Un nuevo método de ciberataque usa Copilot para robar información de los usuarios

Un nuevo método de ciberataque pone en alerta a los usuarios de herramientas de inteligencia artificial. Investigadores de seguridad identificaron una vulnerabilidad que permite robar datos personales a través de Copilot, el asistente de IA de Microsoft, con solo hacer clic en un enlace aparentemente legítimo.

El ataque, bautizado como Reprompt, aprovecha fallos en la forma en que estos sistemas interpretan instrucciones ocultas, sin necesidad de que la víctima descargue archivos ni instale software malicioso.

El hallazgo fue realizado por especialistas de Varonis Threat Labs, quienes detectaron que un atacante puede insertar comandos maliciosos dentro de un enlace que apunta directamente a dominios oficiales de Microsoft, como copilot.com.

Debido a que la URL parece confiable, el usuario no sospecha y abre el enlace, momento en el que la IA comienza a ejecutar instrucciones ocultas que derivan en la filtración de información sensible.

Según los investigadores, Reprompt representa un riesgo significativo porque burla los mecanismos de seguridad tradicionales y se apoya en la confianza del usuario y en el funcionamiento interno de la IA.

El ataque permite extraer datos como nombres de usuario, contraseñas, correos electrónicos, documentos internos y otro tipo de información privada, todo sin que la víctima perciba una señal clara de que algo está ocurriendo.

Cómo funciona el ataque Reprompt

El método se basa en una técnica conocida como prompt injection, que consiste en introducir instrucciones maliciosas dentro de mensajes que la inteligencia artificial interpreta como órdenes legítimas. En el caso de Reprompt, estas instrucciones se ocultan dentro de un parámetro específico de los enlaces web, identificado como q, que Copilot utiliza para procesar consultas.

Cuando el usuario hace clic en el enlace, Copilot interpreta automáticamente el contenido del parámetro q como si fuera un mensaje enviado por el propio usuario. De este modo, el asistente ejecuta la orden sin mostrar alertas visibles, procesando la solicitud en segundo plano y enviando los datos a un servidor controlado por el atacante.

Los expertos explican que la instrucción suele estar redactada de forma engañosa, simulando una acción de ayuda o una tarea legítima. A través de cadenas de solicitudes, la IA puede recopilar información almacenada en el contexto del usuario y transmitirla sin que este tenga control directo sobre el proceso.

Qué lo hace diferente de otros ataques

Aunque la vulnerabilidad del parámetro q ya había sido mencionada en el pasado en relación con otros asistentes como ChatGPT o Perplexity, Reprompt introduce un elemento clave: la exfiltración directa de datos hacia servidores externos. Esto significa que la información no queda solo expuesta dentro de la conversación, sino que es enviada fuera del entorno del usuario.

Además, los investigadores advierten que no existe un límite claro sobre la cantidad o el tipo de datos que pueden ser robados. Dado que todo ocurre durante la comunicación entre el usuario y la IA, las herramientas de seguridad tradicionales del lado del cliente no logran detectar la filtración en tiempo real.

“Las verdaderas fugas de datos se producen dinámicamente durante la comunicación de ida y vuelta con el asistente”, explicaron desde Varonis Threat Labs, señalando que este tipo de ataques plantea nuevos desafíos para la seguridad en entornos con inteligencia artificial.

Respuesta de Microsoft y riesgos persistentes

Microsoft confirmó que la vulnerabilidad identificada en Copilot ya fue corregida mediante un parche de seguridad. Sin embargo, los especialistas advierten que el problema no se limita a una sola plataforma. Otras aplicaciones y asistentes basados en IA podrían ser vulnerables a técnicas similares si no ajustan la forma en que procesan enlaces y parámetros externos.

Este caso vuelve a poner en discusión los riesgos asociados al uso cotidiano de asistentes inteligentes, especialmente en entornos laborales donde se maneja información confidencial. La integración profunda de la IA con correos, documentos y servicios en la nube amplía la superficie de ataque para los ciberdelincuentes.