Según el nuevo Informe de seguridad del navegador 2025los líderes de seguridad están descubriendo que la mayoría de los riesgos relacionados con la identidad, SaaS y la IA convergen en un solo lugar: el navegador del usuario. Sin embargo, los controles tradicionales como DLP, EDR y SSE todavía operan en una capa demasiado baja.
Lo que está surgiendo no es sólo un punto ciego. Es una superficie de amenaza paralela: extensiones no administradas que actúan como implantes de la cadena de suministro, herramientas GenAI a las que se accede a través de cuentas personales, datos confidenciales copiados y pegados directamente en campos de aviso y sesiones que omiten el SSO por completo.
Este artículo analiza los hallazgos clave del informe y lo que revelan sobre el cambiante locus de control en la seguridad empresarial.
GenAI es ahora el principal canal de filtración de datos
El auge de GenAI en los flujos de trabajo empresariales ha creado una enorme brecha de gobernanza. Casi la mitad de los empleados utilizan herramientas GenAI, pero la mayoría lo hace a través de cuentas no administradas, fuera de la visibilidad de TI.
Estadísticas clave del informe:
- 77% de los empleados pegan datos en las indicaciones de GenAI
- 82% de esas pastas provienen de cuentas personales
- 40% de los archivos cargados contienen PII o PCI
- GenAI representa 32% de todo el movimiento de datos corporativos a personales
Las herramientas DLP heredadas no fueron diseñadas para esto. El navegador se ha convertido en el canal dominante para copiar y pegar exfiltración, sin supervisión y sin políticas.
Los navegadores de IA son una superficie de amenaza emergente
Otra superficie de amenaza emergente basada en navegadores son los navegadores de IA «agentes», que combinan los riesgos de seguridad tradicionales de los navegadores con las nuevas preocupaciones sobre el uso de la IA.
Los navegadores de IA como Atlas, Arc Search y Perplexity Browser de OpenAI están redefiniendo la forma en que los usuarios interactúan con la web, fusionando la búsqueda, el chat y la navegación en una única experiencia inteligente. Estos navegadores integran grandes modelos de lenguaje directamente en la capa de navegación, lo que les permite leer, resumir y razonar sobre cualquier página o pestaña en tiempo real. Para los usuarios, esto significa productividad perfecta y asistencia contextual. Pero para las empresas, representa una superficie de ataque nueva y en gran medida no monitoreada: un «copiloto siempre activo» que ve y procesa silenciosamente todo lo que un empleado puede, sin aplicación de políticas ni visibilidad de lo que se comparte con la nube.
Los riesgos son importantes y multifacéticos: la pérdida de memoria de sesión expone datos confidenciales a través de la personalización impulsada por la IA; las «solicitudes automáticas» invisibles envían el contenido de la página a modelos de terceros; y las cookies compartidas desdibujan los límites de la identidad, lo que permite posibles secuestros. Sin barreras de seguridad de nivel empresarial, estos navegadores de IA evitan de manera efectiva las herramientas tradicionales de seguridad de navegador, DLP y SSE, creando una ruta invisible y sin archivos para la filtración de datos. A medida que las organizaciones adoptan flujos de trabajo impulsados por GenAI y SaaS, comprender y abordar este punto ciego emergente es fundamental para prevenir la próxima generación de fugas de datos y compromisos de identidad.
Extensiones de navegador: la cadena de suministro más extendida y menos gobernada
El 99% de los usuarios empresariales tienen al menos una extensión instalada. Más de la mitad otorga permisos altos o críticos. Muchos se descargan o publican en cuentas de Gmail, sin verificación, actualización ni responsabilidad.
De la telemetría:
- 26% de las extensiones están descargadas
- 54% son publicados por cuentas de Gmail
- 51% No se han actualizado en más de un año.
- 6% de las extensiones relacionadas con GenAI se clasifican como maliciosas
Ya no se trata de productividad, sino de una cadena de suministro de software no administrada integrada en cada terminal.
La gobernanza de la identidad termina en el IdP. El riesgo comienza en el navegador.
El informe revela que más de dos tercios de los inicios de sesión se producen fuera del SSO y casi la mitad utiliza credenciales personales, lo que hace imposible que los equipos de seguridad sepan quién accede a qué y desde dónde.
Descomponer:
- 68% de los inicios de sesión corporativos se realizan sin SSO
- 43% de los inicios de sesión de SaaS utilizan cuentas personales
- 26% de los usuarios reutilizan contraseñas en varias cuentas
- 8% de las extensiones del navegador acceden a las identidades de los usuarios o a las cookies
Ataques como Araña dispersa Esto demostró: los tokens de sesión del navegador, no las contraseñas, son ahora el objetivo principal.
Las aplicaciones SaaS y de mensajería están filtrando silenciosamente datos confidenciales
Los flujos de trabajo que antes dependían de la carga de archivos se han desplazado hacia el pegado basado en navegador, indicaciones de IA y complementos de terceros. La mayor parte de esta actividad ahora ocurre en la capa del navegador, no en la aplicación.
Comportamientos observados:
- 62% de pegados en aplicaciones de mensajería incluyen PII/PCI
- 87% de eso sucede a través de cuentas no corporativas
- En promedio, los usuarios pegan 4 fragmentos sensibles por día en herramientas no corporativas
En incidentes como el Ondulación/Parte filtración, la infracción no involucró malware ni phishing, provino de aplicaciones de chat no monitoreadas dentro del navegador.
Las herramientas tradicionales no fueron diseñadas para esta capa
EDR ve procesos. SSE ve el tráfico de la red. DLP escanea archivos. Ninguno de ellos inspecciona lo que está pasando. adentro la sesión, como qué pestaña SaaS está abierta, qué datos se están pegando o qué extensión está inyectando scripts.
Los equipos de seguridad no ven:
- Uso de Shadow AI y entradas rápidas
- Actividad de extensión y cambios de código.
- Cruces de cuentas personales y corporativas
- Secuestro de sesión y robo de cookies
Es por eso que proteger el navegador requiere un nuevo enfoque.
Los controles nativos de sesión son la próxima frontera
Para recuperar el control, los equipos de seguridad necesitan visibilidad nativa del navegador, capacidades que operan a nivel de sesión sin interrumpir la experiencia del usuario.
Qué incluye esto:
- Monitoreo de copiar/pegar y cargas entre aplicaciones
- Detección de herramientas y extensiones GenAI no administradas
- Aplicar el aislamiento de sesiones y el SSO en todas partes
- Aplicar DLP a interacciones no basadas en archivos
Una plataforma de seguridad de navegador moderna, como la que se describe en el informe completo, puede proporcionar estos controles sin obligar a los usuarios a utilizar un nuevo navegador.
Lea el informe completo para ver los puntos ciegos que se está perdiendo
El Informe de seguridad del navegador 2025 ofrece una visión rica en datos de cómo el navegador se ha convertido silenciosamente en el punto final más crítico y vulnerable de la empresa. Con información de millones de sesiones reales de navegador, mapea dónde fallan los controles actuales y dónde comienzan las infracciones modernas.
Descargue el informe completo para ver qué controles tradicionales faltan y qué están haciendo a continuación los principales CISO.