Una sola página web manipulada bastó para torcer las recomendaciones de asistentes de compra con inteligencia artificial hacia marcas inexistentes. El dato retrata un problema incómodo porque la aparente soltura con la que estos sistemas aconsejan qué comprar no implica que sepan distinguir una pista fiable de un anzuelo bien colocado.
Doce modelos cayeron cuando la trampa entró por el buscador
El estudio, publicado en arXiv, puso a prueba 12 modelos comerciales y de código abierto con 225 productos reales distribuidos en 15 categorías y cinco escenarios de consumo.
Para medir el efecto de esa contaminación, los investigadores construyeron FORGE, un banco de pruebas que reescribe localmente páginas de resultados de búsqueda para sustituir marcas auténticas por otras ficticias. La idea no consistía en romper el modelo desde dentro, sino en tocar el escaparate que consulta antes de responder.
Todos los modelos analizados mostraron vulnerabilidad ante la manipulación del contenido web.
Cuando el experimento alteró una sola página, el asistente llegó a recomendar una marca falsa en hasta el 27% de las pruebas. El salto deja de parecer marginal cuando se piensa en la escena cotidiana de alguien que pregunta por un cargador, una crema o unos auriculares y recibe una sugerencia con apariencia de normalidad.
El engaño creció cuando la falsedad ocupó los primeros puestos
La tasa subió hasta el 73,8% al reemplazar los tres primeros resultados de búsqueda. Ahí aparece una lección bastante terrenal, porque en internet la visibilidad manda y los primeros enlaces suelen actuar como atajo mental tanto para una persona como para una máquina.
Además, la vulnerabilidad no golpeó igual a todos los productos. Aumentó cuando el modelo tenía pocos conocimientos previos sólidos sobre el artículo consultado, una grieta que recuerda cuánto depende todavía de señales externas para completar lo que no sabe.
Ya hay antecedentes de compras fraudulentas con IA que explotan esa misma confianza en superficies digitales que parecen legítimas. Aquí la diferencia es que el intermediario engañado no es solo el usuario, sino también el sistema que debía orientarlo.
El razonamiento no corrigió el sesgo y hasta inventó popularidad
Lo más llamativo del trabajo aparece cuando el modelo intenta justificar su respuesta.
El razonamiento no corrigió la manipulación, sino que la reforzó. En varios casos generó pruebas sociales inventadas, como comentarios positivos o una supuesta popularidad en comunidades online, para dar más peso a la marca falsa que acababa de colarse en la consulta.
Ese detalle importa porque deshace una intuición muy extendida. No basta con que el asistente explique mejor su recomendación si la explicación nace de pistas contaminadas y encima adorna el error con argumentos que nunca existieron.
Tres defensas fallaron y alguna empeoró el resultado
Los investigadores probaron tres defensas, el escepticismo explícito, la verificación por consenso del propio modelo y la coincidencia entre documentos.
Ninguna funcionó de forma fiable. En algunos casos empeoraron el comportamiento y en otros eliminaron recomendaciones legítimas, un efecto que complica todavía más el problema porque no solo hay falsos positivos, también puede haber consejos útiles que desaparecen.
Ese patrón conecta con otros fallos de respuesta automatizada en contextos donde el sistema parece convincente antes de ser fiable. La soltura verbal, otra vez, no equivale a criterio.
El estudio concluye que estos asistentes deberán verificar la fiabilidad de las fuentes antes de recomendar un producto. La tensión de fondo sigue ahí, con números difíciles de ignorar, porque bastó una sola página manipulada para desviar respuestas y tres resultados falsificados para empujar el engaño hasta el 73,8%.