El fallo ya fue corregido, pero vuelve a poner sobre la mesa los riesgos emergentes de la integración entre inteligencia artificial y datos empresariales.

La carrera por incorporar inteligencia artificial en entornos corporativos sigue generando nuevas superficies de ataque. Esta vez, investigadores de Varonis revelaron una cadena de vulnerabilidades bautizada como SearchLeak que permitía convertir a Microsoft 365 Copilot Enterprise en una herramienta capaz de extraer información sensible de una organización con apenas un clic por parte de la víctima. Microsoft corrigió el problema y lo catalogó como crítico bajo el identificador CVE-2026-42824.

Según el informe técnico, el ataque podía acceder a correos electrónicos, archivos almacenados en OneDrive y SharePoint, detalles de reuniones, códigos de autenticación multifactor e incluso otros contenidos indexados por Copilot, aprovechando los permisos legítimos del usuario afectado.

Una cadena de tres vulnerabilidades

Lo interesante de SearchLeak no es un único fallo, sino la combinación de varios problemas que, encadenados, permiten el ataque.

El primer componente es una técnica conocida como Parameter-to-Prompt Injection (P2P). Los investigadores descubrieron que ciertos parámetros presentes en las URL de búsqueda de Copilot Enterprise podían ser interpretados no solo como consultas, sino también como instrucciones que el modelo de IA ejecutaba automáticamente.

A partir de allí, la cadena aprovechaba un problema relacionado con el renderizado de contenido HTML durante la generación de respuestas y un mecanismo de solicitud remota que involucraba servicios legítimos de Microsoft y Bing. El resultado era que la información obtenida por Copilot podía terminar siendo enviada hacia infraestructura controlada por un atacante sin necesidad de credenciales adicionales ni interacción posterior.

Lo más llamativo es que el enlace malicioso utilizaba dominios legítimos de Microsoft, dificultando que muchas soluciones tradicionales de filtrado o protección contra phishing detectaran la amenaza.

El verdadero problema no es el bug

Desde una perspectiva de ciberseguridad, SearchLeak representa algo más relevante que una vulnerabilidad puntual.

Los fallos individuales involucrados en la cadena no son especialmente novedosos. Técnicas como SSRF, problemas de sanitización HTML o condiciones de carrera llevan años siendo estudiadas por la comunidad de seguridad. Lo novedoso es que la inteligencia artificial se convierte en el elemento que conecta todos esos componentes y habilita escenarios que antes no eran posibles.

En otras palabras, la IA no necesariamente introduce vulnerabilidades completamente nuevas, pero sí puede crear caminos inéditos para explotar debilidades existentes.

Este patrón ya había aparecido anteriormente en otras investigaciones relacionadas con asistentes basados en IA, incluyendo vulnerabilidades como EchoLeak y Reprompt, también vinculadas al ecosistema Copilot.

La nueva realidad de los asistentes corporativos

Herramientas como Copilot operan con acceso directo al correo electrónico, calendarios, documentos, chats y otros repositorios corporativos. Ese nivel de integración es precisamente lo que las vuelve útiles para los usuarios.

Sin embargo, también implica que cualquier vulnerabilidad en estos sistemas puede tener un impacto mucho mayor que el de una aplicación tradicional.

Un atacante ya no necesita comprometer múltiples sistemas para recopilar información dispersa. Si logra manipular al asistente de IA, puede utilizarlo como intermediario para acceder a grandes volúmenes de datos corporativos utilizando los mismos permisos del usuario legítimo.

Una advertencia para la era de la IA empresarial

Microsoft ya solucionó SearchLeak, por lo que las organizaciones actualizadas no deberían ser vulnerables a este ataque específico.

Sin embargo, el hallazgo deja una lección importante para la industria: los modelos de IA integrados en plataformas corporativas están creando una nueva capa tecnológica que combina aplicaciones tradicionales, buscadores internos, sistemas de permisos, navegadores web y modelos de lenguaje.

Cada una de esas piezas puede ser segura por separado. El desafío aparece cuando todas interactúan al mismo tiempo.

La seguridad de la inteligencia artificial empresarial ya no depende únicamente del modelo. También depende de todo el ecosistema que lo rodea. Y SearchLeak demuestra que, en muchos casos, el eslabón más débil puede aparecer precisamente en esas interacciones invisibles.