Reprompt: ataque crítico permite exfiltrar datos desde Microsoft Copilot

Investigadores de ciberseguridad han identificado un nuevo método de ataque denominado "Reprompt" que expone riesgos significativos para los usuarios de Microsoft Copilot Personal. Esta técnica permitiría a atacantes infiltrarse en la sesión activa de Copilot de una víctima y emitir comandos maliciosos capaces de exfiltrar datos sensibles de forma invisible, todo ello tras un único clic del usuario en un enlace aparentemente legítimo.

El hallazgo, realizado por expertos de la empresa de seguridad y análisis de datos Varonis, pone de relieve una nueva categoría de amenazas centradas en la manipulación de grandes modelos de lenguaje (LLM) integrados en sistemas operativos y aplicaciones de consumo. A diferencia de ataques tradicionales, Reprompt no requiere malware, extensiones, plugins ni interacción prolongada, lo que lo convierte en un vector de ataque especialmente peligroso y difícil de detectar.

¿Por qué Microsoft Copilot es un objetivo atractivo?

Microsoft Copilot Personal actúa como un asistente de inteligencia artificial vinculado a una cuenta personal de Microsoft. Está profundamente integrado en Windows, el navegador Edge y múltiples aplicaciones de consumo, lo que le permite acceder, razonar y responder en función de:

• Prompts proporcionados por el usuario
• Historial de conversaciones
• Contexto de uso
• Ciertos datos personales de Microsoft, dependiendo de permisos y configuración

Esta capacidad contextual, que es clave para su utilidad, también amplía la superficie de ataque, especialmente si un actor malicioso logra influir en las instrucciones que Copilot procesa dentro de una sesión autenticada.

Cómo funciona Reprompt: ataque en tres fases

Según Varonis, el ataque Reprompt se basa en tres técnicas complementarias que permiten al atacante tomar control lógico de la sesión de Copilot y mantener un flujo continuo de instrucciones maliciosas.

1. Inyección de parámetro a prompt (P2P)

Los investigadores descubrieron que Copilot acepta prompts directamente desde el parámetro q de la URL y los ejecuta automáticamente cuando la página se carga. Esto significa que un atacante puede ocultar instrucciones maliciosas dentro de una URL legítima de Copilot.

Si la víctima hace clic en el enlace —por ejemplo, recibido mediante phishing—, Copilot procesa el prompt sin que el usuario sea consciente, ejecutando acciones en su nombre.

Esta técnica, conocida como Parameter-to-Prompt Injection (P2P), puede utilizarse para extraer conversaciones previas, información contextual o datos personales accesibles para Copilot.

2. Técnica de doble petición para eludir salvaguardas

Copilot cuenta con protecciones diseñadas para evitar la filtración de información sensible, pero Varonis descubrió que estas salvaguardas solo se aplican a la primera solicitud.

Reprompt aprovecha esta debilidad mediante una técnica de doble petición, en la que el prompt instruye a Copilot para repetir la acción dos veces y comparar resultados. En sus pruebas, aunque la primera respuesta estaba limitada por los controles de seguridad, la segunda ejecución devolvía la información sensible completa, eludiendo las restricciones.

Un ejemplo documentado consistió en solicitar a Copilot que recuperara una frase secreta ("HELLOWORLD1234") presente en una URL accesible. Aunque el primer intento fue bloqueado, el segundo logró exfiltrar el dato con éxito.

3. Peticiones en cadena para exfiltración continua

La tercera técnica es la más sofisticada y peligrosa. En el modelo de peticiones en cadena, Copilot continúa recibiendo instrucciones dinámicas desde un servidor controlado por el atacante.

Cada respuesta generada por Copilot se utiliza para construir la siguiente solicitud, creando un canal persistente de ida y vuelta que permite la exfiltración continua y sigilosa de datos.

Lo más preocupante es que, dado que las instrucciones reales se entregan después del prompt inicial, las herramientas de seguridad del lado del cliente no pueden determinar qué información se está robando simplemente analizando la URL original.

Persistencia del ataque tras un solo clic

Uno de los aspectos más críticos de Reprompt es que aprovecha la sesión autenticada existente de Copilot. Tras el clic inicial:

• La sesión sigue siendo válida
• El atacante puede continuar enviando instrucciones
• El acceso persiste incluso si el usuario cierra la pestaña de Copilot

Esto transforma un simple clic en un compromiso prolongado de la sesión LLM, sin señales visibles para la víctima.

Divulgación responsable y corrección por parte de Microsoft

Varonis reveló Reprompt de forma responsable a Microsoft el 31 de agosto de 2025. Tras la investigación y el desarrollo de mitigaciones, el problema fue corregido oficialmente durante el Patch Tuesday de enero de 2026.

Hasta el momento, no hay evidencia de explotación activa en la naturaleza, pero el potencial de abuso llevó a Microsoft a aplicar una solución preventiva para cerrar este vector de ataque.

Alcance del impacto: Copilot Personal vs Microsoft 365 Copilot

Varonis aclaró que Reprompt solo afectaba a Copilot Personal, utilizado por consumidores. Microsoft 365 Copilot, orientado a entornos empresariales, no se vio afectado, ya que cuenta con controles de seguridad adicionales, entre ellos:

• Auditorías avanzadas mediante Microsoft Purview
• Data Loss Prevention (DLP) a nivel de inquilino
• Restricciones y políticas impuestas por administradores

Estas medidas reducen significativamente la viabilidad de ataques basados en manipulación de prompts.

Recomendaciones de seguridad

Aunque el problema ya ha sido corregido, los expertos recomiendan:

• Aplicar inmediatamente las últimas actualizaciones de seguridad de Windows
• Mantener una postura cautelosa frente a enlaces de Copilot recibidos por correo electrónico
• Reforzar campañas de concienciación sobre phishing
• Evaluar los riesgos asociados a asistentes de IA integrados en flujos críticos

Un nuevo paradigma de amenazas contra la IA

Reprompt demuestra que los ataques contra sistemas de IA no siempre requieren vulnerabilidades clásicas, sino que pueden explotar comportamientos lógicos, flujos de confianza y dependencias implícitas en los modelos de lenguaje.

Este caso subraya la necesidad de repensar la seguridad en asistentes basados en IA, especialmente a medida que se integran cada vez más en sistemas operativos, navegadores y aplicaciones empresariales.