La escena parece sacada de un fallo de seguridad de manual: un agente de inteligencia artificial, creado con Microsoft Copilot Studio para ayudar en reservas de viajes, termina filtrando datos sensibles y permitiendo operaciones sospechosas… solo porque alguien le formula un mensaje “un poco distinto”.
En este experimento bajo un entorno controlado, el equipo de Tenable AI Research montó una agencia de viajes ficticia, conectó Copilot Studio con sistemas de la empresa como SharePoint y dejó al agente de IA gestionar reservas sin intervención humana. Todo sonaba muy cómodo y muy productivo, hasta que una simple inyección de prompt mostró hasta dónde podía romperse la seguridad.
La clave del caso está en que Copilot Studio es una plataforma sin código pensada para que cualquier empleado cree su propio agente de IA. Tú diseñas diálogos, conectas datos y añades automatizaciones, todo en una interfaz visual. A primera vista, parece el sueño de cualquier departamento que quiere ir más rápido sin depender todo el tiempo del equipo técnico.
Esa misma facilidad tiene un lado oscuro: al conectar el agente con sistemas críticos como SharePoint, Outlook o Teams, concedes acceso a datos reales de clientes, aprobaciones internas y flujos de trabajo sensibles. Si algo falla en los controles, la puerta de entrada ya la has abierto tú sin darte mucha cuenta.
Para demostrarlo sin poner en riesgo a nadie, los investigadores de Tenable cargaron en SharePoint un archivo con nombres inventados y números falsos de tarjetas de crédito. El agente de viajes creado en Microsoft Copilot Studio estaba diseñado para trabajar con esos datos como si fueran reales: reservar vuelos, editar viajes ya creados y enviar resúmenes de reservas a los clientes.
El escenario era muy concreto: turismo, reservas y atención a cliente en línea. El agente tenía una base de conocimientos integrada para resolver dudas, podía actualizar registros y hasta autorizar ciertas aprobaciones mediante lenguaje natural. Es decir, si lo comparas con la app móvil de una aerolínea, estaba bastante cerca de lo que verías en producción.
En teoría, todo había sido configurado con instrucciones restrictivas. El agente no debía mostrar datos de tarjetas, ni enseñar información interna, ni ejecutar acciones que pudieran usarse de forma indebida. Los permisos parecían razonables y las reglas de comportamiento, claras.
La inyección de prompt que rompió el experimento no fue especialmente creativa. Según el informe, bastó con pedirle al agente que enumerara todas las acciones disponibles que podía ejecutar dentro del sistema. A partir de ese simple cambio en el mensaje, el modelo empezó a listar capacidades que no estaban pensadas para salir a la luz.
En esa lista aparecieron acciones sensibles ligadas a datos empresariales: acceso directo a registros de clientes, lectura de información crítica y posibilidad de modificar reservas sin control. El punto más delicado llegó cuando esas mismas capacidades se usaron como base para algo más grave que un simple listado técnico.
Una vez conocidas las acciones internas, los investigadores redirigieron sus mensajes para empujar al agente a ejecutar operaciones no autorizadas. El resultado fue que el sistema terminó exponiendo datos simulados de tarjetas de crédito y mostrando información que, en un entorno real, se consideraría altamente confidencial. La propia lógica de la automatización se volvió en contra del diseño inicial.
El experimento fue más lejos. Aprovechando el mismo enfoque de inyección de prompt, el equipo consiguió que el agente de viajes realizara reservas con un coste de 0 dólares. La prueba dejó claro que no solo existía riesgo de filtración de datos, sino también de fraude financiero usando los propios permisos legítimos del agente.
En la fase final, el agente, que había sido creado en Microsoft Copilot Studio como un asistente “responsable”, terminó revelando registros enteros de clientes y permitiendo acciones que estaban en teoría restringidas. El truco estaba en que las normas iniciales se quedaban cortas cuando el modelo recibía mensajes cuidadosamente formulados para saltárselas.
Si llevas Copilot Studio o herramientas similares a tu empresa, puedes democratizar la automatización. Cualquier persona de negocio creará agentes que responden a clientes, actualizan bases de datos y coordinan tareas. El giro está en que, al hacerlo, también multiplicas la superficie de ataque sin que todo el mundo entienda los riesgos de una inyección de prompt.
La democratización de la automatización tiene dos caras: más productividad y más exposición. Usuarios sin formación técnica pueden conectar un agente a sistemas críticos, otorgarle permisos amplios y confiar en unas pocas instrucciones de seguridad escritas en lenguaje natural. Si luego alguien descubre cómo convencer al modelo para que se salte esas instrucciones, el daño puede ser tan amplio como los accesos que le hayas dado.
La investigación de Tenable se apoyó en este punto: no explotó “fallos de código”, sino la propia lógica de cómo conversas con el agente. Cambiando ligeramente los mensajes, se forzó al sistema a explicar qué podía hacer y después se usaron esas funciones contra los límites imaginados por su creador. Todo eso, usando solo texto en la interfaz habitual.
Con todo, el experimento no intenta demonizar a Microsoft Copilot Studio, sino mostrar qué ocurre cuando combinas automatización sin código con permisos amplios y poca cultura de seguridad. Lo que han encontrado en este entorno de viajes se puede trasladar a sectores como banca, sanidad o administración pública si no se refuerzan las defensas.
Tenable AI Research propone un conjunto claro de medidas para reducir este tipo de riesgos. La primera, casi de sentido común, es limitar al máximo los permisos de acceso que das a los agentes. En vez de conectarlos a todo tu entorno de golpe, conviene acotar qué sistemas ven y qué datos pueden leer o modificar.
La segunda línea pasa por establecer validaciones estrictas sobre las acciones que los agentes pueden ejecutar. Antes de que se confirme un cambio de reserva, un envío de datos o una aprobación financiera, conviene que exista una comprobación extra, ya sea automática o humana. No confíes en que la simple instrucción “no hagas X” en el prompt vaya a frenar a un modelo sofisticado.
Una tercera recomendación clave es monitorizar de forma continua la actividad de estos agentes. Necesitas registros claros de qué acciones realizan, desde qué mensajes se han activado y qué datos han tocado. Si detectas patrones raros, como reservas por 0 dólares o accesos masivos a registros de clientes, sabrás que debes revisar la configuración cuanto antes.
La tecnología por sí sola no basta. Los expertos insisten en que la capacitación de los empleados es esencial. Quien diseña un flujo en Microsoft Copilot Studio debería entender qué es una inyección de prompt, cómo limitar accesos y cuándo una configuración parece demasiado abierta. Sin esa base, las plataformas sin código se convierten en una especie de caja negra peligrosa.
Por último, recomiendan revisar periódicamente las configuraciones de los sistemas automatizados. Lo que hoy te parece seguro puede dejar de serlo cuando cambias una integración, añades nuevas fuentes de datos o actualizas permisos en SharePoint, Outlook o Teams. Revisar permisos, reglas y logs cada cierto tiempo se vuelve una rutina de higiene digital tan necesaria como actualizar el antivirus.
Directora de operaciones en GptZone. IT, especializada en inteligencia artificial. Me apasiona el desarrollo de soluciones tecnológicas y disfruto compartiendo mi conocimiento a través de contenido educativo. Desde GptZone, mi enfoque está en ayudar a empresas y profesionales a integrar la IA en sus procesos de forma accesible y práctica, siempre buscando simplificar lo complejo para que cualquiera pueda aprovechar el potencial de la tecnología.
La Newsletter Diaria Sobre Inteligencia Artificial. Además: Portal de Noticias, Tutoriales, Tips y Trucos de ChatGpt, Openai e Inteligencia Artificial.
Nuestra web está alojada en:
