Una nueva y sofisticada vulnerabilidad ha sido descubierta en Microsoft 365 Copilot que podría permitir a los atacantes robar información confidencial, incluidos correos electrónicos recientes, sin que el usuario lo note. Todo ocurre a través de una técnica de inyección indirecta de prompts, que manipula el comportamiento de la inteligencia artificial integrada.
El ataque aprovecha cómo Copilot se conecta con documentos de Office y herramientas como los diagramas Mermaid. Esto permite a los atacantes exfiltrar datos con tan solo una acción mínima por parte del usuario: pedirle a Copilot que resuma un archivo aparentemente inofensivo.
Todo comienza cuando el usuario abre una hoja de cálculo de Excel diseñada con fines maliciosos y solicita un resumen. Dentro del archivo, hay instrucciones ocultas, camufladas en texto blanco y repartidas entre varias hojas. Estas instrucciones engañan a Copilot para que ignore la solicitud original y ejecute una serie de comandos encubiertos.
Entre ellos, se encuentra la activación de la herramienta search_enterprise_emails, que Copilot usa para recuperar correos electrónicos corporativos recientes. Una vez obtenidos, los datos se convierten en código hexadecimal y se fragmentan en líneas pequeñas. Así, los atacantes evitan los límites de caracteres impuestos por Mermaid y extraen la información sin levantar sospechas.
Este tipo de ataque demuestra cómo las herramientas de IA, aunque poderosas, pueden ser manipuladas si no se implementan con las debidas medidas de seguridad. También resalta la importancia de revisar cuidadosamente los archivos antes de interactuar con asistentes inteligentes, incluso en entornos corporativos.
Así funciona la filtración de datos en Microsoft 365 Copilot usando diagramas engañosos
Esta vulnerabilidad aprovecha una función legítima del asistente de IA para incrustar información oculta en algo tan simple como un diagrama visual.
El truco consiste en que Copilot genera un diagrama Mermaid, una herramienta basada en JavaScript que permite crear gráficos y diagramas de flujo desde texto. En este caso, el atacante lo diseña para que se vea como un "botón de inicio de sesión", incluso decorado con un emoji de candado para hacerlo más creíble.
Ese "botón" en realidad es un enlace disfrazado: contiene datos codificados en hexadecimal, extraídos previamente de correos electrónicos corporativos mediante inyección de prompts. Cuando el usuario hace clic pensando que necesita iniciar sesión para ver contenido “confidencial” del documento, es redirigido a un servidor controlado por el atacante (como una instancia de Burp Collaborator), donde los datos se transmiten de forma silenciosa y se pueden decodificar fácilmente.
Este vector es especialmente insidioso por la flexibilidad que ofrece Mermaid, ya que permite personalizar estilos con CSS, insertar enlaces e incluso incrustar contenido interactivo. A diferencia de otros ataques donde el atacante interactúa directamente con la IA, aquí los comandos maliciosos están escondidos dentro de archivos aparentemente inofensivos, como un Excel, un PDF o incluso un correo electrónico, haciéndolo ideal para campañas de phishing muy difíciles de detectar.
Aunque este tipo de ataque requiere que el usuario haga clic, sigue siendo preocupante por lo convincente que puede parecer la interfaz. En ataques anteriores, incluso se lograron exfiltraciones sin clic, como se vio con Mermaid en entornos como Cursor IDE.
En este caso, la carga útil fue diseñada tras múltiples pruebas y se inspiró en una investigación previa de Microsoft sobre “deriva de tareas” en modelos de lenguaje (conocida como TaskTracker). A pesar de que inicialmente no fue fácil reproducir el problema, Microsoft confirmó la vulnerabilidad y lanzó un parche en septiembre de 2025, desactivando por completo los enlaces interactivos en los diagramas Mermaid generados por Copilot.
Podría interesarte leer: Microsoft Implementa Copilot Chat en las Apps de Microsoft 365
Cronología del hallazgo: Coordinación difícil, solución rápida y sin recompensa
La línea de tiempo detrás del hallazgo de esta vulnerabilidad en Microsoft 365 Copilot revela que no todo fue tan fluido como se esperaría. Aunque el problema fue reportado de forma completa el 15 de agosto de 2025, tras intercambios durante la conferencia de seguridad DEFCON, hubo varios retos en la comunicación y validación técnica entre el investigador y el equipo del Microsoft Security Response Center (MSRC).
Después de varias idas y vueltas, incluidas pruebas en video para demostrar el exploit, Microsoft confirmó oficialmente la vulnerabilidad el 8 de septiembre y lanzó un parche el 26 de septiembre, solucionando el problema al eliminar los enlaces interactivos de los diagramas Mermaid dentro de Copilot.
Este caso pone de relieve un punto crítico: a medida que las herramientas de IA como Copilot se integran más profundamente con APIs y sistemas internos, las superficies de ataque aumentan significativamente, especialmente en entornos donde se manejan datos sensibles como correos corporativos, archivos financieros o documentos confidenciales.
Microsoft ha asegurado que ya está trabajando en mitigaciones a largo plazo, pero en TecnetOne recomendamos no bajar la guardia. Verificar el origen de los documentos antes de interactuar con ellos mediante Copilot, y analizar cuidadosamente las respuestas generadas por la IA, son prácticas clave para minimizar riesgos.