El mundo empieza a estar un poco cansado de Copilot, es más, puede que hasta le haya cogido manía mucha gente por el uso en su oficina. Además, parece que a Microsoft y OpenAI no les está saliendo bien la jugada ya que Google ha convencido a Apple de usar Gemini en luchar de ChatGPT para su Apple Intelligence, un gran golpe.
Pero, además hemos descubierto una vulnerabilidad en Copilot, que afortunadamente ya ha sido parcheada, que ha servido para robar datos. Microsoft sigue teniendo el mismo problema de siempre, llega el primero pero no sabe vender el gran trabajo que han hecho y le acaban adelantando.
El exploit “Reprompt” de Microsoft Copilot: cómo un enlace podía exfiltrar datos con un solo clic
Varonis Threat Labs ha publicado los detalles de “Reprompt”, un ataque que permitía robar información del usuario desde Copilot con un solo clic en un enlace especialmente preparado. Microsoft ya lo ha corregido el 13 de enero de 2026, coincidiendo con el Patch Tuesday de enero.
Y aquí está lo incómodo: no hablamos del típico “haz clic y luego acepta 14 permisos”. La gracia (negra) de Reprompt es que la interacción podía reducirse a abrir un link; a partir de ahí, el flujo se volvía automático. Es decir, con tan solo un clic estábamos completamente expuestos.
Qué es exactamente “Reprompt” y por qué da miedo
En cristiano: el ataque aprovechaba que Copilot admite prompts embebidos en la URL mediante un parámetro llamado q (el típico truco de “rellenar automáticamente” un cuadro de texto al cargar la página). Según Varonis, un atacante podía camuflar instrucciones maliciosas en ese parámetro y conseguir que Copilot ejecutara acciones en nombre del usuario.
La cadena descrita por los investigadores incluye varias técnicas para sortear protecciones:
Parameter-to-Prompt (P2P): usar
qpara inyectar instrucciones.Double-request: forzar una repetición para saltarse salvaguardas que solo se aplicaban (bien) a la primera petición.
Chain-request: encadenar órdenes desde un servidor del atacante para mantener la exfiltración “viva” y silenciosa.
La explicación para que todos podáis entenderlo, el atacante podía intentar sacar datos del contexto accesible por Copilot (historial, contenido consultado, información asociada a la cuenta/servicios según permisos) y enviarlos a su infraestructura. Windows Central lo resume con ejemplos muy gráficos del tipo “qué archivos ha visto hoy el usuario” o “dónde está ubicado”.
¿A quién afectaba y qué ha hecho Microsoft?
Según el desglose publicado, Reprompt afectaba a Copilot Personal, no a Microsoft 365 Copilot (entornos empresariales), que suele venir acompañado de más controles (auditoría, DLP, restricciones administrativas, etc.).
En cuanto a la cronología: Varonis reportó el problema a Microsoft a finales de agosto de 2025 y el arreglo llegó el 13/01/2026. El problema es que parcheado solo significa que esta puerta de acceso se ha cerrado pero siguen habiendo muchas. La IA se puede resumir, tanto en Copilot como en cualquier otro modelo: Copilot es útil porque toca cosas, y tocar cosas implica que la superficie de ataque crece.
