Contenido

"Le pedí algo a una IA y abrió el navegador, lo buscó por su cuenta e incluso rellenó un formulario por mí." En 2026, esto ya no es solo una demo preparada. Han llegado de golpe los agentes de IA que "ven, hacen clic y escriben" en el navegador —los llamados navegadores agénticos—: ChatGPT Atlas, Claude for Chrome, Gemini/Chrome, Perplexity Comet y más.

Así que, ¿hasta dónde pueden automatizar realmente? La respuesta corta: la realidad se divide con nitidez en tres niveles. "Investigar" está básicamente listo para producción, "rellenar formularios" es condicional, y "reservar y pagar" es algo que conviene hacer tú mismo. Usar estas herramientas sin conocer esa brecha te traerá disgustos. Este artículo expone el estado actual de la técnica, dónde se sitúa cada proveedor, las cifras de los benchmarks y —algo que suele pasarse por alto— las trampas de seguridad, ofreciéndote una imagen honesta de la "realidad".

CONTROL DEL NAVEGADOR CON IA · LA REALIDAD

El mismo "control del navegador", pero tres niveles de "¿puede?"

— Según la naturaleza de la tarea, el semáforo se pone verde, amarillo o rojo

🟢

Investigación

Solo lectura = lista para producción

○ Delégala
🟡

Rellenar formularios

Funciona, pero verifica

△ Condicional
🔴

Reserva / pago

Falla en CAPTCHA / checkout

× Hazlo tú mismo
Benchmarks de investigación 89-98% Tareas complejas por debajo del nivel humano El mayor muro es la seguridad

* Las cifras de benchmarks, las especificaciones de los proveedores y los precios de este artículo se citan de diversos materiales públicos, noticias y anuncios de las empresas (a junio de 2026). Estos productos se actualizan muy rápido, y sus sistemas operativos compatibles, precios y capacidades pueden cambiar. Los números varían según la metodología: tómalos como orientativos.

1. ¿Qué es el "control del navegador con IA"? Dos enfoques

"Una IA manejando el navegador" en realidad se presenta en dos variantes técnicas. Ambas ejecutan el mismo bucle de agente: ver la pantalla (percibir) → decidir la siguiente acción (planificar) → hacer clic o escribir (actuar).

🧭

① Consumidor: integrado en un navegador/extensión

La IA vive dentro del navegador que ya usas —como navegador dedicado (ChatGPT Atlas) o como extensión (Claude for Chrome)— y se encarga de investigar y rellenar formularios usando tu propia sesión iniciada. Fácil de adoptar, pero conlleva las advertencias de seguridad que se comentan más abajo.

p. ej. Atlas / Claude for Chrome / Gemini en Chrome / Comet

⚙️

② Desarrollador: automatizar vía API/OSS

Controla un navegador en un sandbox desde el código. Con la herramienta computer-use de OpenAI o el browser-use de código abierto, puedes ejecutar tareas web repetitivas sin supervisión. Más cercano a un RPA evolucionado, ideal para integrarlo en flujos de trabajo.

p. ej. computer-use (CUA) / browser-use / Skyvern / Steel

Este artículo se centra principalmente en ① el lado del consumidor para calibrar "hasta dónde llega". Ten en cuenta que ② suele usar los mismos modelos de IA por debajo, por lo que las fortalezas y debilidades tienden a ser compartidas.

2. Los grandes protagonistas en 2026

Desde finales de 2025 y a lo largo de 2026, los navegadores agénticos llegaron todos a la vez —y, con la misma rapidez, se impuso una consolidación (criba), con productos independientes integrándose en sus servicios matrices. Esta es la alineación actual.

Producto Formato Estado (a junio de 2026)
ChatGPT Atlas
OpenAI		 Navegador dedicado (basado en Chromium) Lanzado el 2025/10/21. Modo agente para Plus/Pro/Business, etc. Al principio centrado en Mac; Windows/móvil se están desplegando. No puede ejecutar código, descargar archivos ni leer contraseñas por diseño.
Claude for Chrome
Anthropic		 Extensión de Chrome (panel lateral) Beta en planes de pago (Pro/Max, etc.). Navega, hace clic, rellena formularios y ejecuta flujos multipestaña y de varios pasos. Los modelos disponibles varían según el plan.
Gemini / Chrome
Google		 Integración en el navegador El experimental "Project Mariner" terminó el 2026/5/4 y su tecnología se integró en Gemini/Chrome. La función "Auto Browse" de Chrome automatiza flujos complejos.
Perplexity Comet
Perplexity		 Navegador dedicado Popular para investigación. Pero se reportaron varias vulnerabilidades de inyección de prompts (ver más abajo); las correcciones se publicaron a principios de 2026.
ChatGPT Agent
OpenAI (ex-Operator)		 Integrado + API El "Operator" independiente terminó el 2025/8/31; sus capacidades pasaron a ChatGPT y al Agents SDK (computer-use). Su salida habla de la "realidad" (ver más abajo).
browser-use
OSS		 Biblioteca (MIT) Más de 78k estrellas en GitHub. Conecta cualquier LLM para construir tu propia automatización. Proyectos OSS hermanos como Skyvern y Steel también están activos.

Lo que destaca es la oleada de "integración y cierre" de productos independientes. Tanto el Operator de OpenAI como el Mariner de Google abandonaron sus apps separadas y fueron absorbidos por el servicio matriz. Refleja un giro del sector desde los "experimentos llamativos" hacia las "funciones integradas en productos de uso diario" —y, por igual, la otra cara: el control plenamente autónomo sigue siendo difícil por sí solo.

3. ¿Hasta dónde llega? La realidad en 3 niveles

Este es el meollo del asunto. Incluso dentro del "control del navegador", la fiabilidad práctica se divide drásticamente según la naturaleza de la tarea. Desarrollemos el semáforo de la introducción con ejemplos concretos y benchmarks.

🟢 Investigación / recopilación de información = lo más "usable" hoy

Comparar precios entre webs, resumir reseñas, vigilar a la competencia en busca de novedades, extraer cifras de un panel sin API: el trabajo "de solo lectura" está listo para producción. En WebVoyager, que prueba sitios web reales, los mejores agentes alcanzan el 89-98%, prácticamente saturando el benchmark. Como aquí una acción errónea cuesta poco, es por aquí por donde empezar a delegar.

🟡 Rellenar formularios = factible, pero necesita un "supervisor"

Formularios de contacto, borradores de solicitudes, transcribir a una hoja de cálculo: la introducción de datos en sí está soportada por cada agente. Pero puede etiquetar mal los campos, malinterpretar opciones o pulsar el botón de envío equivocado. "La IA redacta, una persona envía" es el patrón seguro. De hecho, muchos productos como Atlas están diseñados para pedir confirmación antes de acciones importantes.

🔴 Reserva / pago = mejor hazlo tú mismo

Reservas de hotel y vuelos, compras en comercio electrónico, confirmaciones tras un inicio de sesión: las tareas en las que "se mueve dinero y es difícil deshacer" son el punto más débil. Los agentes tropiezan con CAPTCHA, checkouts complejos de JavaScript, autenticación de dos factores y gestión de sesiones. En WebArena, que prueba tareas complejas de varios pasos, hasta los mejores rondan el 47-68% (por debajo del ~78% de referencia humana). La verdadera razón por la que OpenAI cerró el Operator independiente fue la falta de fiabilidad de los flujos de pago.

La "brecha" en los benchmarks (las cifras son orientativas)

WebVoyager (sitios reales, orientado a investigación)89-98%
WebArena (tareas complejas de varios pasos)47-68%
Referencia humana (WebArena)~78%

* Hace dos años, el éxito en tareas similares rondaba supuestamente el 14%, así que el avance es rápido. Aun así, "las tareas complejas todavía quedan por debajo de los humanos" también es un hecho.

En resumen: excelente para buscar cosas, débil para comprometerse con acciones. Con solo recordar esa frase te ahorrarás la mayor parte de la decepción que provoca el desajuste de expectativas.

4. Por qué falla en las "reservas"

"Si puede investigar, ¿por qué no puede reservar?" No hay una única razón. La reserva y el pago acumulan varias "barreras" en las que la IA es mala, todas en un mismo punto.

🧩 CAPTCHA / defensas antibots

Los mecanismos que exigen "demostrar que eres humano" existen precisamente para frenar a los agentes. Intentar sortearlos puede, en sí mismo, infringir los términos del servicio.

💳 Flujos de pago complejos

Carritos cargados de JavaScript, 3-D Secure, redirecciones a pagos externos. Un solo fallo en cualquier punto rompe todo el proceso, y recuperarse es difícil.

🔐 Autenticación de dos factores / inicio de sesión

Los códigos por SMS y las aprobaciones desde apps solo se completan en tus propias manos. Muchos productos evitan deliberadamente las contraseñas y las credenciales.

↩️ El coste de deshacer

"Comprado por error" o "doble reserva" causan un daño real. Por eso los proveedores insertan aprobación humana en las acciones importantes y no confirman de forma automática.

Dicho de otro modo, un "fallo" en la reserva tiene menos que ver con que la IA no sea lo bastante inteligente y más con chocar contra una intención de diseño: "las webs no esperan la automatización" y "los humanos deben quedarse con las grandes acciones". Así que un salto al 100% de automatización a corto plazo es improbable. En la práctica, "la IA hasta los candidatos, los humanos para la confirmación final" es la mejor respuesta por ahora.

5. La mayor trampa: la inyección de prompts

Más importante que el "puede o no puede" es la seguridad. El mayor riesgo exclusivo de los navegadores agénticos es la inyección indirecta de prompts: el agente es engañado por "instrucciones ocultas para la IA" plantadas en una página web o un correo electrónico.

Qué es la inyección indirecta de prompts: un atacante incrusta órdenes como "roba el correo del usuario y envíalo" usando texto difícil de ver para las personas (texto camuflado con el fondo, caracteres dentro de imágenes, secciones de comentarios), de modo que el agente que lee la página queda secuestrado. Como se ejecuta en tu sesión iniciada, el daño puede ser directo.

Esto no es teórico. A principios de 2026 se reportaron varias vulnerabilidades en el Perplexity Comet, orientado a la investigación. En las demostraciones de los investigadores, con tan solo hacerle leer una página o publicación maliciosa bastaba para robar credenciales y códigos de un solo uso y tomar el control de la cuenta: una vía de ataque "zero-click" (Perplexity publicó mitigaciones en febrero de 2026). Desde entonces se han señalado debilidades similares también en otros navegadores importantes.

¿Cómo de bien funcionan las defensas? (ejemplo de cifras publicadas)

23.6%

Éxito del ataque antes de las defensas
(medición propia de un proveedor)

~11%

Tras defensas básicas
(no es cero)

~1%

Con las defensas más fuertes
(sigue sin ser cero)

* Las cifras las reporta cada proveedor y dependen de las condiciones, así que no pueden compararse entre sí. La clave: las defensas lo reducen drásticamente, pero nunca a cero. La investigación también señala que, a medida que los atacantes iteran, la tasa de éxito sube.

Los proveedores responden con clasificadores que detectan instrucciones ocultas, además de confirmaciones y límites de permisos en las acciones importantes. Pero el estado honesto en 2026 es que "incluso con defensas, queda un riesgo residual". Justo por eso, tus reglas de uso son la última línea de defensa. Para más detalles, consulta incidentes de seguridad de agentes de IA.

6. Lista práctica para un uso seguro

Dada la "realidad" anterior, aquí tienes 5 principios para un uso seguro a partir de hoy. Sin configuraciones complicadas: es cuestión de mentalidad.

1

Empieza con "solo lectura"

Al principio, limítalo a investigar, comparar y resumir: trabajo en el que un fallo no cuesta nada. Amplíalo a tareas de introducción de datos solo cuando te sientas cómodo.

2

Una persona debe aprobar los envíos y los pagos

"La IA hasta el borrador, el botón final es tuyo." No lo configures para que confirme sin revisión.

3

No le entregues información sensible ni contraseñas

No lo uses para banca en línea, pagos ni pantallas confidenciales. Hay una razón por la que muchos productos están diseñados para no tocar las credenciales.

4

No ejecutes el agente en sitios no confiables

Las páginas sospechosas y los enlaces de remitentes desconocidos son caldo de cultivo para instrucciones ocultas. Detente antes de dejar que el agente las "lea".

5

Mínimo privilegio, en un perfil dedicado

No le des acceso a todas las pestañas con sesión iniciada. Cuando sea posible, ejecútalo en un perfil de trabajo separado para limitar el radio de impacto.

La conclusión: "comodidad" y "privilegio" son un equilibrio. Cuanto más poder le concedes al agente, más cosas puede hacer, pero mayor es el daño si lo secuestran. Empieza poco a poco y amplía a medida que veas resultados: la misma regla básica que en los casos de uso de automatización empresarial.

Resumen

El control del navegador con IA dio un gran paso en 2026 desde el "experimento" hasta la "herramienta cotidiana". Pero no es todopoderoso: la realidad se divide en tres niveles.

Conclusiones clave

  • 🟢 Investigar, comparar y resumir están listos para producción: empieza por aquí.
  • 🟡 Rellenar formularios funciona, pero asume que "una persona confirma" al final.
  • 🔴 La reserva y el pago siguen siendo débiles: los muros del CAPTCHA/checkout/2FA. "La IA hasta los candidatos, el humano confirma."
  • ⚠️ El mayor muro es la seguridad: la inyección de prompts persiste a pesar de las defensas. Protégete con reglas de uso.

"Un excelente compañero de investigación; las acciones que mueven dinero, hazlas tú mismo." Mantén esa distancia y el control del navegador con IA te ahorrará mucho tiempo. Empieza hoy por la "investigación", donde un error no duele. Para los fundamentos de los agentes en general, consulta qué es un agente de IA; para la seguridad, profundiza en los incidentes de seguridad.

Preguntas frecuentes

P. ¿Puedo dejar toda la reserva en manos de una IA?

R. No es recomendable a fecha de 2026. Tropieza con facilidad en los CAPTCHA, los checkouts complejos y la autenticación de dos factores, con riesgo de compras erróneas o reservas dobles. Lo seguro es "la IA hasta comparar candidatos, la confirmación final por una persona".

P. ¿Cuál debería usar? ¿Cuál es la diferencia entre ChatGPT Atlas y Claude for Chrome?

R. La gran diferencia es el formato: Atlas es un "navegador dedicado", Claude for Chrome es una "extensión de Chrome". Si ya usas Chrome, la extensión es cómoda; si quieres probar un entorno completamente nuevo, opta por el navegador dedicado. Los precios y los modelos disponibles varían según el plan: consulta la comparativa de precios.

P. ¿Deberían los usuarios corrientes preocuparse por la inyección de prompts?

R. Sí. Como el agente se ejecuta en tu sesión iniciada, el daño puede ser directo. Solo tres hábitos —no ejecutarlo en sitios dudosos, que una persona apruebe los pagos y los envíos, y no usarlo en pantallas con información sensible— reducen el riesgo de forma sustancial.

P. ¿Puedo probarlo gratis?

R. Depende del producto. Muchas funciones de agente son para planes de pago, pero hay opciones gratuitas como el OSS browser-use, que puedes construir tú mismo (aun así pagarás aparte por el uso del LLM). Primero comprueba qué admite tu servicio de IA actual.

P. Para tareas rutinarias sencillas, ¿es mejor el RPA tradicional?

R. Si los pasos son exactamente los mismos cada vez, la automatización tradicional puede ser más estable y rápida. La fortaleza de los agentes de IA está en el trabajo que es "un poco distinto cada vez" o que "requiere criterio". Los dos no son rivales: usa el adecuado para cada caso.