Según el nuevo Informe de seguridad del navegador 2025, los líderes de seguridad se están dando cuenta de que la mayoría de los riesgos relacionados con la identidad, SaaS y la IA se concentran en un solo lugar: el navegador del usuario. Sin embargo, los controles tradicionales como DLP, EDR y SSE todavía operan en una capa inferior.
Lo que se revela es más que un simple punto ciego. Esta es la superficie de amenazas paralelas, como extensiones no administradas que actúan como implantes de la cadena de suministro, herramientas GenAI a las que se accede a través de cuentas personales, datos confidenciales copiados y pegados directamente en campos de aviso y sesiones que omiten el SSO por completo.
Este artículo identifica los hallazgos clave del informe y lo que revelan sobre el cambiante locus de control en la seguridad empresarial.
GenAI es ahora el principal canal de extracción de datos
El auge de GenAI en los flujos de trabajo empresariales está creando una importante brecha de gobernanza. Casi la mitad de los empleados utilizan herramientas GenAI, pero la mayoría lo hace fuera de la visibilidad de TI y a través de cuentas no administradas.
Estadísticas clave del informe:
El 77% de los empleados pegan datos en solicitudes de GenAI. El 82% de esos pegados provienen de cuentas personales. El 40% de los archivos cargados contienen PII o PCI. GenAI representa el 32% de todos los movimientos de datos de empresa a personal.
Las herramientas DLP tradicionales no fueron diseñadas para esto. Los navegadores son el canal principal para copiar y pegar exfiltración, sin supervisión ni políticas.
Los navegadores con IA son una nueva superficie de amenaza
Otra superficie de amenaza emergente basada en navegadores son los navegadores de IA «agentes». Esto combina los riesgos de seguridad tradicionales de los navegadores con nuevas preocupaciones sobre el uso de la IA.
Los navegadores de IA como Atlas, Arc Search y Perplexity Browser de OpenAI están redefiniendo la forma en que los usuarios interactúan con la web, combinando búsqueda, chat y navegación en una experiencia inteligente. Estos navegadores integran modelos de lenguaje a gran escala directamente en la capa de navegación, lo que le permite leer, resumir y razonar sobre cualquier página o pestaña en tiempo real. Para los usuarios, esto significa productividad perfecta y asistencia sensible al contexto. Pero para las empresas, esto representa una nueva superficie de ataque que en gran medida no está supervisada. Es un «copiloto siempre activo» que monitorea y procesa silenciosamente todo lo que sus empleados pueden hacer, sin imponer políticas ni tener visibilidad de lo que se comparte con la nube.
Los riesgos son importantes y multifacéticos. Las fugas de memoria de sesión exponen datos confidenciales a través de la personalización impulsada por IA. Un «mensaje automático» invisible envía el contenido de la página a un modelo de terceros. Las cookies compartidas también desdibujan las líneas de identidad, abriendo la puerta al secuestro. Al carecer de barreras de seguridad de nivel empresarial, estos navegadores de IA eluden eficazmente las herramientas tradicionales de seguridad de navegador, DLP y SSE, creando una ruta de filtración de datos invisible y sin archivos. A medida que las organizaciones adoptan flujos de trabajo impulsados por GenAI y SaaS, comprender y abordar este nuevo punto ciego es fundamental para prevenir fugas de datos y compromisos de identidad de próxima generación.
Extensiones de navegador: la cadena de suministro más extendida y menos gestionada
El 99% de los usuarios empresariales tienen al menos una extensión instalada. Más de la mitad ha concedido privilegios elevados o significativos. Muchos son descargados o publicados por cuentas de Gmail sin verificación, actualizaciones ni responsabilidad.
De telemetría:
El 26% de las extensiones están descargadas. El 54% se publican en cuentas de Gmail. El 51% no se ha actualizado en más de un año. El 6% de las extensiones relacionadas con GenAI están clasificadas como maliciosas.
Esto ya no es un problema de productividad, sino una cadena de suministro de software no administrada integrada en cada terminal.
El gobierno de la identidad termina en el IdP. El riesgo comienza en su navegador.
Según el informe, más de dos tercios de los inicios de sesión se producen fuera del SSO y casi la mitad utilizan credenciales personales, lo que hace imposible que los equipos de seguridad sepan quién accede a qué y desde dónde.
romper:
El 68 % de los inicios de sesión corporativos se realizan sin SSO. El 43 % de los inicios de sesión SaaS utilizan cuentas personales. El 26 % de los usuarios reutilizan contraseñas en varias cuentas. El 8 % de las extensiones del navegador tienen acceso a los ID de los usuarios o a las cookies.
Ataques como Scattered Spider lo han demostrado. Los tokens de sesión del navegador son ahora el objetivo principal, en lugar de las contraseñas.
Las aplicaciones de mensajería y SaaS extraen en secreto datos confidenciales
Los flujos de trabajo que antes dependían de la carga de archivos se están trasladando al pegado basado en el navegador, indicaciones de IA y complementos de terceros. La mayor parte de esta actividad ahora ocurre en la capa del navegador en lugar de en la aplicación.
Comportamiento observado:
El 62% de los pegados en aplicaciones de mensajería contienen PII/PCI. El 87% de ellos ocurren a través de cuentas no corporativas. En promedio, los usuarios pegan 4 fragmentos confidenciales en herramientas no corporativas por día.
En incidentes como la filtración de Ripling/Deel, la infracción no involucró malware ni phishing, sino que se originó en una aplicación de chat no supervisada dentro del navegador.
Las herramientas tradicionales no fueron construidas para esta capa.
EDR es consciente del proceso. SSE es consciente del tráfico de la red. DLP escanea archivos. No hay nada que inspeccionar lo que sucede dentro de la sesión, como qué pestañas de SaaS están abiertas, qué datos se pegan o qué extensiones están inyectando scripts.
Los equipos de seguridad no lo saben:
Uso de Shadow AI y solicitudes Modificación de la actividad y el código de la extensión Cruce entre cuentas personales y corporativas Secuestro de sesión y robo de cookies
Por lo tanto, se necesitan nuevos enfoques para proteger los navegadores.
Los controles nativos de sesión son la próxima frontera
Para recuperar el control, los equipos de seguridad necesitan visibilidad nativa del navegador, la capacidad de operar a nivel de sesión sin interrumpir la experiencia del usuario.
Esto incluye:
Supervisar copiar/pegar y cargar entre aplicaciones Detectar herramientas y extensiones GenAI no administradas Aplicar aislamiento de sesión y SSO en todas partes Aplicar DLP a interacciones no basadas en archivos
Las plataformas de seguridad de navegadores modernas, como las que se describen a lo largo del informe, pueden proporcionar estos controles sin obligar a los usuarios a utilizar un nuevo navegador.
Lea el informe completo para ver qué puntos ciegos se está perdiendo
El Informe de seguridad del navegador 2025 proporciona datos valiosos sobre cómo los navegadores se han convertido en los puntos finales más críticos y vulnerables dentro de las empresas. Utilizando información de millones de sesiones reales de navegador, mapeamos dónde fallan los controles actuales y dónde comienzan las últimas infracciones.
Descargue el informe completo para descubrir qué falta en la gestión tradicional y qué están haciendo a continuación los principales CISO.
Source link
