importancia, el navegador sigue siendo un componente periférico dentro de la mayoría de las estrategias de ciberseguridad. La detección y la investigación continúan enfocándose en los endpoints, la red y el correo electrónico, es decir, en las capas que rodean al navegador, pero no en lo que sucede dentro de él.

Esta desconexión genera un problema crítico. Cuando se producen ataques dirigidos a empleados, los equipos de seguridad suelen tener dificultades para responder a una pregunta fundamental: ¿qué ocurrió realmente dentro del navegador?

Esa falta de visibilidad no es menor. Define una nueva clase de amenazas modernas que explotan precisamente aquello que no se observa.

El navegador como "refugio seguro" para los atacantes

En Keep Aware hemos identificado este fenómeno como un problema de refugio seguro para atacantes. El navegador se ha convertido en el nuevo punto central de fallo, no porque carezca de controles, sino porque carece de observabilidad profunda.

Durante 2025 y entrando en 2026, se han observado ataques dirigidos exclusivamente al navegador que dejan poca o ninguna evidencia tradicional. No hay malware descargado, no se ejecutan exploits y no se activan alertas clásicas. El ataque ocurre mediante interacciones legítimas del usuario, invisibles para la mayoría de las herramientas de seguridad.

Ataques al navegador observados en 2026

Los ataques basados únicamente en navegador no dependen de una sola técnica. Su complejidad radica en que múltiples vectores convergen en la misma brecha de visibilidad.

ClickFix e ingeniería social basada en la interfaz

Uno de los vectores más relevantes en 2025 y 2026. Los usuarios son inducidos por mensajes falsos del navegador o interfaces manipuladas a copiar, pegar o enviar información sensible por sí mismos. No se entrega ninguna carga maliciosa: solo acciones normales del usuario que apenas dejan rastros investigables.

Extensiones de navegador maliciosas

Extensiones aparentemente legítimas se instalan de forma intencionada y operan de manera silenciosa. Observan el contenido de las páginas, interceptan formularios o exfiltran datos. Desde la perspectiva del endpoint o la red, el comportamiento parece completamente normal, lo que dificulta enormemente su detección.

Ataques de Hombre en el Navegador (MitB, AitB, BitB)

Estos ataques no comprometen sistemas, sino sesiones activas. El usuario introduce sus credenciales correctamente, aprueba el MFA y los registros confirman una sesión válida. Sin embargo, no existe forma de saber si la interacción fue manipulada o superpuesta por un atacante.

Contrabando de HTML

El contenido malicioso se ensambla dinámicamente dentro del navegador mediante JavaScript. Esto permite evitar los puntos tradicionales de descarga, inspección y sandboxing. El navegador renderiza el contenido sin generar eventos de seguridad relevantes.

Por qué EDR, correo electrónico y SASE no detectan estos ataques

Esta situación no es consecuencia de errores humanos o fallos tecnológicos, sino del diseño original de estas herramientas.

• EDR se enfoca en procesos, archivos y memoria del endpoint.
• La seguridad del correo electrónico rastrea enlaces, archivos adjuntos y entregas.
• SASE y proxies aplican políticas sobre el tráfico de red.

Ninguna de estas soluciones está diseñada para comprender la interacción del usuario dentro del navegador: clics, pegado de datos, cargas manuales o autorizaciones.

Cuando el navegador se convierte en el entorno de ejecución principal, la prevención y la detección pierden contexto. Las acciones pueden permitirse o bloquearse, pero sin entender qué ocurrió realmente, las investigaciones quedan incompletas y las políticas se vuelven rígidas e ineficientes.

Qué revela la investigación Own the Browser

Esta brecha no se limita a un navegador específico ni a un modelo de despliegue concreto. Como parte de Own the Browser, una iniciativa de investigación neutral respecto al proveedor, se evaluaron más de 20 navegadores convencionales, empresariales y nativos de IA.

El hallazgo clave no fue la ausencia de controles, sino la falta de comportamiento observable del que esos controles pudieran aprender. Las políticas existen, pero no hay visibilidad estructurada que conecte dichas políticas con el uso real del usuario.

La inteligencia artificial amplía el problema

La adopción masiva de herramientas como ChatGPT, Claude y Gemini ha normalizado acciones como copiar, pegar, subir y resumir información sensible directamente en el navegador. Los navegadores nativos de IA, asistentes integrados y extensiones reducen aún más la fricción.

Desde el punto de vista del control, esta actividad parece legítima. Desde el punto de vista de la seguridad, evaluar el riesgo sin contexto es extremadamente complejo.

Sin observabilidad a nivel de navegador, los equipos no pueden adaptar sus políticas a la realidad operativa, y la prevención queda rápidamente obsoleta frente a flujos de trabajo impulsados por IA.

Cómo cambia la seguridad con observabilidad del navegador

Cuando la actividad del navegador se vuelve observable, la seguridad mejora de forma significativa. Los equipos pueden establecer controles más precisos, prevenir acciones riesgosas en tiempo real y preservar evidencia detallada para investigaciones.

La detección mejora porque el comportamiento se evalúa en contexto. La respuesta mejora porque los incidentes pueden reconstruirse con precisión. Las políticas evolucionan porque se basan en el uso real, no en suposiciones.

Esto crea un ciclo continuo de mejora donde la observabilidad alimenta la prevención y reduce el riesgo de forma sostenida.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login