Análisis en profundidad sobre la seguridad del navegador, el aislamiento y las ideas detrás de Bromure.
Bromure ejecuta dos clasificadores en el dispositivo sobre todo lo que lee su agente de programación. La inyección de prompt en la salida de herramientas y las descargas web la maneja Llama Prompt Guard 2 de Meta. Un CLAUDE.md hostil necesita un modelo completamente distinto — la detección de inyecciones se dispara en cada línea de un archivo que, por definición, es todo instrucciones —, así que afinamos ModernBERT para clasificar daño en su lugar. Este es el pipeline completo: cosechar un corpus benigno, sintetizar ejemplos maliciosos, ventanas a nivel de cláusula, el bucle de entrenamiento y la exportación a ONNX, con suficiente detalle para reproducirlo.
Un sandbox le pide a un desarrollador que renuncie a la velocidad que hace que un agente de programación valga la pena — pre-aprobar cada dependencia, mantener una lista de dominios permitidos, no tocar nunca un paquete que la organización no haya verificado. Así que los desarrolladores lo apagan. Bromure Agentic Coding rechaza ese trato. No restringe lo que hace el agente; traza una sola línea dura en el hipervisor y te deja hacer cualquier cosa por dentro. Este es el argumento fundacional de por qué una frontera le gana a un sandbox, y las tres garantías que la frontera hace ciertas: ninguna credencial que robar, tokens amplios estrechados en el cable, y ataques de cadena de suministro detenidos antes de que el tarball aterrice — más la cuarta que la línea ahora hace cierta: inyecciones de prompt atrapadas en el contenido que el agente lee, antes de que el modelo las obedezca.
El 5 y 6 de junio de 2026, el gusano Miasma metió código robacredenciales en 73 repositorios de cuatro de las propias organizaciones de GitHub de Microsoft — Azure, Azure-Samples, microsoft, MicrosoftDocs — incluido Azure/functions-action, la Action de despliegue oficial, y durabletask, un repo que ya había sido limpiado una vez en mayo. Esta vez la carga útil no esperó al npm install. Se disparó en el momento en que un desarrollador abrió el repositorio en Claude Code, Cursor, Gemini CLI o VS Code. Aquí está por qué la señal de confianza — «es un repo de Microsoft» — fue de nuevo la superficie de ataque, y qué cambia cuando el agente que lo abre vive en una VM Bromure por perfil, detrás de un intermediario de credenciales, un guardrail de lectura/escritura y un período de espera para paquetes.
A finales de abril, un agente de Cursor corriendo Claude Opus 4.6 fue enviado a arreglar un problema de staging en un pequeño SaaS llamado PocketOS. Supuso que borrar un volumen de Railway quedaría acotado a staging, no lo verificó, y barrió la base de datos de producción y sus copias de seguridad en nueve segundos. Después dijo que debería haber preguntado primero. Bromure Agentic Coding 2.2 trae una barrera de protección que le quita al agente el «debería haber preguntado».
Un zero-day en github.dev permitió que un panel de previsualización malicioso saliera de su sandbox, instalara silenciosamente una extensión y leyera un token OAuth de GitHub con acceso a cada repositorio privado que la víctima pudiera tocar. El arreglo es honesto sobre sus límites — la jugada más fina es no llevar tu token al repo de un desconocido, para empezar.
Entre finales de mayo y el 1 de junio de 2026, un gusano llamado Miasma metió código robacredenciales en 32 paquetes bajo el ámbito npm @redhat-cloud-services — el propio namespace de Red Hat, ~117.000 descargas semanales, firmado por el pipeline de publicación real de Red Hat. No había ningún typosquat que detectar ni ningún mantenedor desconocido que señalar. La señal de confianza era el nombre del proveedor en el ámbito, y el nombre del proveedor es exactamente aquello con lo que el atacante se coló. Aquí está por qué «prefiere editores reputados» dejó de ser una defensa, y qué cambia cuando el agente que ejecuta la instalación vive en una VM Bromure por perfil.
Una nueva campaña alquila la confianza de un dominio en el que ya crees. Un anuncio de Google te envía a un enlace real para compartir de chatgpt.com, el enlace compartido muestra un aviso falso de caída del servicio, y el aviso te entrega malware. Así se toma prestada la confianza — y por qué dejar prestada la confianza deja de importar cuando todo ocurre dentro de una VM que tiras a la basura.
Google republicó accidentalmente la semana pasada un bug de Chromium de hace cuatro años — un service worker que sigue ejecutando JavaScript después de cerrar el navegador, en todos los navegadores Chromium principales, todavía sin parchar. La prueba de concepto ya está circulando. La pregunta interesante no es cómo funciona. Es qué significa la persistencia en un navegador cuya máquina subyacente entera deja de existir cuando cierras la pestaña.
El 18 de mayo de 2026, Lasso Security reveló dos ataques contra NemoClaw de Nvidia — el sandbox que ejecuta el agente de codificación autónomo OpenClaw. El sandbox funcionó exactamente como Nvidia dijo que funcionaba. El agente dentro del sandbox aun así empujó el token de GitHub del usuario a una pull request controlada por el atacante, codificado como emojis para escapar al escáner estático de secretos de GitHub. La pregunta interesante no es si el sandbox está roto. Es si un sandbox con un archivo de credencial en texto plano dentro fue alguna vez un sandbox en el sentido arquitectónicamente útil, y qué implica la respuesta para todos los que están enviando un agente de codificación en 2026.
En algún momento de la semana del 11 de mayo de 2026, las personas detrás de Shai-Hulud — el gusano autorreplicante de la cadena de suministro de npm que viene devorando cuentas de mantenedores desde septiembre de 2025 — filtraron su propio código fuente. Para el fin de semana, OX Security había encontrado cuatro paquetes typosquatted de npm publicados desde una sola cuenta, uno de los cuales es una copia casi literal del gusano filtrado, otro es un bot DDoS en Golang, y los otros dos son simples infostealers que envían claves SSH y billeteras cripto a C2 de saldo. El piso para crear forks de ataques a la cadena de suministro acaba de bajar muchísimo, y las personas con más probabilidad de instalar uno de estos paquetes ya no son humanas.
Uber agotó su presupuesto de codificación con IA del año 2026 entero en abril. El CTO volvió al punto de partida — no porque las herramientas fueran malas, sino porque nadie podía asociar un solo dólar de gasto en tokens a un solo cambio entregado. Los agentes están bien. El problema es la capa de visibilidad. Esto es lo que parece, y lo que cambia cuando cada sesión de agente es un registro estructurado en vez de un muro de scrollback.
El 11 de mayo de 2026, un gusano de npm llamado Mini Shai-Hulud añadió una línea optionalDependencies a 42 paquetes en el namespace @tanstack. Instalar cualquiera de ellos ejecutó un script de Bun que tomó un token OIDC del entorno de GitHub Actions, lo usó para publicar más versiones comprometidas con procedencia SLSA válida, se copió a sí mismo en .claude/ para la próxima vez que iniciara el agente de codificación, y exfiltró todo desde ~/.aws hasta tu billetera cripto. Los paquetes estaban firmados. La atestación era válida. Aquí está cómo se ve la cadena, y qué cambia cuando el agente que ejecutó la instalación vive dentro de una VM Bromure por tarea.
Apple lanzó macOS Tahoe 26.5 el 11 de mayo de 2026, con unos setenta parches de seguridad, entre ellos diez vulnerabilidades de WebKit. Repasamos la lista de WebKit una clase de CVE a la vez y nos hacemos la única pregunta que importa en 2026 — ¿qué alcanza realmente este fallo, en una máquina que ejecuta Bromure?
El 22 de abril, alguien subió un paquete malicioso de npm llamado @bitwarden/[email protected] — un typosquat que barrió claves SSH, credenciales de AWS/Azure/GCP, tokens de GitHub, tokens de publicación de npm y kubeconfigs de cualquier máquina que lo ejecutara. Aquello de lo que está diseñado para alimentarse es exactamente lo que los agentes de programación modernos hacen sin pensar: instalar lo que sea que npm les devuelva. Aquí ves cómo es esa cadena, y qué cambia cuando el agente corre dentro de una VM de Bromure en lugar de en tu portátil.
Una nueva banda de extorsión llamada BlackFile está llamando a empleados de retail y hostelería haciéndose pasar por IT, llevándolos a tipear credenciales y OTPs en una página falsa de inicio de sesión corporativo, y registrando luego su propio dispositivo MFA en la cuenta real. La llamada telefónica no se ve afectada por nada que haga un navegador. La página en la que el usuario tipea, sí.
La brecha de Vercel revelada esta semana empezó con un empleado de Context.ai descargando exploits de Roblox en un PC personal, y terminó con un atacante leyendo las variables de entorno de los clientes de Vercel. Bromure Enterprise, lanzado esta semana, está pensado exactamente para esta cadena.
El informe de respuesta a incidentes del Q1 2026 de Cisco Talos vuelve a situar el phishing en la cima como vector de acceso inicial y, dentro de él, documenta el primer caso que Talos atribuye a un builder de IA de «vibe-coding» — un clon de Outlook Web Access levantado sobre un subdominio `*.softr.app`, exfiltrando credenciales a una hoja de cálculo de Google desechable. La reputación de URL no puede verlo venir. La respuesta correcta está más abajo en la pila.
Una versión temprana de Claude Mythos ayudó a Mozilla a encontrar 271 bugs de seguridad en una sola versión de Firefox. La reacción correcta no es el pánico, ni la celebración, sino una recalibración serena de lo que aún debemos suponer sobre cada navegador que publicamos, usamos o sobre el que construimos.
Una CAPTCHA falsa escribe una línea de PowerShell en el portapapeles. El usuario pulsa Win+R y pega. Sin escape del sandbox, sin día cero, sin binario firmado — el humano es el exploit. Esto es lo que enviamos hoy contra él, dónde siguen estando las brechas y qué acertó y qué no Apple en macOS 26.4.
Microsoft ha documentado una cadena de ransomware de nueve etapas que empieza con un mensaje externo de Teams suplantando al helpdesk y termina con Rclone exfiltrando silenciosamente el recurso compartido de red. Ocho de esos nueve pasos necesitan el sistema operativo del host. Ninguno de ellos puede ejecutarse contra una pestaña.
Un solo operador colocó 108 extensiones maliciosas en la Chrome Web Store bajo cinco editores falsos, acumuló unas 20 000 instalaciones y lo encaminó todo hacia un único servidor de mando y control. El modelo de revisión no lo detectó. Esto explica por qué un navegador con prioridad de seguridad tiene que tomar una postura más dura.
Una mirada paso a paso al sistema anti-phishing de Bromure — el barrido local, el modelo, el veredicto, y por qué tus padres, tus abuelos y el vecino del otro lado del pasillo son exactamente para quienes lo construimos.
LinkedIn sondea silenciosamente más de 6000 extensiones de navegador, recopila 48 atributos del dispositivo y extrae tu IP de LAN mediante WebRTC en cada visita. La solución no es un ajuste de privacidad: es una forma distinta de navegador.
La web es hostil, los consejos de seguridad están fallando y la IA ha cambiado las reglas. Esta es la razón por la que creamos un navegador que te quita el peso de encima.
Apple y Google gastan hoy decenas de millones de dólares al año en encontrar y corregir fallos de navegador. Aun así, cada año hay entre ocho y diez zero-day de navegador explotados activamente. Este artículo expone por qué esa cuenta no va a cambiar, cómo Claude Mythos y la «Vulnpocalypse» están a punto de empeorarla, y por qué un navegador diseñado para asumir que será vulnerado es un producto de naturaleza distinta.
La mayoría de los bloqueadores de anuncios son extensiones del navegador, y la mayoría de las extensiones del navegador se ejecutan dentro del mismo proceso que la página de la que intentan protegerte. Bromure lo hace de otra manera. Aquí te contamos cómo, y por qué importa.
La mayoría del ransomware no comienza con un zero-day. Comienza con una pestaña del navegador. Así es como funciona realmente la cadena de ataque en 2026 — y así es como se ve cuando aterriza sobre un navegador diseñado para absorber el golpe.
Qué hace realmente una VPN, qué no hace, por qué ejecutar una por perfil dentro de Bromure cambia la historia del anonimato, y un recorrido por el funcionamiento interno de Cloudflare WARP.