Los agentes de navegador revelan su modelo por su forma de hacer clic

¿Qué es esto?

Known By Their Actions: Fingerprinting LLM Browser Agents via UI Traces (arXiv 2605.14786, publicado el 14 de mayo de 2026) demuestra que se puede saber qué gran modelo de lenguaje controla un agente de navegador con solo observar cómo interactúa con una página web. Los autores recopilan las acciones del agente en la página —navegación, clics, desplazamientos, escritura, así como el orden y el ritmo de las interacciones— y entrenan clasificadores ligeros sobre esas trazas. En 14 modelos de vanguardia reportan puntuaciones de identificación de hasta un 96 % de Macro F1.

El punto clave es que esta huella no depende de nada que el operador pueda cambiar con facilidad. No es la cadena User-Agent, ni las cabeceras HTTP, ni la dirección IP, ni la pila TLS, todos ellos falsificables. Es el comportamiento: la dinámica temporal y estructural con la que un modelo concreto decide dónde mirar, en qué hacer clic y en qué secuencia. Las acciones del agente son, en efecto, una firma del modelo que las produjo.

Cómo funciona

Los investigadores instrumentan las páginas objetivo con JavaScript inyectado que registra la secuencia de eventos de interfaz que un agente genera al completar una tarea. Cada modelo produce un patrón reconocible: orden de interacción preferido, tiempos de permanencia y demoras entre acciones característicos, forma de recuperarse de un clic fallido, manera de recorrer un formulario. Estos patrones son lo bastante estables como para que un clasificador sencillo, entrenado con trazas etiquetadas, atribuya una sesión desconocida a su modelo de origen con gran precisión.

En el lado de la recopilación, el método es agnóstico al modelo. El artículo publica un corpus etiquetado de trazas de interacción en cuatro entornos web y un arnés de navegador compatible con modelos tanto cerrados como de código abierto, de modo que el ataque funciona ya sea que el agente se base en una API propietaria o en un modelo de pesos abiertos autoalojado. No se requiere acceso privilegiado al agente, solo una página web corriente que el agente visita, más la telemetría del lado del cliente que cualquier sitio ya recopila para analítica o detección de bots.

agent performs task on page
   → injected JS logs UI action trace (clicks, scrolls, timing, order)
      → classifier trained on labelled traces
         → predicts underlying model  (up to ~96% Macro F1, 14 models)

Por qué importa

La huella conductual convierte una propiedad que la mayoría de los equipos cree invisible —qué modelo está detrás de un agente— en algo que un sitio remoto puede leer. Esto tiene varias consecuencias. Frustra los intentos de mantener en privado la elección del modelo o de rotar entre proveedores sin ser detectado. Entrega una primitiva de reconocimiento a los atacantes: una vez conocido el modelo exacto, un sitio puede servir una inyección de prompt indirecta o un jailbreak adaptados a sus debilidades conocidas, elevando la tasa de éxito. También alimenta la carrera de detección de bots y control de acceso, al permitir bloquear, limitar o engañar selectivamente a ciertos agentes, con independencia de la falsificación de cabeceras. Y para quien ejecuta agentes en flujos sensibles, una firma conductual se convierte en un canal de desanonimización que sobrevive a las contramedidas de red habituales. Esto enlaza con una línea de trabajo más amplia sobre inferir el uso de LLM mediante canales laterales, como el análisis de huella del tráfico de las interacciones de agentes (arXiv 2510.07176).

Defensas

No existe una solución única, porque la fuga es intrínseca al comportamiento de cada modelo. Las mitigaciones prácticas se centran en reducir la señal y encarecer la atribución:

• Tratar la identidad del modelo como divulgable. Modele la amenaza partiendo de que un sitio remoto puede aprender su modelo solo por el comportamiento, y no confíe en la ofuscación de cabeceras o IP para el anonimato.
• Añadir aleatorización controlada. Introduzca jitter en las demoras entre acciones y, cuando sea seguro, varíe el orden de las interacciones para que los patrones temporales y estructurales sean menos separables. Se cambia algo de eficiencia por menor distintividad.
• Normalizar la capa de acción. Haga pasar las decisiones del agente por un arnés de ejecución determinista que estandarice cómo se emiten clics, desplazamientos y rellenos de formularios, para que modelos distintos compartan un perfil de interacción de bajo nivel común.
• Aislar las páginas de riesgo. Como la huella permite una inyección adaptada al modelo, mantenga el contenido web no confiable lejos de los agentes que poseen credenciales o herramientas, en línea con los principios de la «lethal trifecta» y de mínimo privilegio.
• Vigilar y limitar la telemetría de recopilación. En sus propios sitios, reconozca que una telemetría de interfaz detallada es de doble uso y puede ella misma perfilar a los agentes visitantes.

Estas medidas reducen la fiabilidad del ataque pero, según el planteamiento del artículo, no eliminan la atribución conductual: la distintividad es una característica de la toma de decisiones de los modelos, no un fallo que se corrija de una vez.

Estado

Se trata de una divulgación de investigación, no de una vulnerabilidad de producto: no hay CVE ni parche del proveedor. Los autores presentan el trabajo como un medio para hacer reproducible la investigación sobre la atribución conductual de agentes LLM, y publican con ese fin su conjunto de datos y su arnés. Los equipos que diseñan o despliegan agentes de navegador y computer-use deberían incorporar ya la fuga de identidad del modelo en sus modelos de amenaza, antes de que las flotas de agentes se generalicen aún más.

Fecha clave: artículo publicado el 14 de mayo de 2026 (arXiv 2605.14786).