¿Abrirías un enlace de trabajo si pareciera una búsqueda normal dentro de Microsoft 365? Ese gesto mínimo, casi automático, podía activar un engranaje silencioso: dejar que una inteligencia artificial revisara correos, archivos y hasta códigos de verificación sin que la persona le pidiera nada.
Eso es lo que reveló Varonis al descubrir SearchLeak, una vulnerabilidad crítica en M365 Copilot, el asistente de inteligencia artificial integrado en Microsoft 365. Microsoft ya corrigió el fallo, pero el hallazgo dejó expuesta una pieza clave del problema: estos sistemas todavía pueden confundir una orden legítima con una instrucción maliciosa escondida.
En la prueba de concepto, los investigadores lograron recuperar datos sensibles, incluidos códigos de verificación en dos pasos. Y lo más delicado fue el mecanismo: el ataque no requería que la víctima escribiera nada en Copilot, solo un clic en un enlace manipulado.
La clave técnica fue una inyección de prompt (instrucción oculta para la IA). Ese enlace llevaba una orden camuflada para que Copilot buscara información interna y la sacara fuera mediante una petición web (solicitud automática a internet).
También te puede interesar:Microsoft hace que Copilot Voice y Think Deeper sea Gratis e IlimitadoEso hizo Copilot. Al abrir el enlace, interpretaba la instrucción maliciosa como válida, revisaba correos y contenidos accesibles del usuario y trataba de insertar esos datos dentro de la URL de una imagen cargada desde internet.
En otras palabras, el sistema usaba su propio cableado interno para sacar información por una rendija.
El interruptor que falló en el momento menos visible
Microsoft había instalado barreras. Una convertía la salida de Copilot en texto plano, para impedir la ejecución de HTML (código con elementos web). Otra limitaba los destinos a los que la IA podía enviar peticiones sin permiso explícito.
Sin embargo, Varonis detectó una ventana temporal: durante un breve intervalo, la respuesta se generaba como HTML sin procesar antes de que actuaran esas protecciones. En ese lapso, los datos podían salir del navegador antes de que el candado terminara de cerrarse.
También te puede interesar:Microsoft hace que Copilot Voice y Think Deeper sea Gratis e Ilimitado
Además, el ataque usaba Bing como intermediario. Como ese dominio estaba entre los permitidos por la política de seguridad de Copilot, los atacantes podían redirigir desde allí la petición hacia un servidor bajo su control, donde quedaba registrada la información extraída.
El impacto potencial era serio en empresas. Según los permisos del usuario, podían quedar expuestos correos, invitaciones a reuniones, notas, documentos y también archivos de SharePoint o OneDrive, es decir, parte del archivo vivo de una organización.
Lo que cambia para empresas y usuarios
SearchLeak no solo muestra un fallo puntual ya resuelto. También revela una debilidad estructural de los asistentes basados en modelos de lenguaje: su dificultad para separar con firmeza qué orden pertenece al usuario y cuál fue sembrada desde afuera.
Ese hallazgo obliga a mirar la IA como se mira una instalación eléctrica nueva en casa. Puede ahorrar tiempo y simplificar tareas, pero necesita interruptores, fusibles y revisiones constantes para que la comodidad no abra una fuga.
Por ahora, Microsoft corrigió las vulnerabilidades específicas explotadas en este caso. La oportunidad para las empresas no pasa solo por usar más IA, sino por entender mejor su mecanismo, revisar permisos y asumir que, cuando una herramienta accede a datos privados, su seguridad debe ser tan robusta como su promesa de ayuda.
Porque en la central digital de una oficina, a veces un solo clic alcanza para mover más puertas de las que el usuario imagina.
Directora de operaciones en GptZone. IT, especializada en inteligencia artificial. Me apasiona el desarrollo de soluciones tecnológicas y disfruto compartiendo mi conocimiento a través de contenido educativo. Desde GptZone, mi enfoque está en ayudar a empresas y profesionales a integrar la IA en sus procesos de forma accesible y práctica, siempre buscando simplificar lo complejo para que cualquiera pueda aprovechar el potencial de la tecnología.
