Microsoft Copilot, la herramienta de inteligencia artificial integrada en Microsoft 365, ha revelado una serie de vulnerabilidades de seguridad que están generando preocupación entre los expertos. Investigadores han descubierto un nuevo riesgo de phishing oculto dentro de la plataforma, mientras que Gartner, una firma de investigación y asesoramiento, ha identificado cinco riesgos principales que podrían comprometer la seguridad de los datos.
Riesgos de Seguridad Identificados por Gartner
Según Gartner, uno de los problemas más importantes es la sobreexposición de información en SharePoint. Copilot puede acceder a datos en múltiples sitios de SharePoint, donde los controles de acceso, basados en etiquetas y listas de control de acceso, son susceptibles a errores de usuario que pueden permitir el acceso no autorizado a documentos sensibles. Gartner señala que este no es un problema nuevo, sino uno que se ve amplificado por la inteligencia artificial.
Además de la sobreexposición, Gartner ha advertido sobre los riesgos de la inyección de prompts y la falta de una revisión exhaustiva por parte de los empleados. De hecho, sugieren, en tono semi-bromista, que se podría considerar prohibir el uso de Copilot los viernes por la tarde, cuando los empleados podrían estar cansados y menos propensos a verificar la exactitud de sus resultados.
Dennis Xu, Vicepresidente de Investigación de Gartner, presentó estas conclusiones en el Security & Risk Management Summit en Sídney el 17 de marzo de 2026. Xu abogó por una capa de mitigación de riesgos consolidada en lugar de parches fragmentados en toda la superficie de ataque de Copilot.
Vulnerabilidades Específicas y Ataques de Phishing
Recientemente, se ha corregido una vulnerabilidad de inyección entre prompts en Copilot, específicamente en la función de resumen de correos electrónicos, el 11 de marzo de 2026. Sin embargo, los riesgos persisten.
Las vulnerabilidades en la función de resumen de correo electrónico y Teams de Copilot también están siendo explotadas para facilitar ataques de phishing. La capacidad de Copilot para resumir información de correos electrónicos y chats podría ser utilizada para crear mensajes engañosos que induzcan a los usuarios a revelar información confidencial.
Microsoft Security Copilot Phishing Triage Agent, integrado en Defender for Office 365, está diseñado para gestionar automáticamente los informes de phishing enviados por los usuarios, clasificando las alertas, resolviendo los falsos positivos y escalando solo los casos maliciosos que requieren intervención humana.
