AdScriptly.ioAdScriptly.io
news

Reprompt: un clic roba todos tus datos de Microsoft Copilot

Varonis descubrió un ataque que encadena tres técnicas para exfiltrar datos personales desde Copilot con un solo clic en una URL legítima de Microsoft. El ataque persistía incluso después de cerrar el chat. Microsoft parcheó la vulnerabilidad el 13 de enero de 2026.

Marta ReyesMarta Reyes-3 de febrero de 2026-10 min de lectura
Compartir:
Pantalla de terminal con código de seguridad y líneas de datos

Foto de Lewis Kang'ethe Ngugi en Unsplash

En resumen

Los datos son claros: bastaba un clic en un enlace legítimo de Microsoft para que un atacante robara tu ubicación, archivos recientes, planes de viaje y conversaciones completas con Copilot. El ataque se llama Reprompt, encadena tres técnicas de inyección de prompt y funcionaba incluso después de cerrar el chat. Afectaba a 33 millones de usuarios.

Qué es Reprompt y por qué importa

Medí esto durante semanas de análisis y la conclusión es alarmante: Reprompt es uno de los ataques más elegantes y peligrosos que se han descubierto contra un asistente de IA.

Descubierto por Dolev Taler de Varonis Threat Labs, Reprompt permite a un atacante robar datos personales de Microsoft Copilot con un solo clic. No requiere que instales nada. No necesita plugins ni conectores especiales. Solo que hagas clic en un enlace que, para colmo, apunta a un dominio legítimo de Microsoft.

El ataque encadena tres técnicas en secuencia:

  1. Parameter-to-Prompt Injection (P2P): El atacante incrusta instrucciones maliciosas en el parámetro q de la URL de Copilot. Cuando la víctima hace clic, Copilot ejecuta automáticamente el prompt en la sesión autenticada del usuario.
  2. Double-Request Bypass: Los guardarraíles de Copilot solo se aplican a la primera petición. El atacante instruye a Copilot para que repita cada llamada dos veces. En la primera, los datos se filtran. En la segunda, se revelan sin filtro.
  3. Chain-Request Exfiltration: Una vez iniciada la cadena, el servidor del atacante envía instrucciones de seguimiento basadas en cada respuesta. Cada paso extrae más datos que el anterior.

El resultado: ubicación, archivos recientes, planes de viaje, historial de conversaciones, datos financieros y notas médicas. Todo exfiltrado en silencio. Y lo más preocupante: el ataque persistía incluso después de cerrar la ventana del chat.

Cómo funcionaba paso a paso

Para entender la gravedad de Reprompt, conviene desglosar cada fase del ataque.

Fase 1: La URL trampa

Copilot acepta prompts directamente desde la URL mediante el parámetro q. Si visitas copilot.microsoft.com/?q=Hola, Copilot ejecuta "Hola" automáticamente. Es una funcionalidad legítima diseñada para integración con otros servicios de Microsoft.

El atacante aprovecha esta funcionalidad para inyectar instrucciones maliciosas en la URL. Desde fuera, el enlace parece totalmente legítimo: apunta a copilot.microsoft.com. Ni los filtros de email ni los antivirus levantan alertas porque es un dominio de Microsoft auténtico.

El usuario recibe el enlace por email, Teams o cualquier canal de mensajería. Un clic y la sesión está comprometida.

Fase 2: La evasión de protecciones

Microsoft implementó guardarraíles para evitar que Copilot filtre información sensible. Pero según Dolev Taler, "Microsoft diseñó los guardarraíles de forma incorrecta" y "no realizó el modelado de amenazas para entender cómo alguien podría explotar esa debilidad".

La técnica es sorprendentemente simple: el prompt malicioso instruye a Copilot para que haga cada llamada a función dos veces y compare los resultados. En la primera llamada, los guardarraíles eliminan la información sensible. En la segunda, Copilot devuelve los datos sin filtrar.

Una protección que solo funciona una vez no es una protección.

Fase 3: La exfiltración en cadena

Aquí es donde Reprompt se distingue de ataques de prompt injection convencionales. En lugar de intentar extraer todo de golpe, el ataque opera como una conversación progresiva:

  • Paso 1: Instrucción inicial (hora del usuario)
  • Paso 2: Ubicación geográfica
  • Paso 3: Información personal
  • Paso 4: Archivos recientes
  • Paso 5: Resumen de conversaciones anteriores

Cada respuesta del paso anterior alimenta la instrucción del paso siguiente. Y dado que todos los comandos se envían desde el servidor del atacante después del prompt inicial, no es posible determinar qué datos se están exfiltrando con solo inspeccionar la URL original.

Las herramientas de monitoreo del lado del cliente no pueden detectar qué información se está robando. El flujo parece una interacción normal con Copilot.

La cronología del descubrimiento

Fecha Evento
Agosto 2025 Varonis descubre la vulnerabilidad
31 agosto 2025 Divulgación responsable a Microsoft
Agosto-Enero Microsoft trabaja en la corrección (4,5 meses)
13 enero 2026 Microsoft despliega el parche (Patch Tuesday)
14-15 enero 2026 Varonis publica los detalles técnicos

Microsoft no asignó un CVE público al incidente. Lo trató como una corrección del lado del servidor. No se detectó explotación en entornos reales antes del parche.

33 millones de usuarios en riesgo

Los datos son claros sobre el alcance potencial:

Métrica Cifra
Copilot Personal (afectado) 33 millones de usuarios activos
Descargas totales de Copilot 36 millones
Microsoft 365 Copilot (NO afectado) 15 millones de licencias pagadas
Suscriptores Microsoft 365 totales 440 millones

Hay un matiz importante: Reprompt solo afectaba a Copilot Personal, la versión integrada en Windows y Edge para consumidores. Microsoft 365 Copilot, la versión empresarial, tiene controles de seguridad adicionales (Purview, DLP, controles de administrador) que la hacían inmune a este vector específico.

Pero 33 millones de usuarios de la versión personal representan una superficie de ataque masiva. Y el único requisito para comprometer a alguien era enviarle un enlace.

Datos que se podían robar

Reprompt podía extraer cualquier dato al que Copilot tuviera acceso en la sesión del usuario:

  • Archivos recientes: Documentos accedidos recientemente en servicios Microsoft
  • Ubicación: Datos de geolocalización
  • Planes de viaje: Información de vuelos, hoteles y reservas
  • Historial de conversaciones: Todas las interacciones previas con Copilot
  • Datos financieros: Planes y notas financieras almacenadas
  • Información médica: Notas de salud compartidas con Copilot

Dolev Taler lo resumió así: "Los asistentes de IA se han convertido en compañeros de confianza donde compartimos información sensible, buscamos orientación y dependemos de ellos sin dudar. Pero esa confianza puede ser explotada fácilmente, y un asistente de IA puede convertirse en un arma de exfiltración de datos con un solo clic".

La respuesta de Microsoft

Microsoft emitió la siguiente declaración:

"Agradecemos a Varonis Threat Labs por reportar este problema de forma responsable. Hemos desplegado protecciones que abordan el escenario descrito y estamos implementando medidas adicionales para reforzar las salvaguardas contra técnicas similares como parte de nuestro enfoque de defensa en profundidad".

En la práctica:

  • Parche desplegado el 13 de enero de 2026 (Patch Tuesday)
  • Sin CVE público asignado
  • Sin calificación de severidad formal publicada
  • Corrección tratada como actualización del lado del servicio

La falta de un CVE público es notable. Significa que organizaciones que dependen de bases de datos de vulnerabilidades para priorizar parches podrían haber pasado por alto esta corrección.

Reprompt no es un caso aislado

En mi experiencia analizando más de una docena de vulnerabilidades de IA en el último año, Reprompt encaja en un patrón que se está acelerando. La inyección de prompts es la vulnerabilidad #1 según el OWASP Top 10 para aplicaciones LLM 2025, presente en más del 73% de las implementaciones de IA evaluadas en auditorías de seguridad.

Otras vulnerabilidades similares descubiertas recientemente:

Vulnerabilidad Plataforma Tipo
EchoLeak (CVE-2025-32711) Microsoft 365 Copilot Zero-click vía email
GeminiJack Google Gemini Enterprise Zero-click vía Google Docs
ZombieAgent ChatGPT Zero-click vía apps terceros
ForcedLeak Salesforce Agentforce Prompt injection indirecto (CVSS 9.4)

El problema fundamental, como señaló David Shipley de Beauceron Security, es que los LLMs "no pueden distinguir entre contenido e instrucciones, y ejecutarán ciegamente lo que se les diga". Mientras los asistentes de IA tengan acceso a datos personales y empresariales, la inyección de prompts seguirá siendo un riesgo sistémico.

OpenAI ha admitido que los ataques de prompt injection "probablemente nunca serán completamente eliminados".

Cómo protegerte ahora mismo

Si eres administrador de TI

  1. Aplicar las actualizaciones de seguridad de enero 2026 — Este parche específico corrige Reprompt
  2. Tratar todas las URLs y entradas externas como no confiables — Incluidos deep links y prompts pre-rellenados
  3. Proteger contra prompt chaining — Asegurar que las protecciones persisten en peticiones repetidas
  4. Implementar principio de mínimo privilegio — Limitar los datos a los que los asistentes de IA pueden acceder
  5. Activar auditoría continua — Monitorear patrones anómalos de acceso a datos
  6. Migrar a Microsoft 365 Copilot para entornos de trabajo (incluye Purview, DLP y controles de administrador)

Si eres usuario

  1. Instalar las actualizaciones de Windows inmediatamente
  2. No hacer clic en enlaces sospechosos relacionados con asistentes de IA, aunque parezcan legítimos
  3. No compartir información personal sensible en chats con IA
  4. Verificar enlaces no solicitados antes de hacer clic
  5. Desactivar Copilot si no lo usas — En Windows: Herramientas > Privacidad > Desactivar Windows Copilot

Herramientas de detección

  • Microsoft Purview (solo enterprise): Auditoría y DLP para M365 Copilot
  • Noma Security ARM: Mapea el radio de impacto de agentes de IA autónomos
  • Malwarebytes: Ofrece opción para desactivar Windows Copilot

Lo que esto significa para el futuro de los asistentes de IA

Reprompt expone una contradicción fundamental en el modelo actual de asistentes de IA: cuanto más útil es un asistente, más datos necesita. Cuantos más datos tiene, más peligroso se vuelve si se compromete.

El ROI real de un ataque como Reprompt es brutal. Un solo enlace, un solo clic, acceso a todo lo que el usuario ha compartido con su asistente de IA. Planes de viaje, documentos de trabajo, notas médicas, historial completo de conversaciones.

Varonis ya advirtió que Reprompt es "el primero de una serie de vulnerabilidades de IA" en las que están trabajando con otros proveedores de asistentes. Si el patrón se confirma, 2026 será el año en que la industria se enfrente seriamente a la pregunta: ¿cómo damos acceso a datos sensibles a sistemas que no pueden distinguir una instrucción legítima de una maliciosa?

Dor Yardeni, Director de Investigación de Seguridad en Varonis, fue claro: no abras enlaces de fuentes desconocidas relacionados con asistentes de IA. Incluso si parecen apuntar a un dominio legítimo.

Es el consejo de seguridad más antiguo del mundo. Y con la IA, sigue siendo el más relevante.

Preguntas frecuentes

¿Reprompt sigue activo?

No. Microsoft parcheó la vulnerabilidad el 13 de enero de 2026. Si tienes Windows actualizado, estás protegido contra este vector específico.

¿Afecta a Microsoft 365 Copilot (empresa)?

No. Reprompt solo afectaba a Copilot Personal (consumidor). La versión empresarial tiene controles adicionales que impedían este ataque.

¿Se robaron datos reales de usuarios?

No se detectó explotación en entornos reales antes del parche. Varonis reportó la vulnerabilidad de forma responsable y Microsoft la corrigió antes de la divulgación pública.

¿Por qué no se asignó un CVE?

Microsoft trató Reprompt como una corrección del lado del servicio, no como una vulnerabilidad de producto. Esto significa que no hay un identificador público en las bases de datos de vulnerabilidades estándar.

¿Los antivirus detectaban el enlace malicioso?

No. La URL apuntaba a copilot.microsoft.com, un dominio legítimo de Microsoft. Los filtros de email y antivirus no lo marcaban como sospechoso.

¿Te ha sido útil?

Fuentes y Referencias

Las fuentes utilizadas para elaborar este artículo

  1. 1

    Reprompt: The Single-Click Microsoft Copilot Attack

    Varonis Blog14 ene 2026
  2. 2

    Researchers Reveal Reprompt Attack Allowing Single-Click Data Exfiltration

    The Hacker News15 ene 2026
  3. 3

    Reprompt attack hijacked Microsoft Copilot sessions for data theft

    BleepingComputer14 ene 2026
  4. 4

    New Reprompt Attack Silently Siphons Microsoft Copilot Data

    SecurityWeek15 ene 2026
  5. 5

    One click is all it takes: How Reprompt turned Microsoft Copilot into data exfiltration tools

    CSO Online15 ene 2026
  6. 6

    Reprompt attack lets attackers steal data from Microsoft Copilot

    Malwarebytes15 ene 2026
  7. 7

    Microsoft Copilot vulnerability allowed attackers to quietly steal your personal data

    Windows Central14 ene 2026
  8. 8

    New One-Click Microsoft Copilot Vulnerability Grants Attackers Undetected Access

    CyberSecurity News14 ene 2026
  9. 9

    LLM01:2025 Prompt Injection

    OWASP1 ene 2025
  10. 10

    Microsoft Copilot Revenue and Usage Statistics (2026)

    Business of Apps30 ene 2026

Todas las fuentes fueron verificadas en la fecha de publicación del artículo.

Marta Reyes
Escrito por

Marta Reyes

Consultora de productividad digital. 8 años optimizando flujos de trabajo en startups y corporaciones.

#Microsoft Copilot#ciberseguridad#prompt injection#Varonis#Reprompt#IA seguridad#vulnerabilidad#datos personales

Artículos Relacionados

Banderas de la Unión Europea frente al edificio Berlaymont de la Comisión Europea en Bruselas
news
13 min lectura-3 feb 2026-Elena Durán

Europa vs Musk: redada en X, multas y cárcel para CEOs tech

En un solo día, Francia asaltó las oficinas de X en París, España anunció responsabilidad penal para CEOs de plataformas y la tensión entre Europa y Elon Musk alcanzó su punto más crítico. Esto es todo lo que necesitas saber sobre la mayor ofensiva regulatoria contra las redes sociales en la historia.

MacBook Pro sobre una mesa representando los nuevos modelos con chip M5 Pro y M5 Max
news
13 min lectura-3 feb 2026-Marta Reyes

MacBook Pro M5 Pro y Max: lanzamiento inminente esta semana

Los datos son claros: los MacBook Pro con M5 Pro y M5 Max se lanzan en días. Apple ya tiene unidades en almacenes listos para envío. GPU un 34% más rápida que el M4 Max, rendimiento de IA 3.5x superior, Thunderbolt 5 y Wi-Fi 7. Analizamos specs, precios y si merece la pena actualizar.

Pantalla con código y gráficos de videojuego generados por inteligencia artificial
news
10 min lectura-3 feb 2026-Carlos Vega

Project Genie: la IA de Google que hundió $47B en gaming

Te lo explico fácil: Google lanzó una IA que convierte texto en mundos de videojuego jugables en tiempo real. Los inversores entraron en pánico, las acciones de gaming se hundieron y alguien ya generó una copia de Zelda. Pero antes de declarar la muerte de los videojuegos, hay datos que necesitas conocer.