Investigadores de Varonis Threat Labs descubrieron una vulnerabilidad crítica en Microsoft 365 Copilot Enterprise (CVE-2026-42824) que permitía a un atacante robar correos electrónicos, archivos de OneDrive y SharePoint, eventos de calendario e incluso códigos de autenticación multifactor, todo con que la víctima abriera un solo enlace. Lo más peligroso: el enlace apuntaba a un dominio legítimo de Microsoft, por lo que los filtros antiphishing no lo detectaban.
El ataque funcionaba así: el atacante enviaba un enlace por correo o chat que parecía ser una búsqueda normal de Microsoft. Pero dentro de la URL iban instrucciones ocultas que Copilot interpretaba como órdenes legítimas. Al abrir el enlace, Copilot buscaba información sensible en el buzón y los archivos de la víctima, y la enviaba silenciosamente al atacante a través de una imagen invisible en la página, sin que el usuario viera nada sospechoso. Varonis lo llama "inyección de parámetro a prompt": el asistente de IA no distinguió entre una búsqueda real y una instrucción maliciosa disfrazada de búsqueda.
Para cualquier empresa que use Microsoft 365, que en México es prácticamente toda organización con más de 10 empleados, esta falla demuestra que las herramientas de inteligencia artificial amplían la superficie de ataque de formas que antes no existían. Microsoft ya corrigió el problema como parte de sus actualizaciones de seguridad de junio y no se requiere acción del usuario, pero el caso es una señal de alerta sobre los riesgos de integrar IA con acceso a datos sensibles sin controles adecuados.
Qué hacer: Verifica con tu equipo de TI que las actualizaciones automáticas de Microsoft 365 estén habilitadas en todos los equipos de tu empresa. Si tu organización ya usa Copilot Enterprise, solicita una revisión de qué datos y permisos tiene accesibles, un programa de gestión de vulnerabilidades continuo ayuda a identificar estos riesgos antes de que un atacante los encuentre.
¿Quieres saber si tu empresa está expuesta a riesgos similares? Agenda un diagnóstico gratuito de 30 minutos en codigovigia.com/contactanos sin compromisos.
Código Vigía · Ciberseguridad empresarial · Culiacán, Sinaloa, México · codigovigia.com