Inyección de prompt «drive-by»: una web podía comandar Copilot en silencio en el móvil
Microsoft corrigió el 14 de julio de 2026 un fallo crítico: una página maliciosa podía hacer que Edge para Android enviara prompts ocultos a la app de Copilot, sin confirmación ni verificación de origen.
¿Qué es esto?
El 14 de julio de 2026, dentro de un Patch Tuesday de volumen récord, Microsoft reveló y corrigió un fallo crítico en su asistente Copilot para móvil. Calificado con 9.6 en la escala CVSS —entre los más graves del mes—, la vulnerabilidad permitía que un sitio web malicioso comandara Copilot sin que el usuario lo supiera. Fue reportada de forma privada por Ofek Levin, de la firma de seguridad Enclave, no era pública antes del parche y, según Microsoft, nunca fue explotada ni figura en ninguna lista de vulnerabilidades activamente explotadas.
Lo interesante está en la vía de entrega. No se trata de un jailbreak del modelo ni de un documento envenenado cargado en tiempo de ejecución. Es un fallo de «fontanería» en la frontera entre un navegador móvil y una app de IA móvil: un componente aceptaba solicitudes de prompt procedentes de otro sin pedir confirmación ni comprobar su procedencia. Microsoft clasifica la debilidad subyacente como inyección de comandos (neutralización incorrecta de elementos especiales usados en un comando). Lo tratamos como un caso de estudio defensivo: qué ocurre cuando un asistente de IA confía en exceso en su canal de entrada.
Cómo funciona
El aviso de Microsoft describe una cadena que no exige nada a la víctima salvo abrir una página web en Microsoft Edge para Android.
Página maliciosa -> la víctima simplemente la visita en Edge para Android
Solicitud forjada -> la página induce a Edge a enviar prompts a la app Copilot
Sin control -> el componente receptor los acepta, sin confirmación ni origen verificado
Copilot actúa -> los prompts elegidos por el atacante se ejecutan como si los hubiera escrito el usuario
El defecto central es la ausencia de control entre las dos aplicaciones. El componente que recibía las solicitudes de prompt no pedía confirmación al usuario ni verificaba el origen de la solicitud, de modo que instrucciones forjadas por una página controlada por el atacante se procesaban como si vinieran del usuario legítimo. Microsoft indica que el resultado podían ser acciones no deseadas en Copilot, como leer o modificar datos —el asistente ejecutando lo que pedía el prompt inyectado, dentro de los permisos que el Copilot del usuario ya poseía.
Conviene señalar con honestidad una ambigüedad documentada: el aviso nombra Microsoft 365 Copilot para iOS y Android como productos afectados, pero el relato del ataque menciona solo a Edge para Android, y las actualizaciones enlazadas apuntan a Microsoft Edge en las tiendas de aplicaciones y no a una versión de Copilot. Microsoft no indicó un número de versión corregida concreto. No publicamos ningún payload ni detalle de reproducción; el mecanismo —un canal de solicitudes entre aplicaciones que trata una entrada no autenticada y de origen cruzado como intención legítima del usuario— es la lección.
Por qué importa
La inyección de prompt «drive-by» es justo el tipo de ataque que la comunidad de seguridad anticipaba en cuanto los asistentes ganaran la capacidad de actuar. Combina dos ingredientes del «trío letal»: contenido no confiable (cualquier página web) y un agente capaz de realizar acciones consecuentes en nombre del usuario. Lo que lleva este fallo de hipótesis de conferencia a una línea real de Patch Tuesday es la entrega sin interacción —ningún clic en un enlace dentro de la página, ningún archivo que abrir, ninguna extensión que instalar. Basta con visitar la página.
El radio de impacto está acotado por lo que el Copilot móvil ya puede hacer para ese usuario: leer y escribir en los datos y conectores a los que está conectado. En un despliegue empresarial donde Copilot alcanza correo, archivos y chat, «leer o modificar datos» no es un resultado trivial. Y como el disparador es una visita web y no un payload de phishing, los controles clásicos de concienciación («no abras adjuntos») ofrecen poca protección. La buena noticia es real: el fallo se halló mediante divulgación responsable, se corrigió antes de hacerse público y se consideró poco probable de explotar. La lección, en cambio, perdura: los canales de entrada de los asistentes ya forman parte de la superficie de ataque.
Defensas
Parchee el software cliente. Como Microsoft ató la corrección a actualizaciones de las tiendas y no a una versión nombrada, la medida práctica es mantener la app de Copilot y Microsoft Edge al día en cada dispositivo móvil gestionado, vía Play Store en Android y App Store en iOS.
Reduzca el alcance del Copilot móvil. Aplique el mínimo privilegio a lo que el asistente puede tocar en el móvil —limite conectores, acceso a datos y cualquier capacidad de acción a lo que los usuarios realmente necesitan, de modo que un prompt secuestrado tenga menos con qué trabajar.
Exija confirmación para acciones consecuentes. La causa raíz aquí fue un manejo de solicitudes silencioso y sin confirmar. Donde controle la configuración del agente, insista en una aprobación humana explícita antes de que un asistente lea o modifique datos sensibles, en lugar de permitir la ejecución en segundo plano disparada por un canal externo.
Trate los canales entre aplicaciones y de navegador a asistente como entrada no confiable. Toda vía por la que una página web u otra app pueda entregar instrucciones a un asistente de IA debe autenticar la fuente y validar la solicitud, igual que haría con una llamada de API venida de Internet.
Elimine lo que no usa. Si el Copilot móvil no forma parte del flujo de trabajo de alguien, desinstalarlo elimina por completo la superficie —un control limpio para los dispositivos que nunca necesitaron el asistente.
Estado
| Elemento | Detalle |
|---|---|
| Divulgación | Reportada en privado por Ofek Levin (Enclave); publicada y corregida en el Patch Tuesday del 14 de julio de 2026 (CVE-2026-48561) |
| Severidad | CVSS 9.6 (crítica); clasificada como inyección de comandos |
| Afectados (según el aviso) | Microsoft 365 Copilot para iOS y Android; el relato del ataque alude a Edge para Android |
| Explotación | No pública antes del parche; sin explotación reportada por Microsoft; ausente del catálogo CISA KEV; considerada «poco probable» |
| Estado del parche | Corregido; mantenga la app de Copilot y Microsoft Edge actualizadas a través de las tiendas de aplicaciones |
Sources
- → https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-48561
- → https://www.thezdi.com/blog/2026/7/14/the-july-2026-security-update-review
- → https://www.notebookcheck.net/Microsoft-Copilot-Websites-could-secretly-issue-commands-to-the-AI.1343346.0.html
- → https://krebsonsecurity.com/2026/07/microsoft-patches-a-record-570-security-flaws/