Un reciente hallazgo de seguridad ha puesto bajo los focos a Microsoft Copilot y, en general, a los asistentes de inteligencia artificial que ya se han colado en el día a día de empresas y particulares. Investigadores de Varonis Threat Labs han desvelado un método de ataque, bautizado como Reprompt, capaz de robar datos de las conversaciones con Copilot con solo hacer clic en un enlace que, a primera vista, es totalmente legítimo.
Este vector de ataque aprovechaba una vulnerabilidad en la forma en que Copilot interpretaba ciertos parámetros de la URL. Sin necesidad de descargar programas sospechosos ni abrir adjuntos, los ciberdelincuentes podían hacerse con conversaciones completas, credenciales y documentos sensibles vinculados a la sesión del usuario, incluso aunque el chat se hubiera cerrado ya en el navegador.
¿Qué es Reprompt y por qué afecta a Copilot?
Reprompt es el nombre con el que Varonis Threat Labs ha identificado a un ataque específico diseñado contra Microsoft Copilot, el asistente de IA que la compañía ha ido integrando en Bing, Edge, Windows y otros servicios en la nube. Lejos de ser un fallo teórico, la técnica permitía a un atacante tomar el control de la sesión de Copilot del usuario y extraer información de forma silenciosa.
El elemento clave de Reprompt es la explotación de instrucciones ocultas incrustadas en enlaces aparentemente inocuos. Estos enlaces apuntaban a dominios oficiales de Microsoft, como copilot.microsoft.com, de modo que el usuario no tenía motivos para sospechar. Nada más cargar la página, Copilot comenzaba a ejecutar en segundo plano las órdenes maliciosas indicadas por el atacante.
En este escenario, el asistente de IA se convertía en una especie de intermediario involuntario: era el propio Copilot quien recopilaba y enviaba los datos a servidores externos, siguiendo las indicaciones que el atacante había camuflado en la URL. Desde la perspectiva del usuario, todo parecía un uso normal del servicio.
Según el análisis de los investigadores, este enfoque supone un salto cualitativo respecto a los ataques tradicionales, porque aprovecha el comportamiento interno del modelo de IA y la confianza depositada en la plataforma, más que errores clásicos como la instalación de malware en el dispositivo.
Cómo funciona el ataque: el papel del parámetro q
La base técnica de Reprompt está en la gestión del parámetro q en la URL de Microsoft Copilot. Este parámetro se utiliza para predefinir la consulta que verá el usuario al abrir la página. Por ejemplo, si se accede a http://copilot.microsoft.com/?q=Hola, el asistente recibe automáticamente el mensaje “Hola” nada más cargarse.
El problema surge cuando en lugar de un saludo inofensivo se introduce una instrucción compleja y maliciosa dentro de ese mismo parámetro q. Copilot interpreta el contenido del parámetro como si fuera un mensaje enviado por la persona que visita la página, y lo procesa sin que esta tenga que escribir nada o realizar acciones adicionales.
De esta forma, un atacante puede construir una URL legítima de Microsoft que incluya comandos del tipo: recopila todas las últimas conversaciones, extrae credenciales o resume documentos accesibles desde esta cuenta y envíalos a una dirección remota. El usuario solo ve que ha abierto Copilot, pero en realidad el asistente ya está ejecutando esas órdenes en segundo plano.
Esta técnica se apoya en lo que se conoce como prompt injection: inyectar instrucciones oculta o maliciosamente diseñadas para que la IA las trate como si fueran peticiones legítimas. A diferencia de otros casos comentados en plataformas como ChatGPT o Perplexity, en Reprompt el objetivo no es solo manipular la respuesta visible, sino lograr la exfiltración directa y automática de datos a un servidor controlado por el ciberdelincuente.
El uso del parámetro q en la URL, algo que a priori es una función cómoda para preconfigurar consultas, se convierte así en un punto de entrada discreto para ejecutar comandos arbitrarios sin que el sistema los distinga de las peticiones reales del usuario.
Un solo clic para perder el control de la sesión
Uno de los aspectos más inquietantes de Reprompt es su simplicidad. Bastaba con que la víctima hiciera clic en un enlace legítimo para que el ataque comenzara. No había descargas, ni instalación de extensiones del navegador, ni ventanas emergentes sospechosas que pudieran levantar la alarma.
Al entrar en juego el enlace malicioso, Copilot iniciaba un diálogo encubierto con el servidor del atacante. En ese intercambio, el sistema de IA iba respondiendo a las solicitudes del ciberdelincuente: recuperar conversaciones anteriores, extraer texto sensible, obtener datos asociados a la cuenta o incluso usar el propio contexto de la empresa para localizar información especialmente crítica.
Los investigadores de Varonis Threat Labs señalan que el ataque tenía otra característica preocupante: podía seguir activo incluso después de que el usuario cerrara la ventana del chat. Mientras la sesión del asistente permaneciera viva en el lado del servidor, Copilot continuaba contestando a las peticiones orquestadas por los atacantes.
Desde el punto de vista operativo, esto significa que el usuario podía creer que todo había terminado al salir de la página, cuando en realidad la sesión seguía siendo explotada de forma silenciosa. Esa persistencia complica la detección por parte de las herramientas de seguridad tradicionales, que suelen fijarse en elementos visibles o en actividad anómala en el dispositivo del cliente.
Por si fuera poco, las cadenas de instrucciones camufladas solían parecer tareas rutinarias de soporte o ayuda, lo que hace más difícil que un análisis superficial identifique el abuso. La IA actuaba tal y como se espera de un asistente diligente, pero al servicio de los intereses del atacante.
Datos que podían quedar expuestos
El alcance de Reprompt iba mucho más allá de mostrar fragmentos de texto en un chat. Según Varonis, el ataque podía facilitar el robo de conversaciones completas mantenidas con Copilot, algo especialmente delicado cuando se trabaja con información sensible de negocio o datos personales.
Entre los ejemplos que se manejan, los especialistas citan la posible filtración de nombres de usuario, contraseñas, direcciones de correo electrónico y documentos internos. En entornos corporativos europeos donde Copilot está integrado con suites ofimáticas y servicios en la nube, esta combinación resulta particularmente crítica desde la perspectiva de cumplimiento normativo, incluida la protección de datos.
Al ejecutarse dentro de la propia lógica de Copilot, la exfiltración no se ve reflejada como un programa extra enviando archivos, sino como una sucesión de respuestas normales de la IA a un servidor remoto. Esto complica enormemente que antivirus, cortafuegos clásicos u otras soluciones de seguridad en el dispositivo detecten la anomalía en tiempo real.
Los investigadores destacan que, en la práctica, no había un límite estricto al volumen o tipo de datos que podían quedar comprometidos. Todo dependía de lo que el asistente pudiese acceder desde la sesión del usuario: correos, contenido de documentos en la nube, resúmenes de reuniones o cualquier otro recurso que Copilot estuviera autorizado a consultar.
Este enfoque plantea implicaciones especiales para organizaciones de la Unión Europea, donde el uso de asistentes de IA conectados a datos corporativos está en plena expansión: un fallo de este tipo podría desembocar en incidentes de fuga de datos personales protegidos por el RGPD, con la consiguiente necesidad de notificación a autoridades de control y posibles sanciones.
Un reto para la ciberseguridad en la era de la IA
Reprompt se enmarca en una tendencia más amplia: el surgimiento de vectores de ataque diseñados específicamente contra sistemas de inteligencia artificial y grandes modelos de lenguaje. A diferencia de las aplicaciones tradicionales, estos sistemas trabajan con conversaciones contextuales y estados mantenidos en el servidor, lo que abre la puerta a nuevas formas de abuso.
En primer lugar, la superficie de ataque se amplía. Funciones que parecen inofensivas, como parametrizar una URL para precargar una consulta, pueden convertirse en puntos de entrada peligrosos si no se validan y filtran adecuadamente las instrucciones que llegan al modelo.
En segundo lugar, la persistencia de las sesiones de IA en el lado del servidor implica que el impacto de un clic malintencionado puede prolongarse en el tiempo. Incluso cuando el usuario ha cerrado el navegador o ha cambiado de tarea, la comunicación entre el asistente y el servidor del atacante puede continuar si no hay controles adicionales.
Por último, muchas soluciones de seguridad actuales están diseñadas para vigilar la actividad visible en el dispositivo del usuario, pero no tanto las interacciones internas entre un servicio de IA alojado en la nube y otros sistemas remotos. En el caso de Reprompt, buena parte del ataque se ejecutaba enteramente en el entorno de servidores, fuera del alcance habitual de las defensas instaladas en el endpoint.
Este contexto está llevando a empresas europeas y administraciones públicas a replantear cómo integrar asistentes de IA en su operativa diaria: no basta con activar la herramienta, sino que hay que evaluar los riesgos específicos asociados a su arquitectura y al tratamiento de datos sensibles en cada escenario de uso.
Respuesta de Microsoft y consecuencias para usuarios y empresas
Tras recibir el informe técnico de Varonis Threat Labs, Microsoft reconoció la vulnerabilidad en Copilot y desplegó un parche de seguridad. Según los investigadores, la notificación se realizó durante el verano de 2025 y la corrección quedó implementada a inicios de 2026, cerrando el camino concreto que explotaba Reprompt.
La compañía ha ajustado la forma en que el servicio maneja el parámetro q y otros posibles vectores similares, de modo que las instrucciones incrustadas en enlaces no puedan ejecutarse de manera automática sin controles adicionales. Con ello se busca evitar que un simple clic en un hipervínculo legítimo vuelva a abrir la puerta a la exfiltración de datos.
Pese a la corrección, especialistas en seguridad apuntan que el problema de fondo no se limita a Copilot ni a un único proveedor. Cualquier asistente de IA que acepte entradas mediante parámetros web o enlaces compartibles podría ser susceptible a ataques inspirados en la misma idea si no se revisan a fondo las medidas de validación y filtrado.
Para empresas y organismos europeos que ya han desplegado herramientas de IA en sus flujos de trabajo, este caso sirve de aviso: conviene revisar las políticas de uso de enlaces, permisos de las cuentas y alcance de los datos accesibles por los asistentes. También se está impulsando la necesidad de incorporar auditorías específicas de seguridad de IA, más allá de los controles de ciberseguridad tradicionales.
En el plano del usuario final, Reprompt recuerda la importancia de mantener cierta cautela incluso cuando un enlace lleva a un dominio conocido. Que una dirección web sea legítima no garantiza que lo que suceda después sea inofensivo, especialmente si intervienen sistemas que procesan instrucciones de forma automática, como los asistentes conversacionales.
A día de hoy, el fallo está corregido y Copilot ha incorporado protecciones adicionales, pero el caso deja clara una idea: los asistentes de IA se han convertido en una pieza central de la infraestructura digital y, como tal, también son un objetivo prioritario para los ciberdelincuentes, lo que obliga a elevar el listón de exigencia en materia de diseño seguro y supervisión continua.