Copilot como riesgo de seguridad: cuando el asistente de IA filtra secretos empresariales

8 Min. Tiempo de lectura

Microsoft 365 Copilot tiene una vulnerabilidad de cero clics con una puntuación CVSS de 9.3. El Supervisor Europeo de Protección de Datos ha criticado a la Comisión Europea por el uso de M365. Y el 34 por ciento de los empleados alemanes utilizan herramientas de IA sin el conocimiento del departamento de TI de la empresa. Tres hechos, un problema: las empresas están implementando asistentes de IA sin haber construido la arquitectura de seguridad necesaria para ello.

EchoLeak: La primera vulnerabilidad de cero clics en IA

Copilot no es un chatbot. Es un sistema que tiene acceso a todos los datos que un usuario puede ver en SharePoint, OneDrive, Teams y Outlook – y a veces a datos que no debería ver. Para los equipos de seguridad de TI, esto significa que cada brecha de permisos, cada compartición «Anyone» olvidada, cada espacio de trabajo huérfano se vuelve repentinamente accesible a través de un motor de búsqueda de IA. Este artículo muestra qué vectores de ataque están documentados, qué recomienda el BSI y qué medidas deben tomarse antes de implementar Copilot.

En enero de 2025, investigadores de Aim Labs descubrieron una vulnerabilidad en Microsoft 365 Copilot que abrió una nueva categoría: CVE-2025-32711, denominada «EchoLeak». Puntuación CVSS: 9.3 de 10. Lo especial: no se requiere clic, apertura de archivo ni interacción del usuario. El atacante podía extraer datos directamente del contexto de Copilot de otro usuario.

Microsoft parcheó la vulnerabilidad en mayo de 2025. Pero EchoLeak marca un punto de inflexión: fue el primer caso documentado de una vulnerabilidad de cero clics en un sistema LLM productivo. Para los equipos de seguridad, esto significa que los asistentes de IA no solo crean nuevas superficies de ataque – crean superficies de ataque que pueden ser explotadas sin la participación de la víctima.

Prompt Injection: Cuatro vías de ataque documentadas

EchoLeak no es el único vector de ataque documentado. Desde 2024, los investigadores de seguridad han encontrado varias formas de manipular Copilot, y Microsoft ha tenido que parchear cada vez.

ASCII Smuggling (Johann Rehberger, 2024): El investigador demostró que los caracteres Unicode invisibles pueden ocultar datos sensibles en enlaces aparentemente inofensivos. Un correo electrónico manipulado o un documento preparado es suficiente: Copilot realiza una inyección de prompt indirecta, recopila datos (incluyendo códigos MFA) y los oculta en un enlace. Un clic del usuario exfiltra los datos. Microsoft clasificó inicialmente el hallazgo como «Baja Severidad» y parcheó solo después de una demostración pública en la conferencia HITCON.

Exfiltración de diagramas Mermaid (Truesec, septiembre 2025): Copilot podía ser manipulado a través de documentos de Office para incrustar contenidos de correos electrónicos en enlaces interactivos dentro de diagramas Mermaid. Microsoft desactivó posteriormente los enlaces interactivos en diagramas Mermaid por completo.

Bypass de etiquetas confidenciales (enero 2026): Copilot accedía a correos electrónicos protegidos en Elementos enviados y Borradores a pesar de las etiquetas de confidencialidad establecidas. Las políticas DLP fueron eludidas. Microsoft proporcionó un parche de emergencia.

Inyección de prompt indirecta vía correo electrónico (Zenity, Black Hat 2024): El CTO de Zenity demostró en la Black Hat USA que Copilot procesaba correos electrónicos manipulados de forma autónoma, sin que la víctima los abriera. En la demostración, Copilot reemplazó datos bancarios en instrucciones de pago y presentó una página de inicio de sesión de Microsoft falsificada.

«El BSI recomienda realizar un análisis de riesgos para el caso de uso concreto antes de integrar grandes modelos de lenguaje de IA en los flujos de trabajo.»
– BSI, Modelos de IA generativa: Oportunidades y riesgos, en esencia (mayo 2024)

Oversharing: el riesgo cotidiano subestimado

Las vulnerabilidades espectaculares dominan los titulares. Pero el mayor riesgo de Copilot es banal: permisos excesivos en SharePoint, OneDrive y Teams. Microsoft mismo identifica el oversharing como la categoría de riesgo más común en las implementaciones de Copilot.

El problema: Copilot utiliza el modelo de permisos existente. Si una carpeta de SharePoint se comparte con un enlace «Anyone», si existen espacios de trabajo huérfanos con permisos activos, si los permisos de grupo anidados permiten el acceso a datos que el usuario nunca ha visto conscientemente, entonces Copilot hace que todo eso sea inmediatamente buscable y resumible.

Un ejemplo: un empleado le pregunta a Copilot «¿Qué se discutió la semana pasada sobre el proyecto Alpha?» Copilot busca en todos los chats de Teams, correos electrónicos y documentos de SharePoint a los que el usuario tiene acceso, incluso aquellos en canales que nunca ha visitado, en carpetas que nunca ha abierto. Si los permisos son demasiado amplios, Copilot proporciona información confidencial que el usuario nunca habría encontrado sin Copilot.

Para las empresas alemanas, esto es especialmente delicado. A diferencia de EE. UU., donde el acceso a datos dentro de una empresa a menudo se maneja de manera generosa, el RGPD establece requisitos claros para la vinculación a un propósito y la minimización de datos. Si Copilot resume a un empleado del departamento de marketing las negociaciones salariales de un canal de RR. HH. porque los permisos de Teams eran demasiado amplios, no solo es un problema de seguridad, sino una infracción del RGPD. Las autoridades de supervisión en Baviera y Renania del Norte-Westfalia ya han señalado que el procesamiento de datos basado en inteligencia artificial recibirá especial atención.

La recomendación de Microsoft es inequívoca: antes de implementar Copilot, el modelo de permisos debe limpiarse. El Blueprint de evaluación de oversharing de Microsoft prevé: implementar el principio de menor privilegio, revisiones periódicas de permisos, gestión avanzada de SharePoint para identificar sitios de riesgo. En la práctica, esto significa: semanas o meses de trabajo previo antes de que el primer usuario active Copilot.

Decisión del EDPS: Cuando la Comisión Europea incumple la normativa de protección de datos

El 8 de marzo de 2024, el Supervisor Europeo de Protección de Datos (EDPS) declaró oficialmente que la Comisión Europea incumple el Reglamento de Protección de Datos de la UE 2018/1725 al utilizar Microsoft 365. Los hallazgos clave: especificación insuficiente sobre qué datos personales recopila Microsoft y para qué fines, y falta de garantías adecuadas para las transferencias de datos fuera del Espacio Económico Europeo (EEE).

La medida fue drástica: a partir del 9 de diciembre de 2024, se debían suspender todas las transferencias de datos a Microsoft fuera de la UE/EEE. La Comisión Europea ya ha corregido las infracciones, y el EDPS cerró la investigación en julio de 2025. Sin embargo, la decisión sigue siendo un precedente: si la Comisión Europea incumple la normativa de protección de datos con Microsoft 365, ¿qué significa eso para una empresa mediana que utiliza el mismo software con menos recursos?

Para las empresas de la región DACH, esto es una llamada concreta a la acción. Los expertos en protección de datos recomiendan encarecidamente realizar una evaluación de impacto en la protección de datos según el artículo 35 del RGPD al utilizar Copilot. Y aunque Microsoft ha anunciado el procesamiento de datos en el país para Alemania en noviembre de 2025, los juristas discuten si esto elimina completamente las preocupaciones del RGPD.

En noviembre de 2025, el BSI publicó una advertencia específica sobre «ataques de evasión a modelos de lenguaje de IA». Las recomendaciones incluyen: indicaciones precisas del sistema, filtrado de contenido dañino en documentos de terceros y confirmación explícita del usuario antes de cualquier acción que realice un LLM. CERT-Bund ha emitido un aviso específico sobre M365 Copilot bajo WID-SEC-2025-1746. Para las empresas que están reguladas por NIS2 o KRITIS, estas recomendaciones del BSI no son opcionales; forman parte de la diligencia debida que, si no se cumple, puede dar lugar a responsabilidad personal del administrador.

Shadow AI: El problema que crece más rápido que la política

Mientras los departamentos de TI discuten sobre la implementación de Copilot, los empleados ya han creado hechos consumados. Según Bitkom, el 34 por ciento de los empleados alemanes utilizan herramientas de IA generativas con cuentas privadas fuera de la TI de la empresa. En el 8 por ciento de las empresas, la Shadow AI está muy extendida, lo que supone una duplicación respecto al año anterior. Y solo el 23 por ciento de las empresas han definido reglas para el uso de la IA.

A nivel global, la situación no es mejor: según una encuesta de WalkMe entre 12.000 trabajadores del conocimiento, el 60 por ciento utiliza herramientas de IA en el trabajo, pero solo el 18,5 por ciento conoce una política oficial de IA de su empleador. El 38 por ciento comparte datos confidenciales con plataformas de IA sin autorización.

Gartner predice que para 2030, más de el 40 por ciento de las empresas globales sufrirán incidentes de seguridad o cumplimiento debido a herramientas de IA no autorizadas. La predicción para 2027 es más específica: el 40 por ciento de todas las violaciones de datos de IA se deberán al uso indebido de GenKI transfronterizo.

Por qué Copilot es más peligroso que ChatGPT

Muchas empresas equiparan Copilot con ChatGPT, un chatbot con el que se pueden escribir textos. Esto es un malentendido fundamental. ChatGPT funciona con los datos que el usuario introduce. Copilot trabaja con todos los datos a los que el usuario tiene acceso, más todos los datos que se encuentran en recursos compartidos a los que podría acceder teóricamente.

La diferencia en la práctica: cuando un empleado le da a ChatGPT un documento interno, es una decisión consciente, problemática pero comprensible. Cuando Copilot busca automáticamente correos electrónicos, agrega chats de Teams y resume documentos de SharePoint, esto ocurre de manera automática e invisible. El usuario a menudo ni siquiera sabe de qué fuentes Copilot compone sus respuestas.

Esto tiene consecuencias para la superficie de ataque. Con ChatGPT, un atacante debe hacer que el usuario realice una entrada manipulada. Con Copilot, basta con enviar un correo electrónico manipulado o colocar un documento preparado en una carpeta compartida. Copilot extrae el contenido de manera autónoma; este es el mecanismo que el CTO de Zenity demostró en la Black Hat y que Johann Rehberger llevó al extremo con el ASCII Smuggling.

Para los equipos de seguridad, esto significa: La modelización de amenazas para Copilot es fundamentalmente diferente a la de otras herramientas de IA. No es suficiente con formar al usuario. Hay que asegurar todo el panorama de datos, porque Copilot encuentra cualquier brecha y se la presenta al usuario en bandeja de plata.

Microsoft ha reconocido esto y desde finales de 2025 ofrece el procesamiento de datos en el país para 15 países, incluida Alemania. Esto resuelve parcialmente el problema de la transferencia de datos. Pero no resuelve el problema del exceso de compartición ni los ataques de inyección de indicaciones que ocurren dentro de los límites del propio tenant.

Lo que debería ser obligatorio antes de un despliegue de Copilot

1. Auditoría de permisos antes del despliegue. Microsoft recomienda SharePoint Advanced Management para una revisión sistemática de permisos. Eliminar enlaces «Anyone», identificar espacios de trabajo huérfanos, resolver permisos de grupos anidados. No hay acceso a Copilot sin una auditoría de permisos completada.

2. Etiquetas de sensibilidad de forma generalizada. Etiquetas de protección de información de Microsoft Purview en todos los documentos y correos electrónicos. Sin etiquetas, no hay control efectivo de DLP – y Copilot ignora lo que no está etiquetado.

3. Configurar políticas DLP para Copilot. Desde 2025, Microsoft Purview DLP admite explícitamente la ubicación «Microsoft 365 Copilot». Quien no configure estas políticas, deja que Copilot acceda a datos empresariales sin barreras.

4. Grupo piloto antes del despliegue en toda la organización. Máximo 50 usuarios en un entorno controlado. Monitoreo: ¿Qué datos muestra Copilot que no debería mostrar? Solo cuando la respuesta sea «ninguno», se escala.

5. Realizar una evaluación de impacto de la DSGVO. El artículo 35 de la DSGVO exige una evaluación de impacto en la protección de datos cuando el procesamiento conlleva riesgos elevados. Un sistema de IA que accede a todos los datos empresariales cumple este criterio.

6. Establecer una política de uso de IA. Reglas claras: qué herramientas están permitidas, qué datos se pueden ingresar, cómo se gestiona la Shadow AI. Las cifras de Bitkom muestran: sin política, cada uno hace lo que quiere.

La combinación de un despliegue oficial de Copilot y Shadow AI no oficial genera una doble superficie de ataque. Por un lado, las instancias controladas de Copilot con sus vulnerabilidades documentadas. Por otro, las herramientas privadas de IA no controladas, en las que los empleados ingresan datos de clientes, detalles de contratos y documentos de estrategia interna – sin auditoría, sin registro, sin posibilidad de seguimiento. Para los CISOs, esto es un escenario de pesadilla: no se puede asegurar completamente ni el canal oficial ni el no oficial de IA.

«Los ataques respaldados por IA son, según Gartner, el principal riesgo emergente para las empresas – durante tres trimestres consecutivos.»
– Gartner Q3 2024 Emerging Risks Survey, en esencia

El punto decisivo: Copilot no es un problema de seguridad per se. Es un multiplicador. Quien tiene controlados sus permisos, se beneficia. Quien no los tiene controlados, da a una IA acceso a todo lo que está mal asegurado – y lo hace accesible, resumible y exportable. La preparación para Copilot no es una tarea de TI. Es una tarea de seguridad.

Un último pensamiento para la clasificación: Microsoft no es el enemigo. Copilot es una herramienta productiva que, con la preparación adecuada, proporciona un valor real. Pero la preparación es la clave – y la mayoría de las empresas subestiman el esfuerzo. La vulnerabilidad de EchoLeak, la decisión del EDPS y las cifras de Bitkom sobre Shadow AI apuntan todas en la misma dirección: quien despliega asistentes de IA sin haber ordenado previamente los permisos, la arquitectura de protección de datos y las políticas de uso, actúa de manera negligente. Y bajo NIS2, la negligencia en la seguridad de TI puede tener consecuencias personales para la dirección.

Preguntas frecuentes

¿Es inseguro Microsoft 365 Copilot?

Copilot en sí mismo no es inseguro per se. Pero amplifica los problemas existentes de permisos – hace accesibles datos que los usuarios sin Copilot nunca habrían encontrado. Las vulnerabilidades documentadas (EchoLeak, ASCII Smuggling, Label-Bypass) fueron parcheadas por Microsoft, pero muestran que el sistema es vulnerable.

¿Qué es EchoLeak (CVE-2025-32711)?

La primera vulnerabilidad documentada de cero clics en un sistema de IA productivo. Puntuación CVSS 9.3 de 10. Los atacantes podían exfiltrar datos del contexto de Copilot sin que el usuario tuviera que hacer nada. Microsoft parcheó la vulnerabilidad en mayo de 2025.

¿Qué ha decidido el EDPS sobre el uso de Microsoft 365?

En marzo de 2024, el Supervisor Europeo de Protección de Datos determinó que la Comisión Europea violaba la legislación de protección de datos al utilizar M365. Las infracciones se corrigieron en julio de 2025, pero la decisión sigue siendo relevante como precedente para todas las organizaciones de la UE que utilizan M365.

¿Necesito una evaluación de impacto de la RGPD para Copilot?

Los expertos en derecho de protección de datos recomiendan encarecidamente realizar una evaluación de impacto en la protección de datos según el art. 35 RGPD, ya que Copilot procesa datos personales y accede a amplios datos empresariales. En el Anexo de Procesamiento de Datos de Microsoft no hay regulaciones específicas para la IA/Copilot.

¿Cuán extendida está la Shadow AI en las empresas alemanas?

El 34 por ciento de los empleados alemanes utilizan herramientas de IA generativa con cuentas privadas sin pasar por la IT de la empresa (Bitkom 2024). En el 8 por ciento de las empresas, la Shadow AI está muy extendida. Solo el 23 por ciento tiene reglas para el uso de la IA.

¿Qué debo hacer antes de un despliegue de Copilot?

Como mínimo: realizar una auditoría de permisos en SharePoint/OneDrive/Teams, configurar etiquetas de sensibilidad de manera generalizada, configurar políticas DLP para Copilot, realizar una evaluación de impacto de la RGPD y establecer una política de uso de la IA. Microsoft recomienda realizar una prueba piloto con un máximo de 50 usuarios.

¿Puede Copilot acceder a correos electrónicos confidenciales?

Sí, si los permisos lo permiten. En enero de 2026 se documentó un error por el cual Copilot, a pesar de las etiquetas de confidencialidad, accedía a correos electrónicos protegidos en elementos enviados y borradores. Microsoft lanzó un parche de emergencia.

Fuente imagen de título: Pexels / cottonbro studio (px:6153354)

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow