Vulnerabilidad en Microsoft Copilot expone correos confidenciales
Publicado el
Introducción
Un fallo reciente en Microsoft Copilot ha puesto en riesgo la confidencialidad de los correos electrónicos, exponiendo información sensible a través de resúmenes generados por inteligencia artificial. Aunque Copilot está diseñado para mejorar la productividad, esta vulnerabilidad, identificada como Microsoft CW1226324, plantea serias preocupaciones sobre la privacidad de los usuarios.
Descripción del problema
El defecto en Microsoft Copilot se manifiesta en su capacidad para resumir mensajes de correo electrónico protegidos por etiquetas de confidencialidad. Este problema ocurre porque la IA ignora las políticas de Prevención de Pérdida de Datos (DLP) que deben impedir el acceso a datos sensibles. La vulnerabilidad fue detectada por primera vez el 4 de febrero y afecta a la función de chat de la Pestaña Trabajo de Copilot, que resume correos electrónicos independientemente de las restricciones de confidencialidad.
Consecuencias de la exposición
La exposición de datos confidenciales es especialmente alarmante para organizaciones en sectores altamente regulados, como el sanitario y financiero. Copilot puede acceder a correos almacenados en las carpetas de Elementos enviados y Borradores, sin que los usuarios sean conscientes de ello, lo que contradice la finalidad de las etiquetas de confidencialidad que deberían proteger estos mensajes.
Respuesta de Microsoft
Una semana después de la detección del fallo, el 11 de febrero, Microsoft comenzó a implementar medidas correctivas en los entornos afectados y a comunicar a los usuarios sobre el problema. Sin embargo, a fecha de 19 de febrero, algunos usuarios aún reportan que la situación no se ha resuelto por completo, lo que genera incertidumbre sobre la efectividad de la solución.
Recomendaciones para administradores
Los investigadores de seguridad aconsejan a los administradores de sistemas que se mantengan alerta ante actualizaciones relacionadas con la vulnerabilidad CW1226324. Además, se recomienda revisar los registros de actividad de Copilot para detectar accesos no autorizados a contenido etiquetado como confidencial. Esta situación reaviva las dudas sobre el uso de la inteligencia artificial y su impacto en la seguridad de los datos.
Conclusión
La vulnerabilidad en Microsoft Copilot subraya la necesidad de una gestión cuidadosa de las herramientas de inteligencia artificial en entornos laborales. La correcta configuración y el seguimiento de actualizaciones son esenciales para proteger la información sensible. Este incidente destaca la importancia de abordar las preocupaciones de seguridad y privacidad asociadas con la creciente adopción de la inteligencia artificial en el ámbito profesional.