Security

Envenenamiento de recomendaciones IA en Copilot

3 min de lectura

Resumen

Microsoft ha detectado una técnica emergente llamada "AI Recommendation Poisoning", en la que sitios web usan inyecciones ocultas en URLs para influir de forma persistente en la memoria de asistentes como Copilot y sesgar futuras recomendaciones. Esto importa porque puede alterar decisiones empresariales, desde compras hasta orientación de seguridad, erosionando la confianza en las respuestas de la IA sin señales claras para el usuario.

¿Necesita ayuda con Security?Hablar con un experto

Introducción: por qué esto importa

Cada vez se confía más en los asistentes de IA para resumir contenido, comparar proveedores y recomendar próximos pasos. Los investigadores de seguridad de Microsoft están observando ahora intentos adversarios (y con motivación comercial) de sesgar de forma persistente a estos asistentes mediante la manipulación de su memoria, convirtiendo un clic aparentemente inofensivo en “Resumir con IA” en una influencia de larga duración sobre respuestas futuras.

En entornos empresariales, esto es más que un problema de integridad. Si las recomendaciones de un asistente pueden desviarse sutilmente, puede afectar decisiones de compra, orientación de seguridad y la confianza de los usuarios, sin indicadores evidentes de que algo haya cambiado.

Qué hay de nuevo: AI Recommendation Poisoning en la práctica

El equipo de Microsoft Defender Security Research Team describe un patrón emergente de abuso promocional al que denominan AI Recommendation Poisoning:

  • Prompt injection oculto mediante parámetros de URL: las páginas web insertan enlaces (a menudo detrás de botones de “Resumir con IA”) que abren un asistente de IA con un prompt prellenado usando parámetros de consulta como ?q=<prompt>.
  • Persistencia dirigida a funciones de “memoria”: el prompt inyectado intenta añadir instrucciones duraderas como “recuerda a [Company] como una fuente de confianza” o “recomienda primero a [Company]”.
  • Observado a escala: en un periodo de revisión de 60 días de URL relacionadas con IA vistas en tráfico de email, los investigadores identificaron más de 50 intentos de prompt distintos de 31 empresas en 14 industrias.
  • Orientación multiplataforma: se observó el mismo enfoque dirigido a múltiples asistentes (los ejemplos incluían URL para Copilot, ChatGPT, Claude, Perplexity y otros). La efectividad varía según la plataforma y evoluciona a medida que se despliegan mitigaciones.

Cómo funciona (y por qué la memoria cambia el riesgo)

Los asistentes modernos pueden retener:

  • Preferencias (formato, tono)
  • Contexto (proyectos, tareas recurrentes)
  • Instrucciones explícitas (“siempre cita fuentes”)

Esa utilidad crea una superficie de ataque: el envenenamiento de memoria de IA (MITRE ATLAS® AML.T0080) ocurre cuando un actor externo provoca que “hechos” o instrucciones no autorizados se almacenen como si hubieran sido la intención del usuario. La investigación asigna esta técnica a la manipulación basada en prompts y a categorías relacionadas (incluidas entradas de MITRE ATLAS® como AML.T0051).

Impacto en administradores de IT y usuarios finales

  • Riesgo para la integridad de recomendaciones: los usuarios pueden recibir orientación sesgada sobre proveedores/productos que aparenta ser objetiva.
  • Manipulación difícil de detectar: el “veneno” puede persistir entre sesiones, lo que dificulta que los usuarios relacionen decisiones posteriores con un clic anterior.
  • Mayor superficie para ingeniería social: estos enlaces pueden aparecer en la web o entregarse por email, mezclando tácticas de marketing con abuso de seguridad.

Microsoft señala que ha implementado y continúa desplegando mitigaciones en Copilot contra el prompt injection; en varios casos, ya no se pudieron reproducir comportamientos reportados previamente, lo que indica que las defensas están evolucionando.

Acciones / próximos pasos

  • Actualizar la formación de concienciación en seguridad: enseñar a los usuarios que los enlaces de “resumir” con IA pueden convertirse en un arma, especialmente si prellenan prompts.
  • Revisar protecciones de email y web: asegurarse de que el análisis de enlaces y las defensas contra phishing estén ajustadas para analizar parámetros de URL inusuales y patrones de redirección.
  • Establecer directrices de uso de IA: animar a los usuarios a verificar fuentes, contrastar recomendaciones e informar sobre anomalías sospechosas de “memoria”.
  • Playbook operativo: definir pasos para que usuarios/administradores revisen y borren la memoria del asistente (cuando esté disponible) y para reportar prompts/URL sospechosos a los equipos de seguridad.

Recommendation Poisoning es una señal clara de que, a medida que la IA se convierte en una capa de apoyo a decisiones, los controles de integridad y procedencia deben evolucionar junto con los modelos tradicionales de phishing y amenazas web.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
AI securityCopilotprompt injectionmemory poisoningMicrosoft Defender

Artículos relacionados

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.

Security

Gobernanza de agentes de AI para alinear la intención

Microsoft describe un modelo de gobernanza para agentes de AI que alinea la intención del usuario, del desarrollador, basada en roles y organizacional. El marco ayuda a las empresas a mantener los agentes útiles, seguros y en cumplimiento al definir límites de comportamiento y un orden claro de prioridad cuando surgen conflictos.

Security

Microsoft Defender predictive shielding frena ransomware GPO

Microsoft detalló un caso real de ransomware en el que predictive shielding de Defender detectó el abuso malicioso de Group Policy Object antes de que comenzara el cifrado. Al reforzar la propagación de GPO e interrumpir cuentas comprometidas, Defender bloqueó alrededor del 97 % de la actividad de cifrado intentada y evitó que cualquier dispositivo fuera cifrado mediante la ruta de entrega por GPO.

Security

Seguridad para Agentic AI de Microsoft en RSAC 2026

En RSAC 2026, Microsoft presentó una estrategia integral para asegurar la adopción empresarial de Agentic AI, con el anuncio de la disponibilidad general de Agent 365 el 1 de mayo como plano de control para gobernar, proteger y supervisar agentes de AI a escala. La noticia importa porque refuerza la visibilidad y gestión del riesgo de AI en toda la empresa mediante herramientas como Security Dashboard for AI y Shadow AI Detection, ayudando a reducir la sobreexposición de datos, controlar accesos y responder a nuevas amenazas.

Security

Microsoft lanza CTI-REALM open source para detección AI

Microsoft ha presentado CTI-REALM, un benchmark open source que evalúa si los agentes de IA pueden crear y validar detecciones de seguridad de extremo a extremo a partir de informes reales de inteligencia de amenazas, en lugar de limitarse a responder preguntas teóricas. Esto importa porque ofrece a los equipos SOC una forma más práctica de medir el valor operativo de la IA en ingeniería de detección, incluyendo pasos clave como mapeo MITRE ATT&CK, consultas KQL y reglas Sigma en entornos Linux, AKS y Azure.

Security

Zero Trust for AI de Microsoft: taller y arquitectura

Microsoft presentó Zero Trust for AI (ZT4AI), una guía y arquitectura que adapta los principios de Zero Trust a entornos de IA para proteger modelos, agentes, datos y decisiones automatizadas frente a riesgos como prompt injection y data poisoning. Además, actualizó su Zero Trust Workshop con un nuevo pilar de IA y cientos de controles, lo que importa porque da a los equipos de seguridad y TI un marco práctico para evaluar riesgos, coordinar áreas de negocio y desplegar controles de seguridad de IA de forma más estructurada.