Descubren dos vulnerabilidades en Claude que permiten leer tu Gmail y documentos de Google

Un fallo importante en Claude para Chrome permite que algunas extensiones maliciosas puedan leer Gmail, los documentos y el calendario de Google. Estos problemas están presentes en la versión de Claude 1.0.801.0 que fue lanzada este mes de julio para Google Chrome. Si utilizas esta IA en tu navegador, podrías ser víctima de problemas de seguridad y conviene estar preparado.

Este problema aparece por un script de contenido que detecta clics en elementos que utilizan #claude-onboarding-button. Esto ha sido detectado por parte de investigadores de seguridad de Manifold, como puedes ver en su publicación con fecha de 14 de julio. Ax Sharma, investigador de Manifold, explica que “cualquier extensión con acceso de script a claude.ai podría inyectar un elemento DOM coincidente, asignar un ID de tarea permitido y enviar un evento de clic sintético”.

Problema en Claude para Chrome

Claude para Chrome es una herramienta que permite automatizar tareas dentro del navegador. Lo que han descubierto los investigadores de seguridad es que una extensión maliciosa podría aprovechar la capacidad de Claude para acceder a información privada.

Ten en cuenta que el problema no es Claude, sino los agentes de Inteligencia Artificial y lo que podrían hacer. Los chatbots antes solo respondían preguntas, pero actualmente han ganado un peso mucho mayor en el día a día de los usuarios y tienen la capacidad de leer correos, abrir documentos, navegar por Internet, pulsar botones, rellenar formularios o ejecutar ciertas tareas.

Los riesgos han aumentado y los asistentes de Inteligencia Artificial ahora tienen la capacidad de actuar. En este caso, el ataque funciona de la siguiente manera:

  • La víctima tiene instalada la extensión de Claude en el navegador.
  • Tiene también una extensión maliciosa.
  • La extensión maliciosa simula interacciones legítimas.
  • Claude interpreta esa interacción como segura.
  • Ese complemento puede acceder a información de la víctima.

Hay que dejar claro que no basta con tener la extensión de Claude, sino que es imprescindible que haya un complemento malicioso adicional. Por tanto, la explotación de esta vulnerabilidad no es tan sencilla.

Qué podrían robar

Los atacantes podrían acceder a información sensible de los usuarios como:

  • Correos de Gmail.
  • Documentos de Google.
  • Calendario de Google.

El alcance va a depender de los permisos que concedas a Claude. Cuantos más permisos des a la Inteligencia Artificial, mayor será el riesgo. No significa que esa IA que utilices sea insegura, pero sí podría haber vulnerabilidades, ya sea a corto o largo plazo, que permitan a los atacantes robar información o tomar el control del sistema.

Cómo evitar problemas

Para protegerte, es importante que sigas estos consejos:

  • Limita la cantidad de extensiones instaladas.
  • Revisa periódicamente los complementos instalados.
  • Cuidado con los permisos que concedes.
  • Asegúrate de tener todo actualizado.
  • Instala un buen programa de seguridad.

Todo esto te ayudará a evitar amenazas muy variadas, las cuales podrían comprometer tu seguridad y privacidad. Asegúrate siempre de tener tus dispositivos correctamente configurados y no dar facilidades a los atacantes. Esto es algo que debes aplicar a la hora de utilizar el ordenador, pero también dispositivos móviles en tu día a día.

Preguntas frecuentes sobre la vulnerabilidad en Claude para Chrome

¿Qué versiones de Claude están afectadas por este fallo?

El problema de seguridad se ha localizado concretamente en la versión 1.0.801.0 de Claude para Google Chrome, lanzada este mes de julio.

¿Cómo se ejecuta técnicamente el ataque detectado por Manifold?

El fallo aprovecha un script de contenido que detecta clics en el elemento #claude-onboarding-button. Una extensión maliciosa puede inyectar un elemento DOM coincidente y enviar un evento de clic sintético para automatizar tareas sin permiso.

¿Basta con tener instalada la IA de Claude para estar en riesgo?

No, no es suficiente con tener la extensión de Claude. Es imprescindible que el usuario tenga instalada adicionalmente una extensión maliciosa que simule interacciones legítimas para explotar la vulnerabilidad.

¿A qué datos personales podrían acceder los atacantes?

Si se explota el fallo, los atacantes podrían leer correos de Gmail, revisar documentos de Google y acceder al calendario del usuario, dependiendo de los permisos concedidos a la IA.

¿Qué medidas de seguridad se recomiendan para mitigar este riesgo?

Se aconseja limitar el número de extensiones, revisar periódicamente los permisos concedidos, mantener todo el software actualizado y contar con un programa de seguridad instalado.