Copilot de Microsoft permitía a los hackers acceder a códigos 2FA con un solo clic
Por Victor Tangermann .Publicado el
2026/06/17 20:06
Los chatbots impulsados por inteligencia artificial han sufrido un nuevo revés en materia de ciberseguridad. Apenas dos semanas después de que un fallo en el asistente virtual de Meta permitiera a atacantes tomar el control de cuentas de Instagram, investigadores de seguridad han descubierto una vulnerabilidad crítica en Copilot Enterprise de Microsoft que podía convertir al chatbot en una herramienta de exfiltración de datos activada con un solo clic.
Microsoft clasificó la vulnerabilidad con el nivel máximo de gravedad y publicó una actualización de seguridad urgente tras recibir el informe de la firma de ciberseguridad Varonis, responsable del descubrimiento del fallo.
Mecanismo de infiltración y escalada de privilegios
Según los investigadores, el ataque era sorprendentemente simple. El atacante creaba un enlace malicioso diseñado para ordenar a Copilot que revisara los correos electrónicos de la víctima, extrajera los asuntos de los mensajes y los incorporara dentro de la URL de una imagen específica. La víctima no tenía que introducir ninguna instrucción: bastaba con hacer clic en el enlace para que la inteligencia artificial ejecutara el resto del proceso.
Debido a que la versión empresarial de Copilot dispone de amplios permisos para acceder a los datos corporativos del usuario, el atacante podía aprovechar indirectamente esos privilegios para obtener información interna de la organización sin necesidad de autenticarse ni iniciar sesión. Como consecuencia, era posible acceder a comunicaciones confidenciales e incluso recuperar mensajes que contenían códigos de autenticación de dos factores (2FA) utilizados por diversos servicios asociados a la cuenta.
Para llevar a cabo la intrusión, los investigadores emplearon una técnica conocida como Prompt-to-Parameter Injection (P2P), una variante avanzada de las tradicionales prompt injections. Este tipo de ataques manipula a los grandes modelos de lenguaje (LLM) mediante instrucciones ocultas destinadas a hacer que el sistema ignore sus restricciones originales. En este caso, la instrucción maliciosa no se encontraba en el texto visible de la conversación, sino escondida en los parámetros de configuración del enlace.
Abuso de dominios de confianza
El ataque utilizaba el motor de búsqueda Bing para ejecutar la cadena de explotación, ocultando la instrucción maliciosa dentro de un enlace perteneciente al dominio oficial de Bing. Al tratarse de una dirección considerada legítima y de confianza por los sistemas de seguridad de Microsoft, el enlace no despertaba sospechas.
Dado que la vulnerabilidad afectaba específicamente al entorno empresarial de Microsoft, el alcance potencial del daño iba mucho más allá de los datos personales. Los atacantes podían obtener acceso a cualquier información disponible para el usuario comprometido dentro de la organización, incluyendo correos electrónicos, invitaciones a reuniones, documentos compartidos y notas de trabajo.
Los investigadores advirtieron que el impacto real dependía del grado de integración de Microsoft 365 con los sistemas internos de cada empresa. Cuanto mayor fuera la interconexión de servicios y repositorios corporativos, mayor sería el volumen de información susceptible de quedar expuesto.
Califica este tema