Copilot descubre el archivo que nadie quería compartir
6 Min. de lectura
Un empleado escribe una pregunta inofensiva en Microsoft 365 Copilot y, de repente, en los resultados aparece la lista de salarios de la dirección. No ha habido ningún hackeo. Copilot simplemente encontró lo que ya estaba mal compartido. Es exactamente aquí donde fracasan la mayoría de los despliegues: en la gobernanza, no en la técnica.
Lo más importante en resumen
- Copilot hereda cada lastre del pasado: El asistente adopta los permisos existentes de forma exacta. Cualquier permiso demasiado amplio se vuelve visible y localizable de inmediato.
- Purview por sí solo no cierra la brecha: La herramienta protege de forma fiable lo que está clasificado. Sin una clasificación configurada, los contenidos sin etiquetar quedan fuera.
- El orden es decisivo: Primero ordenar el caos de permisos, luego desplegar Copilot. Al revés, el asistente hace localizable cualquier archivo no protegido.
Relacionado:API Security: el punto ciego detrás de cada integración / La vulnerabilidad que solo la IA encontró
Qué sale mal en la primera búsqueda
¿Qué es el oversharing? El oversharing designa archivos y carpetas que están compartidos con más personas de las necesarias, por ejemplo con toda la empresa en lugar de con un equipo. Mientras nadie busque activamente, esto rara vez llama la atención. Un asistente de IA busca de forma sistemática.
Microsoft 365 Copilot accede a los mismos datos, permisos y directivas que ya rigen en el tenant. Hereda el entorno exactamente tal como está. Donde los permisos han crecido durante años sin que nadie los haya ordenado, el asistente expone estas brechas en segundos, en lugar de mantenerlas ocultas tras rutas de carpetas anidadas.
Lo único nuevo es la velocidad. Lo que antes requería una búsqueda manual, Copilot lo entrega con una sola pregunta.
Por qué Purview solo no es suficiente
Microsoft Purview es la herramienta adecuada, pero no funciona sola. Aplica las reglas de protección de forma fiable sobre los datos que ya están clasificados y etiquetados con etiquetas de confidencialidad. El contenido sin etiquetar solo queda cubierto si los análisis y la clasificación automática están configurados. El trabajo real reside en esa clasificación; la herramienta se encarga después de aplicarla.
Por eso Microsoft recomienda un enfoque combinado. SharePoint Advanced Management ayuda a revisar y ordenar el inventario de sitios. Purview asigna etiquetas de confidencialidad, realiza evaluaciones de riesgo de datos y ofrece medidas contra el uso compartido excesivo a gran escala. Por encima de todo esto, DSPM for AI actúa como punto de entrada para hacer visible y controlable el uso de la IA en la organización.
¿Qué es DSPM for AI? Data Security Posture Management para IA es el panel de control de Microsoft para identificar qué aplicaciones de IA acceden a qué datos y para aplicar sobre ellos reglas de seguridad y cumplimiento normativo.
| Paso previo al despliegue | Herramienta | Qué ocurre si no se hace |
|---|---|---|
| Ordenar el inventario de sitios | SharePoint Advanced Management | Copilot busca en cada carpeta olvidada |
| Clasificar los datos | Etiquetas de confidencialidad de Purview | el contenido sensible queda desprotegido |
| Hacer visibles los accesos de la IA | DSPM for AI | nadie sabe qué lee la IA |
El orden que salva el despliegue
El error más costoso es empezar deprisa. Quien activa Copilot antes de que los permisos estén bien configurados traslada la limpieza al entorno en producción, donde cada resultado puede convertirse en una fuga de datos potencial. El orden sensato es: primero revisar el inventario, después clasificar, luego hacer la evaluación de riesgos y, por último, activar Copilot.
Eso requiere tiempo de preparación, y ahí es precisamente donde suele fallar. Un despliegue que internamente se ha vendido como una victoria rápida de productividad no encaja bien con el anuncio de que antes hay semanas de higiene de datos por delante. Aun así, es la opción más económica. Una fuga de datos tras el lanzamiento cuesta más que cualquier retraso previo.
En 2026, Copilot está pasando en muchas organizaciones del piloto al uso habitual. Los despliegues que se estancan rara vez lo hacen por falta de licencias o funcionalidades. Lo que les falta es la base de permisos y clasificación sobre la que el asistente podría trabajar de forma segura.
Preguntas frecuentes
¿Hace Copilot mis datos menos seguros?
Copilot no añade una nueva vulnerabilidad, sino que pone al descubierto las existentes. El asistente solo accede a los datos que el usuario correspondiente ya tiene permiso para ver. El riesgo surge por los permisos demasiado amplios que antes nadie había detectado.
¿Es suficiente Microsoft Purview para proteger Copilot?
Purview es un componente central, pero no una protección completa. Solo aplica reglas sobre los datos clasificados. Para el contenido sin etiquetar y los permisos mal configurados, se necesita además SharePoint Advanced Management y una evaluación rigurosa del riesgo de datos.
¿Qué es el uso compartido excesivo en el contexto de Microsoft 365?
El uso compartido excesivo hace referencia a archivos y sitios que están compartidos más ampliamente de lo necesario, a menudo con toda la organización. Un asistente de IA hace que estos permisos sean aprovechables mediante una simple búsqueda y, con ello, visibles.
¿Deberíamos por tanto posponer Copilot?
Un aplazamiento generalizado es la reacción equivocada. Lo razonable es un piloto limitado en un área ordenada, mientras en paralelo se clasifica el resto del inventario. La higiene de datos es la que marca el ritmo.
¿Quién debería asumir la responsabilidad de la preparación?
Lo más sensato es una interacción entre seguridad informática, protección de datos y los propietarios de los datos en los departamentos especializados. La clasificación solo la conoce el departamento especializado; la seguridad se encarga de hacerla cumplir. Una propiedad clara evita que el trabajo quede sin atender.
Recomendaciones de la redacción
Más de la red MBF Media
Cuando el agente contabiliza la factura entrante por sí mismo
Fuente de la imagen: generada por IA (junio de 2026), certificado C2PA incorporado en la imagen
