Microsoft Copilot: Los sitios web podrían enviar órdenes de forma encubierta a la IA

Microsoft corrigió una vulnerabilidad crítica en Copilot durante el «Patch Tuesday» del 14 de julio. Registrada con el identificador CVE-2026-48561, presenta una puntuación CVSS de 9,6 sobre 10, lo que la sitúa entre las más graves del mes. Ofek Levin, de la empresa de seguridad Enclave, fue quien la informó.
Bastaba con una página web
La vía de ataque se realizaba a través del navegador. Según Microsoft, un atacante podía alojar una página web maliciosa que engañara a Microsoft Edge para Android para que enviara mensajes diseñados específicamente a Copilot en el dispositivo. Bastaba con visitar la página.
El verdadero problema radicaba en cómo se gestionaban dichas solicitudes. El componente afectado las aceptaba sin solicitar confirmación y nunca comprobaba su procedencia, por lo que las solicitudes se procesaban sin que el usuario se diera cuenta. Microsoft afirma que el resultado podría ser la realización de acciones no deseadas en Copilot, como la lectura o la modificación de datos. Clasifica la vulnerabilidad como «inyección de comandos».
Estas aplicaciones figuran en el aviso
:
Microsoft señala dos productos afectados: Microsoft 365 Copilot para iOS y Microsoft 365 Copilot para Android. Sin embargo, la descripción del ataque solo menciona Edge para Android. Microsoft no aclara esta discrepancia.
Hay otro aspecto que llama la atención. Los enlaces de actualización que figuran en el aviso no remiten a ninguna aplicación de Copilot en ninguna de las dos plataformas. Remiten a Microsoft Edge en la App Store y en Google Play. Microsoft no indica en ningún momento el número de compilación que contiene la corrección, y las notas de la versión de Edge Mobile tampoco mencionan la vulnerabilidad. La última versión para Android e iOS, la 150.0.4078.65, se lanzó el 13 de julio.
Qué debe hacer ahora
En primer lugar, las buenas noticias. La vulnerabilidad no se hizo pública antes del «Patch Tuesday», y Microsoft afirma que nunca fue explotada. No existe ningún exploit operativo, y la propia Microsoft califica la posibilidad de explotación como poco probable. No aparece en la lista de la CISA de vulnerabilidades explotadas conocidas.
Dado que Microsoft no especifica una versión concreta, la medida más práctica es sencilla: mantenga actualizadas la aplicación Copilot y Microsoft Edge en su teléfono, a través de Play Store en Android o de la App Store en iOS. Y si nunca utiliza Copilot en su teléfono, simplemente elimínelo.
No es el primer caso de este tipo
Los ataques que se cuelan entre los usuarios y sus asistentes de IA son cada vez más habituales. A finales de junio, aparecieron bloqueadores de anuncios camuflados que podían leer los chats con ChatGPT y Gemini. Si desea saber qué información sobre usted almacenan sus asistentes de IA y cómo desactivar esta función, consulte nuestra resumen sobre la configuración de almacenamiento le explica el proceso paso a paso. Y si prefiere mantener a Copilot al margen de su jornada laboral, puede desactivar Copilot y Facilitator en Microsoft Teams.
Fuente(s)
Top 10 Análisis
» Top 10 Portátiles Multimedia
» Top 10 Portátiles de Juego
» Top 10 Portátiles de Juego ligeros
» Top 10 Portátiles Asequibles de Oficina/Empresa
» Top 10 Portátiles de Juego Ligeros
» Top 10 Portátiles de Oficina/Empresa Premium
» Top 10 Estaciones de Trabajo
» Top 10 Subportátiles
» Top 10 Ultrabooks
» Top 10 Convertibles
» Top 10 Tablets
» Top 10 Tablets Windows
» Top 10 Tablets de menos de 250 Euros
» Top 10 Phablets (>5.5")
» Top 10 Smartphones
» Top 10 Smartphones (≤5")
» Top 10 Smartphones de menos de 300 Euros
» Top 10 Smartphones de menos de 120 Euros
» Top 10 Portátiles de menos de 1000 Euros
» Top 10 Portátiles de menos de 500 Euros
» Top 10 Portátiles de menos de 300 Euros
» Los Mejores Displays de Portátiles Analizados por Notebookcheck






