SearchLeak: un clic en Microsoft 365 Copilot expone correos y archivos

¿Qué ha ocurrido?

El 18 de junio de 2025, Varonis Threat Labs reveló públicamente una vulnerabilidad crítica en Microsoft 365 Copilot Enterprise Search, bautizada como SearchLeak. La falla permitía a un atacante, con un solo clic de la víctima en un enlace aparentemente legítimo de microsoft.com, robar correos electrónicos, eventos de calendario y archivos indexados por Copilot. La vulnerabilidad fue reportada a Microsoft en marzo de 2025 y corregida antes de la divulgación. Según Varonis, el ataque explotaba una cadena de tres debilidades que involucraban autenticación implícita, parámetros de búsqueda maliciosos y falta de validación de origen en la API de búsqueda. Este incidente recuerda a vulnerabilidades anteriores como el ataque de 'cross-site request forgery' (CSRF) en aplicaciones web, pero con la particularidad de que afecta a un asistente de IA empresarial que indexa datos sensibles de toda la organización.

¿Cómo funcionaba?

SearchLeak explotaba una cadena de tres debilidades:

• Autenticación implícita: Los enlaces de búsqueda de Copilot en microsoft.com heredaban la sesión del usuario, sin requerir verificación adicional. Esto significa que si un usuario iniciaba sesión en Microsoft 365, cualquier enlace de búsqueda generado por Copilot incluía automáticamente su token de autenticación.
• Parámetros de búsqueda maliciosos: Un atacante podía incrustar consultas de búsqueda específicas en la URL para extraer datos confidenciales. Por ejemplo, podía buscar correos electrónicos que contuvieran palabras clave como 'contraseña' o 'confidencial'.
• Falta de validación de origen: La API de búsqueda respondía a peticiones desde cualquier origen, permitiendo la exfiltración a un servidor controlado por el atacante mediante una petición cross-origin. Esto es similar a una vulnerabilidad de 'Cross-Origin Resource Sharing' (CORS) mal configurada.

Al hacer clic, el navegador de la víctima ejecutaba la búsqueda en Copilot, y los resultados eran enviados al atacante mediante una petición cross-origin. Varonis demostró que el ataque podía ejecutarse en menos de un segundo, sin dejar rastro en los registros de actividad del usuario.

¿Por qué es importante?

Esta vulnerabilidad es especialmente peligrosa porque:

• Utiliza un dominio legítimo de Microsoft, lo que evita los filtros antiphishing convencionales. Los enlaces maliciosos aparecían como 'https://copilot.microsoft.com/...', lo que engaña incluso a usuarios entrenados.
• No requiere credenciales adicionales: basta con que la víctima tenga una sesión activa en Microsoft 365. Esto amplía el vector de ataque a cualquier empleado que use Copilot.
• Copilot indexa información sensible de toda la organización, incluyendo correos, calendarios y archivos compartidos. Según Microsoft, Copilot puede acceder a datos de SharePoint, OneDrive, Teams y Exchange Online, lo que significa que un ataque exitoso podría exponer secretos comerciales, estrategias de negocio y comunicaciones internas.

Según Varonis, el ataque podría haber comprometido a empresas de cualquier tamaño que usen Microsoft 365 Copilot. Aunque no se reportaron incidentes reales, la gravedad potencial es alta. Este incidente se suma a otros problemas de seguridad en asistentes de IA, como el 'prompt injection' en ChatGPT o las filtraciones de datos en Google Bard, lo que subraya la necesidad de auditorías de seguridad rigurosas en estos sistemas.

¿Qué consecuencias tendrá?

Microsoft ya ha corregido la vulnerabilidad, pero el caso sienta un precedente sobre los riesgos de seguridad en asistentes de IA empresariales. Se espera que:

• Otras empresas revisen la seguridad de sus integraciones de IA. Por ejemplo, Salesforce Einstein y Google Workspace AI podrían enfrentar auditorías similares.
• Microsoft endurezca la validación de orígenes en sus APIs, posiblemente implementando restricciones CORS más estrictas y exigiendo tokens de autenticación adicionales para operaciones sensibles.
• Los administradores de TI refuercen la concienciación sobre enlaces aparentemente seguros. La formación en seguridad debe incluir la identificación de URLs aparentemente legítimas pero manipuladas.

Además, este caso podría acelerar la regulación de la IA en el ámbito empresarial. La Unión Europea ya está discutiendo la Ley de IA, y incidentes como SearchLeak podrían influir en los requisitos de transparencia y seguridad para asistentes de IA.

¿Qué deben saber los lectores?

Si usas Microsoft 365 Copilot, asegúrate de que tu organización aplique las actualizaciones de seguridad de Microsoft. No confíes ciegamente en enlaces de dominios conocidos; verifica siempre la URL. La seguridad de la IA empresarial depende tanto de la tecnología como de la formación de los usuarios. Como recomendación adicional, las empresas deberían implementar políticas de acceso condicional que requieran autenticación multifactor para acciones sensibles realizadas a través de Copilot. También es crucial monitorear los registros de búsqueda de Copilot para detectar patrones anómalos. En última instancia, SearchLeak es un recordatorio de que la adopción de IA debe ir acompañada de una estrategia de seguridad sólida y actualizada.