Copilot como riesgo de seguridad: cuando el asistente de IA filtra secretos empresariales
8 min de lectura
Microsoft 365 Copilot presenta una vulnerabilidad de tipo «zero-click» con puntuación CVSS de 9,3. El Supervisor Europeo de Protección de Datos ha reprendido a la Comisión Europea por su uso de M365. Y el 34 % de los empleados alemanes utilizan herramientas de IA al margen de la infraestructura informática corporativa. Tres hechos, un problema: las empresas están desplegando asistentes de IA sin haber construido previamente una arquitectura de seguridad adaptada a ellos.
Copilot no es un chatbot. Es un sistema que accede a todos los datos a los que un usuario puede ver en SharePoint, OneDrive, Teams y Outlook – y, en ocasiones, a datos a los que no debería tener acceso. Para los equipos de seguridad informática, esto significa lo siguiente: cualquier brecha en los permisos, cualquier compartición accidental con «cualquiera», cualquier espacio de trabajo abandonado se vuelve repentinamente accesible mediante un motor de búsqueda impulsado por IA. Este artículo expone qué vectores de ataque están documentados, qué recomienda el BSI (Oficina Federal de Seguridad Informática) y qué medidas son obligatorias antes de un despliegue de Copilot.
En resumen
- CVE-2025-32711 (EchoLeak): primera vulnerabilidad de tipo «zero-click» en un sistema de IA operativo. Puntuación CVSS: 9,3. Los atacantes podían exfiltrar datos del contexto de Copilot sin necesidad de interacción alguna por parte del usuario (Infosecurity Magazine, mayo de 2025).
- EDPS reprende a la Comisión Europea: el Supervisor Europeo de Protección de Datos constató en marzo de 2024 que la Comisión Europea incumple la normativa de protección de datos al utilizar M365 – por especificación insuficiente de la recogida de datos y ausencia de garantías para transferencias internacionales.
- 34 % de Shadow AI en Alemania: uno de cada tres empleados utiliza inteligencia artificial generativa con una cuenta privada fuera de la infraestructura informática corporativa (Bitkom, 2024). Solo el 23 % de las empresas dispone de normas al respecto.
- El «oversharing» es el mayor riesgo: Microsoft identifica expresamente los permisos excesivos como la categoría de riesgo más frecuente en los despliegues de Copilot. Copilot convierte inmediatamente en explotables los errores existentes en la gestión de permisos.
- Gartner advierte: hasta el 2027, el 40 % de todas las violaciones de protección de datos relacionadas con IA surgirán del mal uso transfronterizo de IA generativa (Gartner, febrero de 2025).
EchoLeak: la primera vulnerabilidad de IA de tipo «zero-click»
En enero de 2025, investigadores de Aim Labs descubrieron una vulnerabilidad en Microsoft 365 Copilot que abrió una nueva categoría: CVE-2025-32711, bautizada «EchoLeak». Puntuación CVSS: 9,3 sobre 10. Lo particular: no se requiere ningún clic, ninguna apertura de archivo ni ninguna interacción por parte del usuario. El atacante podía exfiltrar directamente datos del contexto de Copilot de otro usuario.
Microsoft parcheó esta vulnerabilidad en mayo de 2025. Sin embargo, EchoLeak marca un punto de inflexión: fue el primer caso documentado de una vulnerabilidad de tipo «zero-click» en un sistema operativo basado en modelos de lenguaje de gran tamaño (LLM). Para los equipos de seguridad, esto significa que los asistentes de IA no solo crean nuevas superficies de ataque – sino que también crean superficies de ataque que pueden ser explotadas sin la menor colaboración por parte de la víctima.
Inyección de prompts: cuatro vectores de ataque documentados
EchoLeak no es el único vector de ataque documentado. Desde 2024, investigadores de seguridad han identificado varios métodos para manipular a Copilot – y Microsoft ha tenido que aplicar un parche tras cada hallazgo.
ASCII Smuggling (Johann Rehberger, 2024): El investigador demostró que caracteres Unicode invisibles pueden camuflar datos sensibles dentro de hipervínculos aparentemente inocuos. Basta con un correo electrónico manipulado o un documento preparado: Copilot ejecuta una inyección indirecta de prompt, recopila datos (incluidos códigos de autenticación multifactor – MFA – ) y los oculta en un enlace. Un simple clic del usuario exfiltra los datos. Microsoft clasificó inicialmente este hallazgo como «baja gravedad» y solo aplicó el parche tras una demostración pública en la conferencia HITCON.
Exfiltración mediante diagramas Mermaid (Truesec, septiembre de 2025): Se logró inducir a Copilot, mediante documentos de Office manipulados, a integrar contenidos de correos electrónicos en enlaces interactivos dentro de diagramas Mermaid. Como consecuencia, Microsoft desactivó por completo los enlaces interactivos en los diagramas Mermaid.
Bypass de etiquetas de confidencialidad (enero de 2026): Copilot accedió a correos electrónicos protegidos almacenados en las carpetas «Elementos enviados» y «Borradores», pese a que se habían asignado etiquetas de confidencialidad. Las políticas de prevención de pérdida de datos (DLP) fueron eludidas. Microsoft emitió un parche de emergencia.
Inyección indirecta de prompt mediante correo electrónico (Zenity, Black Hat 2024): El director técnico de Zenity demostró en la conferencia Black Hat USA que Copilot procesa automáticamente correos electrónicos manipulados – sin que la víctima los abra. En la demostración, Copilot sustituía datos bancarios en órdenes de pago y presentaba una página falsa de inicio de sesión de Microsoft.
«El BSI recomienda realizar, antes de integrar grandes modelos de lenguaje de IA en los flujos de trabajo, un análisis de riesgos específico para cada caso de uso concreto.»
– BSI, Modelos de IA generativa: oportunidades y riesgos, versión resumida (mayo de 2024)
Oversharing: el riesgo cotidiano subestimado
Las vulnerabilidades espectaculares acaparan los titulares. Pero el mayor riesgo asociado a Copilot es banal: permisos excesivos en SharePoint, OneDrive y Teams. Microsoft identifica expresamente el «oversharing» como la categoría de riesgo más frecuente en los despliegues de Copilot.
El problema radica en que Copilot utiliza el modelo de permisos ya existente. Si una carpeta de SharePoint se ha compartido mediante un enlace «para cualquiera», si existen espacios de trabajo abandonados con permisos activos, o si permisos de grupos anidados otorgan acceso a datos que el usuario nunca ha visto conscientemente, entonces Copilot hace todo ello inmediatamente buscable y resumible.
Un ejemplo: un empleado pregunta a Copilot: «¿Qué se trató la semana pasada sobre el proyecto Alpha?». Copilot busca en todos los chats de Teams, correos electrónicos y documentos de SharePoint a los que el usuario tiene acceso – incluso en canales que nunca ha visitado y en carpetas que nunca ha abierto. Si los permisos están demasiado amplios, Copilot entrega información confidencial que el usuario, sin Copilot, jamás habría encontrado.
Esto resulta especialmente delicado para las empresas alemanas. A diferencia de Estados Unidos, donde el acceso a los datos dentro de una organización suele gestionarse con generosidad, el Reglamento General de Protección de Datos (RGPD) establece requisitos claros en materia de limitación del propósito y minimización de los datos. Si Copilot resume para un empleado del departamento de marketing negociaciones salariales procedentes de un canal de Recursos Humanos porque los permisos de Teams estaban demasiado laxos, esto no es solo un problema de seguridad: constituye una infracción del RGPD. Las autoridades de control de Baviera y Renania del Norte-Westfalia ya han señalado que el tratamiento de datos basado en IA recibirá una atención especial.
La recomendación de Microsoft es inequívoca: antes de desplegar Copilot, debe limpiarse el modelo de permisos. El «Oversharing Assessment Blueprint» de Microsoft prevé: aplicar el principio de mínimo privilegio, realizar revisiones periódicas de permisos y usar SharePoint Advanced Management para identificar sitios de riesgo. En la práctica, esto implica semanas o incluso meses de trabajo previo antes de que el primer usuario pueda activar Copilot.
Decisión del EDPS: cuando la propia Comisión Europea infringe la normativa de protección de datos
El 8 de marzo de 2024, el Supervisor Europeo de Protección de Datos (EDPS) declaró oficialmente que la Comisión Europea incumple el Reglamento (UE) 2018/1725 sobre protección de datos al utilizar Microsoft 365. Los hallazgos centrales fueron: especificación insuficiente de qué datos personales recoge Microsoft y para qué fines, y ausencia de garantías adecuadas para las transferencias de datos fuera del Espacio Económico Europeo (EEE).
La medida fue drástica: a partir del 9 de diciembre de 2024, debían suspenderse todas las transferencias de datos a Microsoft fuera del EEE. La Comisión Europea ha subsanado ya dichas infracciones – el EDPS cerró la investigación en julio de 2025 – . No obstante, la decisión sigue vigente como precedente: si la propia Comisión Europea infringe la normativa de protección de datos al utilizar Microsoft M365, ¿qué implica esto para una empresa mediana que utiliza el mismo software con menos recursos?
Para las empresas de DACH, esta decisión constituye una llamada concreta a la acción. Los expertos jurídicos en protección de datos recomiendan encarecidamente llevar a cabo una evaluación de impacto en la protección de datos conforme al artículo 35 del RGPD ante el uso de Copilot. Aunque Microsoft anunció para noviembre de 2025 el procesamiento de datos dentro del país para Alemania, entre los juristas sigue siendo objeto de debate si esto resuelve por completo las preocupaciones derivadas del RGPD.
El BSI publicó en noviembre de 2025 una advertencia específica sobre «ataques de evasión contra modelos de lenguaje de IA». Sus recomendaciones: definir prompts del sistema con precisión, filtrar contenidos dañinos en documentos de terceros y exigir una confirmación explícita por parte del usuario antes de que un modelo de lenguaje de gran tamaño ejecute cualquier acción. CERT-Bund ha emitido un aviso específico sobre M365 Copilot bajo el código WID-SEC-2025-1746. Para las empresas sujetas a la Directiva NIS2 o a la regulación KRITIS, estas recomendaciones del BSI no son opcionales: forman parte de la diligencia debida, cuya falta de cumplimiento podría dar lugar a responsabilidades personales para los directivos.
Shadow AI: el problema que crece más rápido que las políticas
Mientras los departamentos de TI debaten sobre los despliegues de Copilot, los empleados ya han creado hechos consumados. Según Bitkom, el 34 % de los empleados alemanes utiliza herramientas de IA generativa con cuentas privadas fuera de la infraestructura informática corporativa. En el 8 % de las empresas, el Shadow AI está muy extendido – una duplicación respecto al año anterior – . Y solo el 23 % de las empresas ha definido normas para el uso de IA.
A escala global, la situación no es mejor: según una encuesta de WalkMe entre 12.000 trabajadores del conocimiento, el 60 % utiliza herramientas de IA en su trabajo, pero solo el 18,5 % conoce una política oficial de IA de su empleador. El 38 % comparte datos confidenciales con plataformas de IA sin autorización previa.
Gartner pronostica que, para 2030, más del 40 % de las empresas globales experimentará incidentes de seguridad o cumplimiento derivados de herramientas de IA no autorizadas. La previsión para 2027 es aún más específica: el 40 % de todas las violaciones de protección de datos relacionadas con IA surgirán del mal uso transfronterizo de IA generativa.
Por qué Copilot es más peligroso que ChatGPT
Muchas empresas equiparan Copilot a ChatGPT – un chatbot con el que se pueden redactar textos – . Este es un malentendido fundamental. ChatGPT opera exclusivamente con los datos que el usuario introduce. Copilot opera con todos los datos a los que el usuario tiene acceso, además de todos los datos que se encuentran en recursos compartidos a los que teóricamente podría acceder.
La diferencia en la práctica es la siguiente: si un empleado proporciona a ChatGPT un documento interno, se trata de una decisión consciente – problemática, sí, pero comprensible. Si Copilot busca automáticamente correos electrónicos, agrupa chats de Teams y resume documentos de SharePoint, lo hace de forma automática e invisible. Con frecuencia, el usuario ni siquiera sabe de qué fuentes extrae Copilot sus respuestas.
Esto tiene consecuencias para la superficie de ataque. En el caso de ChatGPT, un atacante debe inducir al usuario a introducir una entrada manipulada. En el caso de Copilot, basta con enviar un correo electrónico manipulado o colocar un documento preparado en una carpeta compartida. Copilot recupera el contenido de forma autónoma – este es el mecanismo que el director técnico de Zenity demostró en la conferencia Black Hat y que Johann Rehberger completó con su técnica ASCII Smuggling.
Para los equipos de seguridad, esto significa que la modelización de amenazas para Copilot es fundamentalmente distinta de la correspondiente a otras herramientas de IA. No basta con capacitar al usuario. Hay que proteger toda la infraestructura de datos – porque Copilot encuentra cualquier brecha y se la presenta al usuario en una bandeja de plata.
Microsoft ha tomado conciencia de ello y ofrece desde finales de 2025 el procesamiento de datos dentro del país para 15 países, incluida Alemania. Esto resuelve parcialmente el problema de las transferencias de datos. Pero no resuelve el problema del «oversharing» ni los ataques de inyección de prompts, que tienen lugar dentro de los propios límites del tenant.
Qué debe hacerse obligatoriamente antes de un despliegue de Copilot
1. Auditoría de permisos antes del despliegue. Microsoft recomienda SharePoint Advanced Management para una revisión sistemática de permisos. Eliminar enlaces «para cualquiera», identificar espacios de trabajo abandonados y deshacer permisos de grupos anidados. Ningún acceso a Copilot sin haber completado previamente una auditoría de permisos.
2. Etiquetas de sensibilidad generalizadas. Aplicar etiquetas de protección de la información de Microsoft Purview a todos los documentos y correos electrónicos. Sin etiquetas, no hay control efectivo de prevención de pérdida de datos (DLP) – y Copilot ignora lo que no está etiquetado.
3. Configurar políticas DLP específicas para Copilot. Desde 2025, Microsoft Purview DLP admite explícitamente la ubicación «Microsoft 365 Copilot». Quien no configure estas políticas deja a Copilot libre para actuar sobre los datos empresariales sin ninguna guía ni restricción.
4. Grupo piloto antes del despliegue organizacional. Máximo 50 usuarios en un entorno controlado. Monitorización: ¿qué datos muestra Copilot que no debería mostrar? Solo se podrá escalar cuando la respuesta sea «ninguno».
5. Realizar una evaluación de impacto en la protección de datos conforme al RGPD. El artículo 35 del RGPD exige una evaluación de impacto en la protección de datos cuando el tratamiento de datos implique riesgos elevados. Un sistema de IA que accede a todos los datos empresariales cumple plenamente este criterio.
6. Establecer una política de uso de IA. Normas claras: ¿qué herramientas están permitidas?, ¿qué datos pueden introducirse?, ¿cómo se gestiona el Shadow AI?. Las cifras de Bitkom muestran que, sin una política, cada uno hará lo que quiera.
La combinación entre el despliegue oficial de Copilot y el uso informal de Shadow AI genera una doble superficie de ataque. Por un lado, las instancias oficiales de Copilot, con sus vulnerabilidades documentadas. Por otro, las herramientas de IA privadas e incontroladas, en las que los empleados introducen datos de clientes, detalles contractuales y documentos estratégicos internos – sin auditoría, sin registro y sin posibilidad alguna de rastreo. Para los CISO, este es un escenario de pesadilla: no se puede proteger completamente ni el canal oficial ni el no oficial de IA.
«Los ataques basados en IA son, según Gartner, el principal riesgo emergente para las empresas – tres trimestres consecutivos.»
– Encuesta de riesgos emergentes de Gartner Q3 2024, versión resumida
El punto decisivo es el siguiente: Copilot no es, en sí mismo, un problema de seguridad. Es un multiplicador. Quien tenga sus permisos bajo control, obtendrá beneficios. Quien no los tenga bajo control, otorgará a una IA acceso a todo lo que esté mal protegido – y lo convertirá en buscable, resumible y exportable. La preparación para Copilot no es una tarea de TI. Es una tarea de seguridad.
Un último pensamiento para contextualizar: Microsoft no es el enemigo. Copilot es una herramienta productiva que, con la preparación adecuada, aporta un valor real. Pero la preparación es la clave – y la mayoría de las empresas subestiman el esfuerzo requerido. La vulnerabilidad EchoLeak, la decisión del EDPS y las cifras de Bitkom sobre el Shadow AI apuntan todas en la misma dirección: quien despliegue asistentes de IA sin haber ordenado previamente los permisos, la arquitectura de protección de datos y las políticas de uso, actúa con negligencia. Y, bajo la Directiva NIS2, la negligencia en materia de seguridad informática puede tener consecuencias personales para la dirección ejecutiva.
Preguntas frecuentes
¿Es inseguro Microsoft 365 Copilot?
Copilot no es intrínsecamente inseguro. Sin embargo, potencia los problemas existentes de gestión de permisos: hace accesibles datos que los usuarios, sin Copilot, jamás habrían encontrado. Las vulnerabilidades documentadas (EchoLeak, ASCII Smuggling, bypass de etiquetas) han sido parcheadas por Microsoft, pero demuestran que el sistema es vulnerable.
¿Qué es EchoLeak (CVE-2025-32711)?
La primera vulnerabilidad de tipo «zero-click» documentada en un sistema de IA operativo. Puntuación CVSS: 9,3 sobre 10. Los atacantes podían exfiltrar datos del contexto de Copilot sin que el usuario realizara ninguna acción. Microsoft parcheó esta vulnerabilidad en mayo de 2025.
¿Qué decidió el EDPS sobre el uso de Microsoft 365?
En marzo de 2024, el Supervisor Europeo de Protección de Datos determinó que la Comisión Europea infringía la normativa de protección de datos al utilizar M365. Las infracciones fueron subsanadas hasta julio de 2025, pero la decisión sigue siendo un precedente relevante para todas las organizaciones de la UE que utilizan M365.
¿Necesito una evaluación de impacto en la protección de datos conforme al RGPD para Copilot?
Los expertos jurídicos en protección de datos recomiendan encarecidamente llevar a cabo una evaluación de impacto en la protección de datos conforme al artículo 35 del RGPD, dado que Copilot trata datos personales y accede a una amplia gama de datos empresariales. En el Anexo sobre Tratamiento de Datos de Microsoft no figuran disposiciones específicas para IA/Copilot.
¿Qué tan extendido está el Shadow AI en las empresas alemanas?
El 34 % de los empleados alemanes utiliza herramientas de IA generativa con cuentas privadas fuera de la infraestructura informática corporativa (Bitkom, 2024). En el 8 % de las empresas, el Shadow AI está muy extendido. Solo el 23 % dispone de normas para el uso de IA.
¿Qué debo hacer antes de un despliegue de Copilot?
Al menos: auditoría de permisos en SharePoint/OneDrive/Teams, implementación generalizada de etiquetas de sensibilidad, configuración de políticas DLP específicas para Copilot, realización de una evaluación de impacto en la protección de datos conforme al RGPD y establecimiento de una política de uso de IA. Microsoft recomienda realizar una prueba piloto con un máximo de 50 usuarios.
¿Puede Copilot acceder a correos electrónicos confidenciales?
Sí – si los permisos lo permiten. En enero de 2026 se documentó un error mediante el cual Copilot accedía a correos electrónicos protegidos almacenados en las carpetas «Elementos enviados» y «Borradores», pese a la presencia de etiquetas de confidencialidad. Microsoft emitió un parche de emergencia.
Lecturas recomendadas por la redacción
Más contenido de la red MBF Media
Fuente de imagen: Pexels / cottonbro studio (px:6153354)
