Investigadores revelan una técnica que elude las protecciones de Microsoft Copilot y otros LLMs, permitiendo la exfiltración continua de datos confidenciales incluso después de cerrar el chat.
La conveniencia de la Inteligencia Artificial tiene un nuevo precio. Investigadores de seguridad han detallado una técnica de ataque denominada “Reprompting” (Repregunta), un método ingenioso que abusa de la forma en que los Grandes Modelos de Lenguaje (LLMs) procesan instrucciones secuenciales para robar información sensible.
Este ataque es particularmente peligroso porque no requiere plugins maliciosos ni permisos especiales; solo un clic en un enlace manipulado es suficiente para convertir a un asistente de confianza en un infiltrado persistente.
¿Qué es el “Reprompting”?
El ataque se basa en explotar la falta de “memoria de seguridad” en interacciones largas.
- El Mecanismo: Los atacantes aprovechan una inyección de prompt de tipo “Prompt de Parámetro 2” (P2P). Básicamente, insertan instrucciones ocultas dentro de una URL (el parámetro
qusado para entregar la consulta del usuario). - El Truco de la Repetición: Los filtros de seguridad de los LLMs suelen analizar y bloquear la solicitud inicial. Sin embargo, los investigadores descubrieron que al encadenar la solicitud maliciosa múltiples veces (instruir a la IA para realizar la tarea dos veces o de forma recursiva), las protecciones fallan.
- El Resultado: La IA obedece la instrucción “re-preguntada”, ignorando sus directrices de seguridad originales.
Anatomía del Ataque: Un Clic, Robo Continuo
El escenario descrito por Varonis con Microsoft Copilot es alarmante por su simplicidad y persistencia:
- El Cebo: La víctima hace clic en un enlace que parece inofensivo.
- La Inyección: Al cargarse Copilot, el enlace inyecta instrucciones que ordenan a la IA buscar datos sensibles (correos, documentos, notas) y enviarlos a un servidor controlado por el atacante.
- Persistencia Invisible: Lo más grave es que el ataque aprovecha la sesión activa del usuario. Incluso si la víctima cierra la ventana del chat, la instrucción inyectada puede mantener un “intercambio continuo” en segundo plano, solicitando más datos y recibiendo nuevas órdenes del servidor del atacante, actuando como una sesión de escucha permanente.
Impacto y Alcance
Aunque Microsoft ha confirmado que parcheó este vector específico en Copilot a fecha de 14 de enero de 2026, el concepto de “Reprompting” demuestra una debilidad sistémica en los asistentes de IA:
- Fuga de Datos: Exfiltración de PII (Información Personal Identificable), propiedad intelectual y comunicaciones internas.
- Bypass de DLP: Las herramientas tradicionales de prevención de pérdida de datos a menudo no pueden inspeccionar el tráfico cifrado generado por el asistente de IA legítimo.
El Nuevo Panorama de Amenazas de 2026
Este hallazgo se suma a una tendencia creciente donde los atacantes ya no atacan el firewall, sino al “Agente de IA”.
- Agentes como Blancos: Según expertos, 2026 será el año donde los hackers cambien su enfoque hacia los agentes de IA autónomos, que al estar “siempre encendidos” y tener acceso privilegiado a APIs y datos, representan el insider threat (amenaza interna) perfecto si son comprometidos.
- Extensiones Maliciosas: Paralelamente, se han detectado extensiones de navegador falsas (como clones de DeepSeek o ChatGPT) que realizan “Prompt Poaching”, robando el historial de conversaciones de los usuarios.
Recomendaciones
- Validación de Entradas Rigurosa: Sanitizar no solo el prompt inicial, sino monitorear la recursividad y las instrucciones encadenadas.
- Aislamiento de Sesión: Asegurar que las sesiones de IA terminen estrictamente cuando el usuario cierra la interfaz, impidiendo procesos en segundo plano no autorizados.
- Educación de Usuario: Tratar los enlaces que abren “chats pre-llenados” con la misma sospecha que un archivo adjunto desconocido.
