Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1993
)
-
▼
marzo
(Total:
501
)
-
Vendedor de eBay recibe de vuelta una ZOTAC RTX 50...
-
Un modder convierte una Xbox en un PC para juegos:...
-
"Tu DNI en venta por menos de 4 dólares"
-
Caja PC con todo Noctua con la Antec Flux Pro (Caj...
-
Fan Control, pwmConfig y lm_sensors para configura...
-
Spotify activa la función "Modo exclusivo" para au...
-
SSD de 16TB cuesta casi 16.000$
-
CHUWI no está sola, Ninkear también usa procesador...
-
La IA china DeepSeek V4 se habría dejado ver antes...
-
CVE-2026-3888 en Ubuntu: escalada a root aprovecha...
-
FiltraciónNet amplía operaciones de ransomware con...
-
Vulnerabilidad crítica en Telnetd permite a atacan...
-
El mejor emulador de PS4 se actualiza: ShadPS4 rec...
-
Exposición de servidor de FancyBear revela credenc...
-
Vulnerabilidad en ScreenConnect permite extraer cl...
-
Nuevas campañas de malware convierten dispositivos...
-
Vulnerabilidad en WebKit de Apple permite eludir c...
-
El Ryzen 5 5500 se convierte en el procesador más ...
-
DLSS 5 no es un simple filtro para las caras: mejo...
-
Adobe forja una alianza con NVIDIA en un intento d...
-
Comprar por Internet es ahora más peligroso debio ...
-
Intel Xeon 6 elegido como CPU anfitrión para los s...
-
Nvidia presenta la bandeja Rubin Ultra, la primera...
-
Microsoft encuentra al culpable (y la solución) de...
-
El POD Vera Rubin de Nvidia con 60 exaflops: cómo ...
-
NVIDIA DLSS 5 explicado en 12 preguntas y respuest...
-
Intel apunta a hacerse de oro con la IA: packaging...
-
El cable Titanload Pro alcanza una temperatura has...
-
Google advierte que los actores de ransomware camb...
-
Jensen Huang dice que los jugadores están "complet...
-
Glassworm infecta paquetes populares de React Nati...
-
Vulnerabilidad en sistemas Ubuntu Desktop permite ...
-
El Bloc de notas de Windows 11 está a punto de cam...
-
El superordenador más potente del mundo dedicado a...
-
ASUS presenta los ROG Strix de 2026, máximo nivel ...
-
Vulnerabilidad crítica de inyección SQL en FortiCl...
-
Vulnerabilidad 'RegPwn' en el Registro de Windows ...
-
ASRock lanza placa base Frankenstein con un slot D...
-
Microsoft prevé comercializar cables MicroLED para...
-
VENON: primer RAT brasileño en Rust
-
Hasta 100 videollamadas al día: el inquietante tra...
-
Senadores de EE.UU. piden a ByteDance cerrar su ge...
-
China muestra un nuevo robot humanoide jugando al ...
-
Intel presenta los procesadores Core Ultra 200HX P...
-
Windows 11 permitirá a los usuarios elegir libreme...
-
La botnet RondoDox amplía a 174 exploits usando in...
-
Panasonic desbordada por la demanda pide disculpas...
-
Nuevo ransomware 'Payload' usa cifrado al estilo B...
-
Aficionado de Airflow imprime en 3D 15 miniventila...
-
Para acceder al disco duro más pequeño del mundo u...
-
NVIDIA Vera: Así es la primera CPU del mundo diseñ...
-
Extensión Open VSX con puerta trasera usó descarga...
-
Creative anuncia una nueva tarjeta de sonido inter...
-
8BitDo lanza un mando inalámbrico inspirado en Nin...
-
Rusia crea su primera CPU «Irtysh» usando la arqui...
-
MSI entra en situación de alarma por la crisis de ...
-
Europa podría "adoptar" a Anthropic para desarroll...
-
Pokémon GO anuncia un "modelo geoespacial a gran e...
-
Nvidia anuncia el módulo espacial Vera Rubin — has...
-
Nvidia presenta DLSS 5 para mayor fidelidad visual...
-
Descargas falsas de FileZilla propagan infecciones...
-
Apple presenta, por sorpresa, los AirPods Max 2
-
IBM descubre 'Slopoly', un probable malware genera...
-
Qihoo 360 filtró su propia clave privada SSL comod...
-
ChatGPT suma un nuevo enemigo: la Enciclopedia Bri...
-
Apple lanzó actualizaciones de emergencia para iOS...
-
Cada vez más empresas pagan rescates tras ciberata...
-
SUSE Linux a la venta y corre el peligro de perder...
-
World of Tanks apuesta por Mafia en su nuevo Pase ...
-
El conflicto en Irán retrasa el proyecto del cable...
-
Irán pinta helicópteros en el suelo y hace desperd...
-
AMD mejora el HDR en Linux y parte del código se e...
-
Las autoridades desmantelan servicio proxy malicio...
-
La consola portátil ROG Xbox Ally X recibirá un im...
-
Escándalo de fraude en CPU: otro portátil chino co...
-
El Departamento de Justicia desmantela una botnet ...
-
Paquetes npm maliciosos se hacen pasar por Solara ...
-
Android 17 traerá un cambio de seguridad que podrí...
-
Un clásico de arcade de 40 años, el matamarcianos ...
-
Así sería Windows 7 en 2026: un diseñador imagina ...
-
OpenAI implementará la generación de vídeo Sora en...
-
Experto en reparación de GPU advierte sobre los pe...
-
Cuántas pilas necesitas para que un PC pueda funci...
-
Microsoft añadirá Gaming Copilot a las consolas Xb...
-
Los trucos de la OCU para "adelgazar" tu WhatsApp ...
-
Cambia la batería de su coche eléctrico por 500 va...
-
Microsoft publica un hotpatch fuera de banda en Wi...
-
GIGABYTE amplía sus mini-PCs BRIX con las últimas ...
-
Comparan MacBook Neo con portátiles baratos Window...
-
Qué significa USB4 y por qué es tan importante a l...
-
Declaración conjunta oficial de autoridades Argent...
-
MSI planea subir un 30% los precios de productos g...
-
Xbox One ha sido hackeda, pero el objetivo no es l...
-
Memoria gráfica: qué es, qué hace y cuánta necesitas
-
Así funciona Winhance, la herramienta gratuita que...
-
GIMP 3.2 llega con capas no destructivas, mejoras ...
-
NVIDIA usa una estrategia para conseguir mejores p...
-
Archivo de videojuegos de 385 TB salvado por fans
-
Google activa una función de 2021 para mejorar el ...
-
Trabajadores de ASML siguen sin claridad siete sem...
-
-
▼
marzo
(Total:
501
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Winhance es una herramienta gratuita que elimina el 'bloatware' de Windows 10 y 11 , optimizando el rendimiento del PC al limpiar... -
Los expertos recomiendan dejar de usar las DNS predeterminadas del router para mejorar la seguridad , evitar el control del ISP y optimizar... -
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que...
El navegador Comet de Perplexity secuestrado mediante invitación de calendario para filtrar datos sensibles
Una invitación envenenada de Google Calendar es todo lo que se necesita para convertir en un arma el navegador Comet de Perplexity. Investigadores de seguridad de Zenity Labs han descubierto una vulnerabilidad crítica, denominada PerplexedBrowser, que engaña al agente de IA de Comet para que lea archivos locales y robe credenciales. Este ataque de cero clics solo requiere que el usuario pida al agente que gestione una invitación rutinaria de reunión.
Una invitación envenenada de Google Calendar es todo lo que se necesita para convertir en un arma al navegador Comet de Perplexity. Investigadores de seguridad de Zenity Labs han descubierto una vulnerabilidad crítica, denominada PerplexedBrowser, que engaña al agente de IA de Comet para que lea archivos locales y robe credenciales.
Este ataque de cero clics solo requiere que el usuario pida al agente que gestione una invitación rutinaria a una reunión, exponiendo un fallo fundamental en cómo los navegadores agenticos procesan datos no confiables.
El exploit funciona como un flujo continuo dentro del agente de Comet, completamente oculto para el usuario.
Todo comienza cuando un atacante envía una invitación plausible de Google Calendar. Debajo de los detalles visibles de la reunión, grandes bloques de espacio en blanco ocultan elementos HTML falsos y un bloque <system_reminder> que imita las instrucciones internas de Comet.
Cuando el usuario le pide al navegador que acepte la reunión, ocurre una “Colisión de Intenciones”: el agente fusiona la solicitud legítima del usuario con la carga oculta del atacante.
| Característica | Detalles |
|---|---|
| Vulnerabilidad | PerplexedBrowser (familia “PleaseFix”) |
| Producto afectado | Navegador Perplexity Comet (macOS, Windows, Android) |
| Gravedad | P1 (crítica en Bugcrowd) |
| Vector de ataque | Instrucciones maliciosas ocultas en una invitación de Google Calendar |
| Impacto | Exfiltración de archivos locales, robo de credenciales de 1Password |
Según investigaciones de Awesome Agents y Zenity Labs, las instrucciones inyectadas obligan en secreto a Comet a visitar un sitio web controlado por el atacante en segundo plano.
Para eludir los controles de seguridad centrados en el inglés, este sitio malicioso entrega instrucciones secundarias en hebreo.
Presentando el recorrido de archivos como un juego, el agente es dirigido a acceder a URLs file://, leyendo archivos de configuración sensibles y claves API.
Finalmente, Comet incrusta estos datos robados en una URL y navega hacia el servidor del atacante, exfiltrando los archivos al instante.
El ataque se vuelve aún más destructivo si el usuario tiene una extensión de 1Password desbloqueada.
Comet puede buscar en la bóveda de contraseñas, extraer entradas individuales e intentar cambiar la contraseña maestra.
Aunque la autenticación multifactor evita la toma completa de cuentas, los secretos individuales y las claves API quedan completamente expuestos.
Un patrón de vulnerabilidades estructurales
| Vulnerabilidad | Vector de ataque | Impacto |
|---|---|---|
| CometJacking | Inyección de prompts basada en URLs | Exfiltración de datos de memoria y servicios conectados |
| API MCP oculta | API MCP no documentada | Ejecución arbitraria de comandos |
| Inyección en Reddit | Instrucciones ocultas en prompts | Robo de correos y códigos OTP |
| UXSS | Configuración incorrecta de extensiones | Acciones arbitrarias en el navegador |
| Exfiltración por comprobación de seguridad | Abuso de protecciones de IA | Exfiltración de datos internos |
PerplexedBrowser es la sexta gran falla de seguridad encontrada en Comet desde su lanzamiento en julio de 2025. Problemas anteriores incluyen CometJacking, una API MCP oculta que permitía ejecución de comandos.
Además, los investigadores identificaron vulnerabilidades de inyección de prompts entregadas a través de comentarios maliciosos en Reddit.
Zenity reportó esta última vulnerabilidad en octubre de 2025. Sin embargo, Perplexity tardó 120 días y dos parches separados en implementar un bloqueo a nivel de código para el acceso file://.
Michael Bargury, CTO de Zenity, enfatizó que este es un fallo estructural inherente en los sistemas agenticos, no solo un simple error de software.
Dado que los modelos de lenguaje grande procesan comandos de usuario confiables y contenido web no confiable en el mismo flujo de tokens, no pueden distinguirlos de manera fiable.
El reconocido experto en seguridad de IA Simon Willison respaldó esta preocupación, sugiriendo que el concepto mismo de una extensión de navegador agentico podría estar fatalmente defectuoso.
Hasta que surjan soluciones arquitectónicas, se recomienda mantener los gestores de contraseñas bloqueados y limitar estrictamente el acceso del agente a dominios sensibles.
Fuentes:
https://cybersecuritynews.com/perplexitys-comet-browser-hijacked/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.