El asistente de IA que te entregará sin dudar: Microsoft Copilot comparte tus secretos con los hackers
Un solo enlace basta para filtrar tus conversaciones — protégelas ahora mismo.
Los especialistas de Varonis informaron sobre un nuevo ataque contra Copilot de Microsoft, denominado Reprompt. Permite a un atacante interceptar la sesión de un usuario y extraer silenciosamente datos personales. La vulnerabilidad ya recibió una actualización de seguridad, pero el mecanismo del ataque ha generado preocupación, dada la integración generalizada de Copilot en Windows y en otros productos.
Según el grupo de investigación, el ataque se basa en ocultar una solicitud maliciosa dentro de un enlace común que parece seguro. Al seguirlo, Copilot procesa automáticamente un comando incrustado, lo que permite al atacante acceder a la sesión activa de la IA —incluso después de cerrar la pestaña. Reprompt no requiere instalar extensiones ni herramientas adicionales, funciona con un solo clic y permite realizar extracciones ocultas de datos.
La vulnerabilidad clave fue la posibilidad de transmitir instrucciones mediante el parámetro «q» en el enlace, que Copilot interpreta como una consulta. Si el comando malicioso está formulado correctamente, la IA lo ejecuta sin el conocimiento del usuario. No obstante, una sola visita no basta para una fuga de datos estable. Los autores del método combinaron varios enfoques para eludir las protecciones y lograr una comunicación bidireccional persistente entre Copilot y un servidor externo.
En el estudio se describe un escenario en el que el atacante primero envía a la víctima un enlace que imita a uno legítimo. Tras el clic, la IA ejecuta el comando incrustado y luego continúa recibiendo instrucciones posteriores desde el servidor del atacante. Estas solicitudes no son visibles para los sistemas de protección del lado del usuario, porque se transmiten tras la interacción inicial.
Una de las técnicas —reenvío repetido de la solicitud— ayuda a eludir los filtros de Copilot, que actúan solo en el primer intento. Por ejemplo, para obtener una frase oculta, los atacantes obligaron a Copilot a realizar la misma acción dos veces, tras lo cual la segunda ejecución devolvió información confidencial.
El equipo de Varonis mostró cómo así se puede extraer sin ser detectado la correspondencia y otros datos personales accesibles a Copilot. La demostración en vídeo comienza con un correo ordinario que contiene un enlace malicioso. Tras seguirlo, Copilot recibe instrucciones y transmite la información a un servidor remoto. El análisis de la solicitud inicial no permite determinar de antemano qué datos concretos se filtrarán, ya que el comando principal llega después desde el servidor.
La vulnerabilidad se informó a Microsoft ya en agosto del año pasado, pero la corrección no se publicó hasta el 14 de enero como parte de una actualización de seguridad. Al momento de la publicación no hay indicios de un uso real de Reprompt; no obstante, se recomienda instalar urgentemente las actualizaciones de Windows.
En Varonis subrayaron que el problema afectó solo a la versión personal de Copilot, integrada en el navegador Edge y en otros productos de consumo. La versión para clientes empresariales, Microsoft 365 Copilot, quedó protegida gracias a mecanismos de control adicionales, incluidos la auditoría mediante Purview, restricciones a nivel de inquilino y políticas de prevención de pérdida de datos.