Un nuevo vector de ataque dirigido a asistentes de inteligencia artificial ha puesto en evidencia las complejidades y riesgos emergentes en torno a herramientas cada vez más integradas en la vida digital de empresas y usuarios individuales. Investigadores de Varonis Threat Labs han puesto al descubierto una técnica denominada Reprompt, una vulnerabilidad que permitía a ciberdelincuentes exfiltrar datos sensibles de sesiones de Microsoft Copilot con tan solo un clic en un enlace legítimo.

La amenaza se detectó recientemente y ha generado preocupación debido a su simplicidad y eficacia: no requería descargar software malicioso, no dependía de técnicas complejas de ingeniería social más allá de un enlace aparentemente seguro y, lo que es más preocupante, permitía al atacante mantener el control de la sesión incluso después de que el usuario cerrara el chat de Copilot.

¿Qué es Reprompt y cómo funciona?

El ataque Reprompt explota una propiedad poco conocida de Microsoft Copilot: la capacidad de aceptar entradas o “prompts” a través de un parámetro en la URL denominado q. Este parámetro se utiliza normalmente para prellenar campos de búsqueda o consultas en la interfaz de Copilot, pero los investigadores de Varonis descubrieron que podía manipularse para inyectar instrucciones arbitrarias que la IA ejecutaba automáticamente cuando se cargaba la página.

Por ejemplo, una dirección como http://copilot.microsoft.com/?q=Hola carga Copilot con la instrucción de saludar. Sin embargo, si un atacante sustituye ese saludo por una instrucción maliciosa, la IA la procesará de forma automática al cargar la URL, sin que el usuario necesite interactuar de ninguna otra forma.

En el caso de Reprompt, los adversarios podían incrustar en el parámetro q comandos que redirigieran las respuestas de Copilot hacia un servidor controlado por ellos, exfiltrando así conversaciones completas, credenciales, historial de interacción e incluso otros datos sensibles accesibles por la sesión de usuario.

Un clic para comprometer Copilot

Lo que hace especialmente preocupante al ataque Reprompt es que bastaba un solo clic en un enlace legítimo y aparentemente inofensivo para que el exploit se activara. No se requería instalar complementos, otorgar permisos adicionales ni ejecutar archivos maliciosos. El simple acto de cargar la página con un parámetro q especialmente diseñado era suficiente para que Copilot empezara a procesar instrucciones dañinas.

Además, el exploit podía continuar funcionando incluso después de que el usuario cerrara la ventana de chat, ya que Copilot mantenía activa la sesión de IA en el servidor, permitiendo a los atacantes seguir extrayendo datos sin interacción adicional. Esta persistencia del control es una característica que complica su detección y requiere nuevos enfoques de defensa.

Ante la gravedad de la situación, Varonis registró y reportó la vulnerabilidad a Microsoft durante agosto de 2025. La compañía de Redmond implementó una corrección de seguridad en enero de 2026, mitigando el riesgo y cerrando la puerta a nuevas explotaciones de este tipo. Sin embargo, el incidente plantea importantes preguntas sobre la seguridad de los asistentes de IA y la necesidad de enfoques más robustos para proteger tanto a usuarios domésticos como corporativos.

La importancia de Reprompt en el escenario de la ciberseguridad actual

El caso de Reprompt forma parte de una tendencia más amplia en la aparición de vectores de ataque específicos contra sistemas de inteligencia artificial y grandes modelos de lenguaje (LLM). A diferencia del software tradicional, las IA como Copilot procesan datos de forma dinámica y mantienen estado contextual de las conversaciones, lo que introduce nuevos riesgos:

  • Superficie de ataque ampliada: funciones aparentemente benignas, como los parámetros q en URLs, pueden convertirse en puntos de entrada para comandos maliciosos si no se filtran y validan adecuadamente.

  • Persistencia de sesión: el hecho de que una sesión de IA pueda mantener estado después de que el usuario abandone la interfaz ofrece una oportunidad para ataques silenciosos y prolongados.

  • Bypass de controles tradicionales: muchas herramientas de seguridad que analizan prompts y respuestas cliente-lado no pueden detectar actividades maliciosas que ocurren enteramente en el servidor, como en este caso.

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre