Microsoft ha emitido una alerta de seguridad urgente tras descubrir un fallo en la integración de Office que permitió a su inteligencia artificial, Copilot, acceder y procesar correos electrónicos confidenciales de los usuarios sin autorización. El error, reportado inicialmente por Bleeping Computer en febrero, pone en entredicho las promesas de privacidad de la compañía sobre el manejo de datos empresariales y personales por parte de la IA.
El incidente se originó debido a un «bug» en el sistema de permisos de la versión de escritorio de Outlook y Word. Según la explicación técnica, el fallo hacía que Copilot ignorara las etiquetas de sensibilidad y las restricciones de acceso en hilos de correo marcados como «Privados» o «Confidenciales». Como resultado, la IA podía resumir información sensible, extraer datos de facturación o citar conversaciones privadas cuando un usuario (o alguien con acceso al mismo entorno de trabajo) realizaba consultas generales al asistente.
El riesgo de la «fuga de datos» interna
Lo más preocupante de este error es cómo se propagó la información. Al procesar estos correos protegidos, Copilot integró partes de ese contenido en su «memoria de contexto» para generar respuestas. Esto significa que:
- Información sensible expuesta: Datos sobre salarios, estrategias comerciales o detalles de salud podrían haber aparecido en resúmenes generados por la IA para otros empleados dentro de la misma organización.
- Violación de cumplimiento: Para muchas empresas, este fallo supone una brecha en las normativas de protección de datos como el RGPD, ya que la IA accedió a información para la cual no tenía consentimiento explícito.
La respuesta de Microsoft
Microsoft ha confirmado que ya ha desplegado un parche del lado del servidor para corregir el error de permisos, por lo que no es necesaria una acción manual por parte de los usuarios de Office 365. Sin embargo, la compañía está bajo una intensa presión para realizar una auditoría completa. «Estamos notificando a los clientes afectados y trabajando para asegurar que los datos procesados erróneamente sean eliminados de los índices de aprendizaje de Copilot», declaró un portavoz de la empresa.
Microsoft dijo que el error, rastreable por los administradores como CW1226324 , significa que los borradores y mensajes de correo electrónico enviados «con una etiqueta confidencial aplicada están siendo procesados incorrectamente por el chat de Microsoft 365 Copilot».
Este tropiezo llega en un momento delicado para Microsoft, que está compitiendo agresivamente con Google y OpenAI para demostrar que su IA es la más segura para el entorno corporativo. El incidente refuerza las advertencias de los expertos en ciberseguridad sobre la «caja negra» que representan los modelos de lenguaje: una vez que la IA lee algo, es extremadamente difícil garantizar que esa información no se filtre de forma indirecta en futuras interacciones.
infosertecla.com 
@infosertecla.com Está tarde me llamó un cliente. Que se habían bloqueado todas las cuentas de Outlook 365 . Pero en cambio se podían acceder a los emails por web.
Curiosamente, con #Thunderbird pueden acceder activando el OAuth.
También haciendo copia de seguridad de las carpetas de Outlook es desesperante
Me gustaMe gusta
Remote Reply
Original Comment URL
Tu perfil
Gracias por el comentario!. Saludos, Ariel
Me gustaMe gusta