Una reciente investigación ha encendido las alarmas en el ámbito de la ciberseguridad al revelar una vulnerabilidad crítica en el uso de herramientas de inteligencia artificial. Se trata de un novedoso método de ataque que permite la extracción de información confidencial a través de Copilot, el asistente desarrollado por Microsoft, con solo un clic en un enlace que aparenta ser inofensivo.
Esta amenaza, denominada por los expertos como Reprompt, se fundamenta en fallos de interpretación de órdenes ocultas dentro del sistema. Lo más preocupante es que este ataque no requiere que el usuario descargue archivos peligrosos ni instale programas de origen dudoso para comprometer su seguridad y privacidad.
El equipo de especialistas de Varonis Threat Labs fue el responsable de identificar este riesgo. Según su reporte, los atacantes logran incrustar comandos de carácter malicioso en enlaces que dirigen a dominios oficiales y legítimos de la compañía, tales como copilot.com.
El peligro radica precisamente en la apariencia de legalidad de la URL, lo que reduce la sospecha del usuario. Al acceder al vínculo, la inteligencia artificial empieza a ejecutar una serie de procesos invisibles que terminan filtrando datos privados hacia el exterior de forma automatizada.
De acuerdo con el análisis técnico, Reprompt constituye una amenaza de alto impacto porque logra evadir los filtros de seguridad convencionales, aprovechándose tanto de la arquitectura interna de la IA como de la confianza que los usuarios depositan habitualmente en la herramienta.
A través de este método, es posible sustraer información extremadamente sensible, incluyendo nombres de usuario, contraseñas, correos electrónicos y documentos corporativos internos. Todo esto sucede sin que la víctima detecte ninguna señal de alerta o actividad inusual en su interfaz de trabajo diaria.
Mecánica de la vulnerabilidad Reprompt
La base de este ciberataque es una técnica conocida como prompt injection. En esencia, consiste en introducir instrucciones dañinas camufladas como si fueran peticiones legítimas para que la IA las procese. En el caso específico de Reprompt, estos comandos se esconden en un parámetro de la URL identificado con la letra q, el cual es utilizado por Copilot para gestionar las consultas iniciales.
Cuando una persona hace clic en el enlace preparado, Copilot interpreta el contenido del parámetro q como si fuera un mensaje redactado por el propio usuario. De esta forma, el asistente realiza la acción solicitada por el atacante en segundo plano, sin generar notificaciones visibles y enviando los resultados obtenidos a servidores controlados por terceros.
Los especialistas detallan que las órdenes suelen estar redactadas de forma engañosa para parecer procesos de soporte o tareas de ayuda rutinarias. Mediante una secuencia de solicitudes automáticas, la inteligencia artificial recopila datos del entorno del usuario y los transmite sin que exista una posibilidad de intervención directa por parte de la víctima del fraude.
¿Por qué Reprompt es diferente a otras amenazas?
Si bien el uso del parámetro q para manipular asistentes ya se había observado en plataformas como ChatGPT o Perplexity, la técnica Reprompt introduce una variante crítica: la exfiltración directa de datos hacia servidores externos. Esto garantiza que la información no solo se visualice en el chat, sino que sea extraída fuera del entorno seguro de la cuenta del usuario.
Asimismo, desde Varonis Threat Labs advierten que no hay límites establecidos sobre el volumen o el tipo de información que puede verse comprometida. Debido a que la filtración ocurre durante el flujo de comunicación activo entre el usuario y el sistema, las herramientas de seguridad tradicionales que protegen el dispositivo del cliente no son capaces de detectar el robo en tiempo real.
“Las verdaderas fugas de datos se producen dinámicamente durante la comunicación de ida y vuelta con el asistente”, señalaron los investigadores de la firma de seguridad al explicar la complejidad del ataque.
Acciones de Microsoft y el panorama de riesgos persistentes
Tras el reporte de los hallazgos, Microsoft confirmó que la vulnerabilidad detectada en Copilot ya fue solucionada mediante la implementación de un parche de seguridad. No obstante, los expertos subrayan que el problema de fondo no se limita a una sola plataforma. Diferentes aplicaciones y asistentes basados en IA podrían ser blanco de ataques similares si no se refuerza el procesamiento de parámetros externos y enlaces web.
Este incidente reabre el debate sobre la seguridad en el uso cotidiano de asistentes inteligentes, especialmente en el ámbito profesional donde se gestionan activos digitales críticos. La profunda conexión de la IA con servicios de nube, documentos compartidos y bandejas de correo incrementa notablemente las posibilidades de ataque para los cibercriminales, exigiendo nuevas medidas de protección.
Fuente: Infobae