Investigadores de la firma de ciberseguridad Aim Security revelaron el 12 de junio de 2025 una grave vulnerabilidad en el popular asistente de IA, Microsoft 365 Copilot. La vulnerabilidad, apodada "EchoLeak" y a la que se le asignó el identificador oficial CVE-2025-32711, podría permitir a los atacantes obtener acceso no autorizado a la información confidencial de otros usuarios. Según informan importantes publicaciones de seguridad de la información como SecurityWeek y SC World, la esencia de la vulnerabilidad era la posibilidad de divulgación de información entre inquilinos (cross-tenant). Esto significa que un atacante con acceso legítimo a Copilot dentro de su propia organización podría, mediante prompts especialmente diseñados, "engañar" al asistente de IA para que revelara fragmentos de datos que había procesado para otros usuarios, incluidos los de empresas completamente diferentes que comparten la misma infraestructura en la nube. Esto planteaba un riesgo significativo de fuga de secretos comerciales, datos personales de empleados y otra información corporativa sensible a la que Copilot tiene acceso. Aim Security notificó oportunamente a Microsoft sobre la vulnerabilidad descubierta bajo un programa de divulgación responsable. Microsoft respondió con prontitud a la amenaza, desarrolló y ya ha lanzado un parche necesario que resuelve el problema para todos los usuarios. Aunque la vulnerabilidad se solucionó antes de que se conociera alguna explotación por parte de actores maliciosos, este incidente destaca crudamente los nuevos y complejos desafíos de ciberseguridad que surgen de la profunda integración de potentes modelos de IA en los ecosistemas corporativos.
Revelada la Vulnerabilidad "EchoLeak" en Microsoft 365 Copilot
