Microsoft acaba de confirmar tres vulnerabilidades de Copilot que permitían acceder a información sensible dentro de Microsoft 365 y del navegador Edge. La compañía asegura que el problema ya está resuelto y que el parche se ha aplicado directamente desde sus servidores.
El asunto tiene su miga porque afecta a una de las herramientas más usadas en entornos corporativos. Hablamos de fallos catalogados como críticos, con riesgo real de fuga de datos internos, y que pasaron desapercibidos hasta su divulgación. Las vulnerabilidades de Copilot registradas son CVE-2026-26129, CVE-2026-26164 y CVE-2026-33111.
Qué hacen exactamente estas vulnerabilidades de Copilot
Dos de los fallos golpean a Microsoft 365 Copilot, en concreto a la función Business Chat, una de las más integradas en el día a día empresarial. Un atacante podía manipular la entrada del asistente y conseguir que devolviera datos que jamás debería haber expuesto. Microsoft apunta a un procesamiento defectuoso de ciertas cadenas de caracteres dentro de las respuestas generadas por la IA.
Antes de la divulgación no se observaron ataques activos ni difusión pública de las vulnerabilidades, según el Centro de Respuesta de Seguridad de Microsoft.
Lo más llamativo es que estas brechas eran explotables por red, sin permisos especiales y sin interacción del usuario. Es decir, ni un clic, ni una descarga, ni una autenticación de por medio. Ese tipo de combinación es justo lo que pone los pelos de punta a cualquier responsable de seguridad.
El tercer fallo apunta a Copilot Chat en Microsoft Edge y entra en la categoría de inyección de comandos. Resumiendo mucho, un atacante podía colar instrucciones diseñadas para que el asistente acabara revelando información confidencial del entorno donde se usa. Y aquí está el problema gordo: Edge sigue siendo el navegador por defecto en muchísimas empresas que ya han apostado fuerte por el ecosistema de Microsoft.
Por qué este parche pone nerviosas a las empresas
Lo interesante es que no hace falta hacer nada. Las correcciones se han aplicado en el lado del servidor, así que ni administradores ni usuarios tienen que tocar configuraciones, descargar actualizaciones o reiniciar servicios. En la práctica el agujero ya está tapado, aunque eso no significa que el debate se cierre ahí.
Los investigadores de seguridad llevan meses avisando de lo mismo: cuanto más se integra la IA en el trabajo diario, más superficie de ataque aparece. Copilot accede a correos, documentos de SharePoint, chats de Teams y archivos personales del usuario. Cualquier fallo en cómo procesa esa información puede acabar sacando a la luz cosas que deberían quedarse dentro.
En empresas con permisos amplios, el alcance potencial es serio. Secretos comerciales, comunicaciones internas, propuestas que aún no se han presentado a clientes. Material que no debería salir por una respuesta mal interpretada del asistente.
Recomendaciones que conviene aplicar ya
Aunque el parche está hecho, Microsoft pide algo que muchas empresas todavía no se toman en serio: revisar de manera periódica qué puede leer Copilot y limitar los accesos al mínimo imprescindible. No es paranoia, es sentido común.
Hay un patrón que se repite en clientes que despliegan Copilot sin un trabajo previo de gobernanza. Le dan acceso global, dejan permisos heredados de hace años y, cuando aparece un problema, descubren que el asistente tenía visibilidad sobre carpetas que ni el propio departamento de IT recordaba que existían.
La lección es bastante clara. Estas vulnerabilidades de Copilot se han corregido, sí, pero la próxima vez puede ser distinto. Apostar por una IA productiva sin un control real sobre lo que ve y lo que devuelve es jugársela. Y en seguridad, jugársela suele salir caro.