SearchLeak: Cómo un enlace convirtió a Microsoft 365 Copilot en una filtración de datos

6 min. de lectura

Un solo clic en un enlace manipulado bastó para que Microsoft 365 Copilot filtrara correos electrónicos, entradas de calendario e incluso códigos de un solo uso para la autenticación multifactor. La vulnerabilidad, bautizada como «SearchLeak» por sus descubridores en Varonis Threat Labs y registrada como CVE-2026-42824 con el nivel de gravedad más alto de Microsoft, comenzó con una inyección de parámetros: un valor manipulado en la URL que insertaba instrucciones ocultas al asistente. Microsoft cerró la brecha a principios de junio en el lado del servidor, sin que los usuarios tuvieran que intervenir. Sin embargo, el problema real sigue sobre la mesa, porque la vía de ataque está abierta para los asistentes de IA que combinan un amplio acceso de búsqueda a datos corporativos con un control deficiente de la salida y la salida de datos.

Lo más importante en resumen

Un clic bastó. SearchLeak (CVE-2026-42824) convirtió Microsoft 365 Copilot, a través de un enlace manipulado, en una herramienta de fuga de datos, desde correos electrónicos hasta códigos de un solo uso. Descubierto por Varonis, sin indicios de explotación en entornos reales.
Tres debilidades en cadena. Una inyección de parámetros insertaba instrucciones, una brecha de renderizado las ejecutaba y una solicitud del lado del servidor eludía los mecanismos de protección para filtrar los datos.
El parche no resuelve la clase. Microsoft cerró SearchLeak, pero cualquier asistente con amplio acceso a datos sigue siendo un objetivo. La respuesta está en los permisos, el control de salida y el registro de actividad.

Relacionado:Copilot encuentra el archivo que nadie quería compartir / La vulnerabilidad que solo la IA encontró

Cómo un enlace se convierte en una fuga de datos

SearchLeak estaba formada por una cadena de tres debilidades que solo resultaban peligrosas en conjunto. Al principio estaba la inyección de parámetros: a través del parámetro de búsqueda en la URL se podía insertar en Copilot un fragmento de texto que el asistente trataba no como una entrada de usuario, sino como una instrucción. Así, un enlace inofensivo se convertía en un comando oculto.

El segundo eslabón lo proporcionaba una brecha temporal durante la construcción de la página de respuesta. Un elemento de imagen introducido por el atacante se cargaba antes de que la salida estuviera completamente depurada. El tercer eslabón aprovechaba una solicitud del lado del servidor a través de un servicio de Bing, que eludía la política de seguridad de contenido de la página para filtrar los datos capturados. El resultado: un clic, y los contenidos de la búsqueda de Copilot en la empresa se transferían sin ser detectados al exterior, desde textos de correo con credenciales hasta detalles de calendario y documentos.

Lo que hace peligrosa a esta cadena es su discreción. Cada eslabón por separado parece inofensivo: un parámetro de búsqueda es algo cotidiano, una imagen que se carga después también lo es, y una solicitud a un servicio propio de Microsoft lo es aún más. Solo la concatenación forma una vía de exfiltración que funciona sin malware, sin archivos adjuntos y sin necesidad de una segunda acción del usuario. Para la víctima, el proceso parecía una respuesta normal de Copilot, mientras que en segundo plano los datos ya estaban en camino. Este camuflaje explica por qué las defensas clásicas no detectan este ataque: no hay ningún archivo sospechoso que un antivirus pueda analizar, ni un remitente obviamente malicioso que un filtro de spam pueda identificar.

Por qué la solución fija no resuelve el problema de fondo

Varonis informó a Microsoft sobre la cadena, publicó una prueba de concepto y, en el momento de la divulgación, no encontró indicios de explotación en el campo. Microsoft desactivó SearchLeak a nivel de servidor a principios de junio. Para las empresas afectadas, esto significa: sin parche para el cliente, sin acción del usuario, el peligro inmediato ha desaparecido.

No obstante, la tranquilidad es engañosa si se interpreta como un punto final. SearchLeak es un ejemplo de toda una clase de ataques en la que un asistente de IA con amplio acceso a los datos empresariales se convierte en una palanca. Un asistente secuestrado puede acceder a todo lo que tiene disponible el usuario autenticado, y precisamente este radio de acción puede ser malversado. Se prevén hallazgos similares mientras los asistentes mantengan este amplio acceso.

El núcleo del problema radica en el modelo de confianza. Copilot Enterprise Search está diseñado deliberadamente para acceder a toda la base de datos del usuario en su nombre, abarcando buzones de correo, calendarios, SharePoint y OneDrive. Esa es su utilidad y, al mismo tiempo, su superficie de ataque. Quien induce al asistente a realizar una acción actúa con sus derechos, y estos son muy amplios. La inyección de parámetros y prompts no son trucos exóticos, sino la consecuencia lógica de que una misma entrada pueda ser tanto contenido como instrucción para la máquina. Mientras esta frontera permanezca difusa, la clase de ataque seguirá existiendo, independientemente de lo limpiamente que se cierre un fallo individual. Esto desplaza la tarea de la caza de vulnerabilidades aisladas hacia la cuestión de cuánto daño podría causar realmente un asistente abusado en un caso grave.

Qué deberían endurecer ahora los equipos de seguridad

La respuesta sensata no es apagar Copilot, sino minimizar el posible daño si surge la próxima vulnerabilidad. Cuatro puntos clave son decisivos para ello.

Restringir los permisos. Copilot Enterprise Search hereda los derechos de acceso del usuario. Quien limpie carpetas compartidas generosamente y permisos huérfanos, reducirá el radio que un asistente secuestrado puede alcanzar. Esta es la medida más eficaz y la más frecuentemente negligida. En la práctica, esto implica revisar sistemáticamente las comparticiones excesivas de SharePoint y OneDrive, los enlaces abiertos de «todo el empresa» y los derechos antiguos de proyectos finalizados. Cuanto menos pueda ver una cuenta promedio, menor será el daño si esa misma cuenta se ve abusada a través del asistente. El principio no es nuevo, pero Copilot le otorga una palanca inmediata.

Supervisar la salida de datos. SearchLeak filtraba datos a través de un servicio externo. El control de salida (egress) y la prevención de pérdida de datos (DLP), que detectan flujos inusuales fuera del entorno de Microsoft 365, abordan exactamente este último eslabón de la cadena. Microsoft Purview Data Loss Prevention y Defender for Cloud Apps pueden configurarse para marcar o bloquear contenidos sensibles durante su salida, incluso si el camino hacia el exterior transcurre a través de una llamada aparentemente inocua a una imagen o servicio. Es crucial que las reglas no solo capturen adjuntos de correo y cargas obvias, sino también los canales discretos a través de los cuales opera este tipo de ataque.

Registrar la actividad del asistente. Quien no registre qué contenidos recupera Copilot y a qué destinos externos se accede, solo notará dicha fuga cuando ya haya causado daños. El registro de interacciones de IA debe situarse al mismo nivel que el registro de accesos privilegiados. El registro de auditoría de Microsoft 365 y Purview capturan las operaciones de Copilot, siempre que el registro esté activado y evaluado regularmente. Sin esta evaluación, un incidente permanece invisible hasta que se manifiesta en otro lugar, momento en el que faltan las pistas para reconstruir su alcance.

Comprender los enlaces de IA como superficie de ataque. Un enlace que controla a un asistente es más peligroso que un enlace clásico de phishing, porque accede a los datos del usuario en su nombre. Los programas de concienciación deben señalar este nuevo vector, en lugar de advertir únicamente sobre páginas de inicio de sesión falsificadas. Los empleados llevan años aprendiendo a reconocer remitentes sospechosos y formularios de inicio de sesión clonados. Un enlace que apunta internamente a una herramienta de Microsoft familiar pasa desapercibido por este filtro, ya que no parece ni extraño ni falso. La formación debe transmitir la diferencia: incluso un enlace aparentemente inofensivo puede inducir a un asistente a realizar acciones que el usuario nunca tuvo intención de ejecutar.

Preguntas frecuentes

¿Qué es exactamente SearchLeak?

SearchLeak es una vulnerabilidad descubierta por Varonis Threat Labs en la búsqueda empresarial de Microsoft 365 Copilot, registrada como CVE-2026-42824 con el nivel máximo de gravedad de Microsoft. Mediante un enlace manipulado era posible capturar datos de la búsqueda de Copilot con un solo clic, incluidos correos electrónicos, entradas del calendario, documentos y códigos de un solo uso.

¿Qué significa inyección de parámetros en este caso?

Un atacante insertó a través del parámetro de búsqueda en la URL un texto que Copilot procesó como una instrucción en lugar de una consulta de búsqueda. Así se pudo controlar al asistente sin que el usuario hiciera nada más que hacer clic en un enlace.

¿Debo hacer algo como cliente de Microsoft 365?

No para esta brecha concreta. Microsoft cerró SearchLeak a principios de junio en el servidor; no se requiere parche ni acción por parte del usuario. Sin embargo, sigue siendo recomendable revisar los permisos de Copilot y la supervisión, ya que la clase de ataque persiste.

¿Se explotó activamente la vulnerabilidad?

Varonis informó que, en el momento de la divulgación, no había indicios de explotación en entornos reales. Se publicó una prueba de concepto, no pruebas de un ataque real. Esto exime retrospectivamente, pero no dice nada sobre hallazgos futuros del mismo tipo.

¿Qué lección extrae un equipo de seguridad?

Que la seguridad de un asistente de IA depende de su acceso a los datos. Permisos restrictivos, control de salida (egress), registro de la actividad del asistente y concienciación sobre enlaces impulsados por IA limitan el daño si surge la próxima vulnerabilidad de esta clase.