Microsoft confirmó que un fallo en Microsoft 365 Copilot Chat permitió que su IA resumiera correos electrónicos confidenciales de clientes durante semanas sin su permiso. La situación fue identificada por Bleeping Computer y, según la empresa, pudo ocurrir desde enero.
El mecanismo afectó a usuarios de pago de Microsoft 365, donde Copilot Chat opera como un chat con IA dentro de apps como Word, Excel y PowerPoint. Y lo más sensible: el error también impactó a organizaciones con políticas de DLP (prevención de pérdida de datos), reglas pensadas para que información delicada no se “alimente” al modelo.
Además, el incidente llega en un clima de vigilancia institucional. Esta semana, el departamento de TI del Parlamento Europeo avisó a legisladores que bloqueó funciones de IA integradas en sus dispositivos de trabajo, por temor a que estas herramientas subieran correspondencia potencialmente confidencial a la nube.
La pieza clave está en cómo Copilot “ve” lo que vos “marcás”. Para un humano, la etiqueta “confidencial” es un cartel rojo. Para un sistema automatizado, es un interruptor digital que debería cortar el paso de ciertos datos hacia ciertos procesos.
También te puede interesar:Microsoft Cierra su Canal Sobre IA en Discord Tras las Burlas del “Microslop”La analogía más doméstica es un sistema eléctrico de casa. Uno pone una térmica para que, si hay un problema, se corte solo ese circuito. Pero si el cableado está mal conectado, la térmica existe y aun así la corriente se cuela por donde no debe. Eso, trasladado a la oficina, es una IA que termina procesando lo que debía quedar aislado.
Según Microsoft, el fallo hacía que los mensajes de correo —tanto borradores como enviados— marcados como “confidencial” se procesaran de forma incorrecta en Microsoft 365 Copilot Chat. Es decir: el rótulo estaba, pero el engranaje que lo respetaba no actuó como correspondía.
Para administradores, el incidente podía rastrearse con el identificador CW1226324. Y, de acuerdo con la compañía, el despliegue de una corrección comenzó a principios de febrero.
Un resumen que parece inofensivo, pero cambia el mapa
El punto no es solo que Copilot lea. Es que resuma. Un resumen reduce fricción: toma varios párrafos y los convierte en un esquema. En un contexto laboral, ese “atajo” puede incluir nombres, decisiones, números o frases que, fuera de su contexto, igual son sensibles.
También te puede interesar:Microsoft Cierra su Canal Sobre IA en Discord Tras las Burlas del “Microslop”Microsoft no quiso precisar cuántos clientes se vieron afectados. Esa falta de cifra deja una pregunta práctica sobre la mesa: si la etiqueta “confidencial” no siempre activa el freno correcto, ¿qué otras capas de control conviene revisar?
En lo inmediato, la oportunidad para las empresas es revalidar su central de permisos. No alcanza con confiar en la marca del documento. Hay que mirar el recorrido: qué puede indexarse, qué puede resumirse, qué puede consultarse por chat y qué queda fuera.
Qué puede cambiar en la rutina de trabajo
Este caso también revela un cambio cultural: la IA dejó de ser una app aparte. Está integrada en las herramientas diarias. Y eso obliga a tratarla como infraestructura, no como “asistente simpático”.
- Para equipos de TI: auditar eventos asociados a CW1226324 y verificar cómo se aplican etiquetas “confidencial” frente a Copilot.
- Para usuarios: asumir que el sello ayuda, pero no reemplaza el criterio. Si un contenido es crítico, conviene limitar su circulación y evitar pegarlo en chats internos con IA.
- Para instituciones: evaluar bloqueos o configuraciones restrictivas en dispositivos, como ya hizo el Parlamento Europeo, cuando el riesgo supera el beneficio.
La promesa de Copilot es ahorrar tiempo. Pero este episodio recuerda que, en el cableado de la productividad, el interruptor de la confidencialidad tiene que cortar siempre, a la primera.
Directora de operaciones en GptZone. IT, especializada en inteligencia artificial. Me apasiona el desarrollo de soluciones tecnológicas y disfruto compartiendo mi conocimiento a través de contenido educativo. Desde GptZone, mi enfoque está en ayudar a empresas y profesionales a integrar la IA en sus procesos de forma accesible y práctica, siempre buscando simplificar lo complejo para que cualquiera pueda aprovechar el potencial de la tecnología.
