6 min. de lectura<\/p>\n
Un solo clic en un enlace manipulado bast\u00f3 para que Microsoft 365 Copilot filtrara correos electr\u00f3nicos, entradas de calendario e incluso c\u00f3digos de un solo uso para la autenticaci\u00f3n multifactor.<\/strong> La vulnerabilidad, bautizada como \u00abSearchLeak\u00bb por sus descubridores en Varonis Threat Labs y registrada como CVE-2026-42824 con el nivel de gravedad m\u00e1s alto de Microsoft, comenz\u00f3 con una inyecci\u00f3n de par\u00e1metros: un valor manipulado en la URL que insertaba instrucciones ocultas al asistente. Microsoft cerr\u00f3 la brecha a principios de junio en el lado del servidor, sin que los usuarios tuvieran que intervenir. Sin embargo, el problema real sigue sobre la mesa, porque la v\u00eda de ataque est\u00e1 abierta para los asistentes de IA que combinan un amplio acceso de b\u00fasqueda a datos corporativos con un control deficiente de la salida y la salida de datos.<\/p>\n Lo m\u00e1s importante en resumen<\/p>\n Relacionado:<\/span>Copilot encuentra el archivo que nadie quer\u00eda compartir<\/a> \/<\/span> La vulnerabilidad que solo la IA encontr\u00f3<\/a><\/p>\n SearchLeak estaba formada por una cadena de tres debilidades que solo resultaban peligrosas en conjunto. Al principio estaba la inyecci\u00f3n de par\u00e1metros: a trav\u00e9s del par\u00e1metro de b\u00fasqueda en la URL se pod\u00eda insertar en Copilot un fragmento de texto que el asistente trataba no como una entrada de usuario, sino como una instrucci\u00f3n. As\u00ed, un enlace inofensivo se convert\u00eda en un comando oculto.<\/p>\n El segundo eslab\u00f3n lo proporcionaba una brecha temporal durante la construcci\u00f3n de la p\u00e1gina de respuesta. Un elemento de imagen introducido por el atacante se cargaba antes de que la salida estuviera completamente depurada. El tercer eslab\u00f3n aprovechaba una solicitud del lado del servidor a trav\u00e9s de un servicio de Bing, que elud\u00eda la pol\u00edtica de seguridad de contenido de la p\u00e1gina para filtrar los datos capturados. El resultado: un clic, y los contenidos de la b\u00fasqueda de Copilot en la empresa se transfer\u00edan sin ser detectados al exterior, desde textos de correo con credenciales hasta detalles de calendario y documentos.<\/p>\n Lo que hace peligrosa a esta cadena es su discreci\u00f3n. Cada eslab\u00f3n por separado parece inofensivo: un par\u00e1metro de b\u00fasqueda es algo cotidiano, una imagen que se carga despu\u00e9s tambi\u00e9n lo es, y una solicitud a un servicio propio de Microsoft lo es a\u00fan m\u00e1s. Solo la concatenaci\u00f3n forma una v\u00eda de exfiltraci\u00f3n que funciona sin malware, sin archivos adjuntos y sin necesidad de una segunda acci\u00f3n del usuario. Para la v\u00edctima, el proceso parec\u00eda una respuesta normal de Copilot, mientras que en segundo plano los datos ya estaban en camino. Este camuflaje explica por qu\u00e9 las defensas cl\u00e1sicas no detectan este ataque: no hay ning\u00fan archivo sospechoso que un antivirus pueda analizar, ni un remitente obviamente malicioso que un filtro de spam pueda identificar.<\/p>\n Varonis inform\u00f3 a Microsoft sobre la cadena, public\u00f3 una prueba de concepto y, en el momento de la divulgaci\u00f3n, no encontr\u00f3 indicios de explotaci\u00f3n en el campo. Microsoft desactiv\u00f3 SearchLeak a nivel de servidor a principios de junio. Para las empresas afectadas, esto significa: sin parche para el cliente, sin acci\u00f3n del usuario, el peligro inmediato ha desaparecido.<\/p>\n No obstante, la tranquilidad es enga\u00f1osa si se interpreta como un punto final. SearchLeak es un ejemplo de toda una clase de ataques en la que un asistente de IA con amplio acceso a los datos empresariales se convierte en una palanca. Un asistente secuestrado puede acceder a todo lo que tiene disponible el usuario autenticado, y precisamente este radio de acci\u00f3n puede ser malversado. Se prev\u00e9n hallazgos similares mientras los asistentes mantengan este amplio acceso.<\/p>\n El n\u00facleo del problema radica en el modelo de confianza. Copilot Enterprise Search est\u00e1 dise\u00f1ado deliberadamente para acceder a toda la base de datos del usuario en su nombre, abarcando buzones de correo, calendarios, SharePoint y OneDrive. Esa es su utilidad y, al mismo tiempo, su superficie de ataque. Quien induce al asistente a realizar una acci\u00f3n act\u00faa con sus derechos, y estos son muy amplios. La inyecci\u00f3n de par\u00e1metros y prompts no son trucos ex\u00f3ticos, sino la consecuencia l\u00f3gica de que una misma entrada pueda ser tanto contenido como instrucci\u00f3n para la m\u00e1quina. Mientras esta frontera permanezca difusa, la clase de ataque seguir\u00e1 existiendo, independientemente de lo limpiamente que se cierre un fallo individual. Esto desplaza la tarea de la caza de vulnerabilidades aisladas hacia la cuesti\u00f3n de cu\u00e1nto da\u00f1o podr\u00eda causar realmente un asistente abusado en un caso grave.<\/p>\n La respuesta sensata no es apagar Copilot, sino minimizar el posible da\u00f1o si surge la pr\u00f3xima vulnerabilidad. Cuatro puntos clave son decisivos para ello.<\/p>\n Restringir los permisos.<\/strong> Copilot Enterprise Search hereda los derechos de acceso del usuario. Quien limpie carpetas compartidas generosamente y permisos hu\u00e9rfanos, reducir\u00e1 el radio que un asistente secuestrado puede alcanzar. Esta es la medida m\u00e1s eficaz y la m\u00e1s frecuentemente negligida. En la pr\u00e1ctica, esto implica revisar sistem\u00e1ticamente las comparticiones excesivas de SharePoint y OneDrive, los enlaces abiertos de \u00abtodo el empresa\u00bb y los derechos antiguos de proyectos finalizados. Cuanto menos pueda ver una cuenta promedio, menor ser\u00e1 el da\u00f1o si esa misma cuenta se ve abusada a trav\u00e9s del asistente. El principio no es nuevo, pero Copilot le otorga una palanca inmediata.<\/p>\n Supervisar la salida de datos.<\/strong> SearchLeak filtraba datos a trav\u00e9s de un servicio externo. El control de salida (egress) y la prevenci\u00f3n de p\u00e9rdida de datos (DLP), que detectan flujos inusuales fuera del entorno de Microsoft 365, abordan exactamente este \u00faltimo eslab\u00f3n de la cadena. Microsoft Purview Data Loss Prevention y Defender for Cloud Apps pueden configurarse para marcar o bloquear contenidos sensibles durante su salida, incluso si el camino hacia el exterior transcurre a trav\u00e9s de una llamada aparentemente inocua a una imagen o servicio. Es crucial que las reglas no solo capturen adjuntos de correo y cargas obvias, sino tambi\u00e9n los canales discretos a trav\u00e9s de los cuales opera este tipo de ataque.<\/p>\n Registrar la actividad del asistente.<\/strong> Quien no registre qu\u00e9 contenidos recupera Copilot y a qu\u00e9 destinos externos se accede, solo notar\u00e1 dicha fuga cuando ya haya causado da\u00f1os. El registro de interacciones de IA debe situarse al mismo nivel que el registro de accesos privilegiados. El registro de auditor\u00eda de Microsoft 365 y Purview capturan las operaciones de Copilot, siempre que el registro est\u00e9 activado y evaluado regularmente. Sin esta evaluaci\u00f3n, un incidente permanece invisible hasta que se manifiesta en otro lugar, momento en el que faltan las pistas para reconstruir su alcance.<\/p>\n Comprender los enlaces de IA como superficie de ataque.<\/strong> Un enlace que controla a un asistente es m\u00e1s peligroso que un enlace cl\u00e1sico de phishing, porque accede a los datos del usuario en su nombre. Los programas de concienciaci\u00f3n deben se\u00f1alar este nuevo vector, en lugar de advertir \u00fanicamente sobre p\u00e1ginas de inicio de sesi\u00f3n falsificadas. Los empleados llevan a\u00f1os aprendiendo a reconocer remitentes sospechosos y formularios de inicio de sesi\u00f3n clonados. Un enlace que apunta internamente a una herramienta de Microsoft familiar pasa desapercibido por este filtro, ya que no parece ni extra\u00f1o ni falso. La formaci\u00f3n debe transmitir la diferencia: incluso un enlace aparentemente inofensivo puede inducir a un asistente a realizar acciones que el usuario nunca tuvo intenci\u00f3n de ejecutar.<\/p>\n SearchLeak es una vulnerabilidad descubierta por Varonis Threat Labs en la b\u00fasqueda empresarial de Microsoft 365 Copilot, registrada como CVE-2026-42824 con el nivel m\u00e1ximo de gravedad de Microsoft. Mediante un enlace manipulado era posible capturar datos de la b\u00fasqueda de Copilot con un solo clic, incluidos correos electr\u00f3nicos, entradas del calendario, documentos y c\u00f3digos de un solo uso.<\/p>\n Un atacante insert\u00f3 a trav\u00e9s del par\u00e1metro de b\u00fasqueda en la URL un texto que Copilot proces\u00f3 como una instrucci\u00f3n en lugar de una consulta de b\u00fasqueda. As\u00ed se pudo controlar al asistente sin que el usuario hiciera nada m\u00e1s que hacer clic en un enlace.<\/p>\n No para esta brecha concreta. Microsoft cerr\u00f3 SearchLeak a principios de junio en el servidor; no se requiere parche ni acci\u00f3n por parte del usuario. Sin embargo, sigue siendo recomendable revisar los permisos de Copilot y la supervisi\u00f3n, ya que la clase de ataque persiste.<\/p>\n Varonis inform\u00f3 que, en el momento de la divulgaci\u00f3n, no hab\u00eda indicios de explotaci\u00f3n en entornos reales. Se public\u00f3 una prueba de concepto, no pruebas de un ataque real. Esto exime retrospectivamente, pero no dice nada sobre hallazgos futuros del mismo tipo.<\/p>\n Que la seguridad de un asistente de IA depende de su acceso a los datos. Permisos restrictivos, control de salida (egress), registro de la actividad del asistente y concienciaci\u00f3n sobre enlaces impulsados por IA limitan el da\u00f1o si surge la pr\u00f3xima vulnerabilidad de esta clase.<\/p>\n\n
C\u00f3mo un enlace se convierte en una fuga de datos<\/h2>\n
Por qu\u00e9 la soluci\u00f3n fija no resuelve el problema de fondo<\/h2>\n
Qu\u00e9 deber\u00edan endurecer ahora los equipos de seguridad<\/h2>\n
Preguntas frecuentes<\/h2>\n
\u00bfQu\u00e9 es exactamente SearchLeak?<\/h3>\n
\u00bfQu\u00e9 significa inyecci\u00f3n de par\u00e1metros en este caso?<\/h3>\n
\u00bfDebo hacer algo como cliente de Microsoft 365?<\/h3>\n
\u00bfSe explot\u00f3 activamente la vulnerabilidad?<\/h3>\n
\u00bfQu\u00e9 lecci\u00f3n extrae un equipo de seguridad?<\/h3>\n
Sugerencias de lectura de la redacci\u00f3n<\/h3>\n