La semana pasada Microsoft cerró el CVE-2026-42824 con calificación máxima de severidad. SearchLeak, descubierto por Varonis Threat Labs, demostraba que M365 Copilot Enterprise podía extraer códigos de doble factor, correos internos y documentos de SharePoint con un único clic en un enlace legítimo de microsoft.com. El parche ya está desplegado. El problema es que el fallo de fondo —la incapacidad de los LLM para distinguir instrucciones del usuario de las que vienen escondidas en contenido externo— sigue ahí, intacto.
En mi experiencia, cada vez que una empresa mete un asistente de IA dentro del ecosistema donde ya vive el dato sensible, el radio de explosión se multiplica. No estamos hablando de un chatbot en una web pública. Copilot Enterprise opera con los permisos completos del usuario en Microsoft Graph: buzón, calendario, OneDrive, SharePoint, lo que tengas indexado. Un atacante no necesita credenciales propias; hereda los tuyos.
Tres fallos encadenados, un solo clic
Lo que me parece más preocupante de SearchLeak no es la gravedad individual de cada pieza, sino lo bien que encajan. Varonis combinó tres vectores que, por separado, parecían molestias menores:
- Parameter-to-Prompt Injection: el parámetro q de la URL de búsqueda de Copilot no se trataba como una consulta inocente, sino como un prompt ejecutable. Un enlace del tipo m365.cloud.microsoft/search con instrucciones en el parámetro q llevaba órdenes maliciosas directamente al modelo.
- Carrera de renderizado HTML: mientras Copilot generaba la respuesta en streaming, el navegador renderizaba HTML crudo —incluidas etiquetas img— antes de que el sanitizador envolviera la salida en bloques de código. La petición salía antes de que la protección actuara.
- SSRF vía Bing: Copilot no puede hacer peticiones a dominios arbitrarios por la Content Security Policy, pero sí a Bing. Los investigadores usaron el endpoint de búsqueda por imagen de Bing como trampolín para que el servidor de Microsoft pidiera una URL controlada por el atacante, llevándose los datos robados en la query string.
La víctima no escribe nada. Hace clic en un enlace que parece de Microsoft —porque lo es— y Copilot hace el resto. Sin pop-ups raros, sin permisos adicionales, sin que el usuario vea datos moviéndose. Solo la interfaz de «pensando» de siempre.
El 2FA no te salva si la IA lee tu bandeja
Ars Technica recogió el detalle que más me ha hecho gracia amarga: el proof of concept de Varonis podía recuperar códigos de autenticación de dos factores directamente de los correos accesibles a Copilot. Piénsalo un momento. Has puesto 2FA en todas las cuentas críticas, has formado al equipo, has bloqueado el reenvío de SMS… y resulta que el asistente de IA que tu empresa desplegó para «aumentar la productividad» puede leer esos códigos en tu bandeja de entrada y mandarlos a un servidor externo antes de que termines de cerrar la pestaña.
Microsoft lo parcheó a principios de junio en el backend. No necesitas actualizar nada. Bien. Pero la raíz del problema, como reconocen tanto los investigadores como la propia prensa especializada, es estructural: los modelos de lenguaje no pueden separar de forma fiable las instrucciones legítimas de las inyectadas en correos, documentos, páginas web o, en este caso, parámetros de URL. Lo que queda son guardrails ad hoc —sanitizadores, CSP, listas de dominios permitidos— que se van parcheando uno a uno mientras los atacantes prueban la siguiente combinación.
Lo que no te cuentan al vender Copilot Enterprise
BleeepingComputer señala que no hubo explotación activa conocida y que Varonis publicó solo un PoC. Me alivia, pero no me tranquiliza. El patrón ya lo vimos con indirect prompt injection en agentes, con bots que abusaban de GitHub Actions, con vulnerabilidades en frameworks de ML como Hugging Face Transformers. Cada mes aparece una variante nueva porque el modelo de amenaza cambió: ya no atacas al servidor, atacas al contexto que el modelo consume.
Para una pyme o un departamento de TI que acaba de activar Copilot porque «Microsoft lo recomienda», el mensaje comercial habla de resúmenes de reuniones y borradores de correo. Nadie menciona que estás dando a un LLM acceso de lectura a todo lo que el empleado puede ver, con una superficie de ataque que los equipos de seguridad tradicionales apenas están empezando a mapear. Los filtros anti-phishing no marcan un enlace a m365.cloud.microsoft. Los DLP clásicos no entienden que una búsqueda de Copilot puede ser una instrucción disfrazada.
Y aquí está mi queja de fondo: Microsoft calificó la vulnerabilidad como crítica, la parcheó en silencio y sigue empujando la adopción de Copilot en entornos enterprise como si fuera software maduro. No lo es. Es un producto en fase beta disfrazado de suite de productividad, con un modelo de confianza roto por diseño.
Qué haría yo antes de dar más permisos
No te voy a decir que desinstales Copilot mañana —probablemente no depende de ti. Pero sí que trates su despliegue como lo que es: introducir un intérprete de instrucciones no confiable delante de tus datos corporativos.
- Limita Copilot a usuarios y datos que realmente lo necesiten, no lo actives «para todos» porque viene en el paquete.
- Revisa qué contenido está indexado en Microsoft Graph: ¿realmente necesita leer buzones completos o bastaría con un subconjunto?
- Monitoriza URLs de búsqueda de Copilot con parámetros q sospechosos; Varonis ya documentó el patrón.
- Asume que habrá un SearchLeak 2.0. No confíes en que el último parche haya cerrado la clase de vulnerabilidad, solo esta cadena concreta.
La soberanía europea de la IA es el titular de VivaTech esta semana, pero en el día a día de muchas empresas el riesgo no viene de que Trump bloquee un modelo avanzado: viene de que ya tienes uno integrado en tu suite de correo y nadie ha hecho la cuenta de lo que eso implica para la exfiltración de datos.
Si mañana tu proveedor de correo te ofreciera activar un asistente de IA con acceso completo a buzón y documentos internos, pero te garantizara que los parches de seguridad llegarán siempre después del primer exploit demostrado en público, ¿lo activarías igual para todo el equipo?