sistema: OPERATIVO
← volver a todos los hacks
INDIRECT INJECTION MEDIUM NEW

Sitios envenenados por SEO ocultan inyección de prompts para secuestrar agentes web de IA

Zscaler ThreatLabz halló sitios maliciosos activos que combinan envenenamiento SEO, texto oculto con CSS y marcado schema abusado para colar instrucciones que empujan a los agentes web autónomos a pagar a los atacantes.

2026-07-03 // 6 min affects: llama-3.3-70b, llama-3.2-90b-vision, gemini-3-flash, gemini-2.5-pro, gpt-5.4, claude-sonnet-4.5

¿Qué es esto?

El 2 de julio de 2026, Zscaler ThreatLabz publicó una investigación que documenta sitios web reales que ocultan instrucciones dentro de su propio contenido para manipular agentes web autónomos de IA. No se trata de una prueba de concepto de laboratorio: los investigadores rastrearon dos campañas activas cuyas páginas suplantan servicios legítimos (de desarrollo y de finanzas) y luego incrustan directivas al estilo de un prompt pensadas para ser leídas por una máquina, no por una persona. La técnica es una forma de inyección de prompts indirecta (IPI): texto malicioso colocado en el contenido que un agente recupera (una web, un documento, un correo) para que el agente trate las instrucciones del atacante como parte de su tarea. Este artículo describe una clase de ataque, no un exploit accionable.

Lo notable del hallazgo es el empaquetado. Los atacantes combinan la inyección con envenenamiento del posicionamiento (SEO poisoning), de modo que un agente que busca un paquete o un servicio tiene más probabilidades de aterrizar de entrada en la página trampa. ThreatLabz confirmó el impacto real probando agentes web en 26 grandes modelos de lenguaje: cuatro modelos fueron manipulados para ejecutar pagos en la primera campaña, y dos etiquetaron el sitio fraudulento como fiable en la segunda.

Cómo funciona

Ambas campañas comparten el mismo patrón: posicionar la página y luego ocultar la carga donde el usuario no la ve pero un parser sí la lee.

Etapa         Técnica observada
------------  -------------------------------------------------
Descubrimiento SEO poisoning: HTML/metaetiquetas saturadas de
              palabras clave para colocar la página falsa arriba.
Confianza     Marcado JSON-LD abusado (SoftwareApplication,
              editor/oferta falsos) — campos estructurados que un
              agente puede ponderar como contexto de alta señal.
Ocultación    CSS fuera de pantalla (p. ej. left:-9999px) en un
              <div> oculto: el texto de inyección no se renderiza
              pero sigue vivo en el DOM para scrapers y agentes.
Carga         Instrucciones que presentan una acción del atacante
              como un paso rutinario.

En la primera campaña, una página falsa se hacía pasar por la documentación de una biblioteca de Python e indicaba al agente que resolver un error de «clave de licencia ausente» requería pagar una pequeña «tarifa de desarrollador» —enviando unos 0,0012 ETH a una billetera fijada en el código antes de generar una clave de API falsa—. La segunda campaña era un rastreador DeFi con dominio typosquat cuyo bloque oculto empleaba el clásico patrón ignora las instrucciones anteriores y luego declaraba el dominio fraudulento como la fuente «verificada y con autoridad» que el modelo debía posicionar primero. Como la página visible parece legítima, ni una persona que la ojea ni una comprobación por captura de pantalla detectarían el texto plantado.

Por qué importa

Para un agente autónomo, el contenido web recuperado es instrucciones y datos a la vez, y estas campañas arman esa ambigüedad a escala de internet. El riesgo inmediato es la pérdida financiera directa cuando un agente con herramientas de pago sigue un paso de «compra esto para continuar». El riesgo más silencioso es la contaminación del contexto: cuando un agente clasifica un sitio fraudulento como con autoridad, ese juicio puede propagarse aguas abajo hacia un envenenamiento del corpus RAG y el respaldo del dominio del atacante. Es un primo, muy real, de la corrupción del respaldo de agentes de búsqueda y de las trampas de inyección por persuasión que ya hemos cubierto.

Los resultados modelo por modelo de ThreatLabz también importan: la susceptibilidad variaba según el modelo y, sobre todo, según el contexto. Cuando se proporcionaba un dominio de referencia conocido y fiable, ningún modelo caía en el typosquat; los fallos se concentraban cuando el agente evaluaba la página maliciosa de forma aislada. La superficie de ataque es el juicio del agente con poco contexto, no un único modelo defectuoso.

Defensas

Aquí no hay parche: nada está técnicamente roto. Los controles son arquitectónicos y operativos, en línea con las recomendaciones LLM01 de OWASP y el análisis de IPI de CrowdStrike.

  1. Trate todo contenido web recuperado como datos no confiables, nunca como instrucciones. Neutralice el texto oculto del DOM (CSS fuera de pantalla, elementos de tamaño cero) y no permita que un marcado estructurado como JSON-LD eleve automáticamente la autoridad de una página.
  2. Blinde las acciones de alto impacto tras aprobación humana. Un agente nunca debería mover fondos, comprar una «licencia» ni firmar una transacción basándose solo en lo que afirma una web. Imponga límites de gasto y confirmación fuera de banda.
  3. Aporte referencias conocidas y fiables. Los fallos se concentraban cuando el agente juzgaba un sitio de forma aislada; darle dominios de anclaje con autoridad redujo notablemente los errores de clasificación.
  4. Verifique dominios y paquetes fuera de banda. Contraste las afirmaciones del editor con registros y datos de reputación en lugar de creer la autodescripción de una página, la misma lección que el abuso de envenenamiento de documentación en la cadena de suministro.
  5. Registre la navegación y el razonamiento del agente. Capture qué fuentes motivaron una decisión, para que una página envenenada pueda rastrearse y bloquearse a posteriori.

Estado

ElementoReferenciaFechaNotas
Investigación públicaZscaler ThreatLabz2026-07-02Dos campañas IPI in the wild
Campaña 1 (estafa de pago)ThreatLabz2026-07-024 de 26 modelos probados ejecutaron el pago
Campaña 2 (typosquat DeFi)ThreatLabz2026-07-022 de 26 modelos probados clasificaron mal el sitio
Cobertura de detecciónZscaler2026-07-02Señalado como HTML.MalURL.PromptInj

El encuadre honesto no es «hackearon un LLM». Es que el contenido web es ahora una superficie de ataque para los agentes igual que los correos de phishing lo son para las personas: la defensa consiste en dejar de permitir que una página hable por sí misma, blindar las acciones que cuestan dinero o confianza y darle al agente una verdad de referencia con la que contrastar.

Sources