Hace poco se descubrió una vulnerabilidad bastante inquietante llamada EchoLeak. Lo que la hace tan preocupante es que es la primera falla conocida de inteligencia artificial que no necesita ningún clic ni acción del usuario para filtrar información confidencial. Sí, leíste bien: con solo hacer una consulta a Microsoft 365 Copilot, un atacante podría extraer datos privados desde el entorno de trabajo de otra persona, sin que esta lo sepa ni haga nada.
Esta vulnerabilidad fue reportada a Microsoft a principios de 2025. La compañía la identificó como CVE-2025-32711, la catalogó como crítica y, afortunadamente, ya la corrigió desde su lado en mayo. Eso significa que no necesitas instalar nada ni hacer cambios manuales: la solución ya está en marcha. Además, según Microsoft, no hay indicios de que alguien la haya aprovechado en el mundo real, por lo que ningún cliente se ha visto afectado.
Por si no estás familiarizado, Microsoft 365 Copilot es el asistente de inteligencia artificial que vive dentro de las apps que ya conoces, como Word, Excel, Outlook o Teams. Usa modelos avanzados de lenguaje (los mismos detrás de herramientas como ChatGPT) junto con Microsoft Graph para ayudarte a redactar textos, resumir correos, analizar datos, y responder preguntas sobre la información que tienes en tu entorno laboral: archivos, chats, emails, etc.
Aunque el fallo ya fue resuelto y nunca se usó de forma maliciosa, EchoLeak es una llamada de atención. Muestra una nueva clase de vulnerabilidades que se conocen como violaciones del alcance en modelos de lenguaje (o LLM scope violations). En palabras simples, son fallos que permiten que una IA comparta información sensible que estaba destinada a permanecer privada, sin que el usuario tenga la intención de hacerlo… ni siquiera sepa que está pasando.
Y lo más grave: como este tipo de ataque no requiere interacción humana, podría ser automatizado fácilmente para robar datos de forma silenciosa dentro de empresas, dejando a muchos sistemas expuestos sin que nadie se dé cuenta. Es una prueba más de que integrar IA en nuestras herramientas de trabajo trae enormes ventajas, pero también nuevos desafíos que no podemos darnos el lujo de ignorar.
Conoce más sobre: Microsoft 365 Copilot: Rediseño y más Productividad
¿Cómo funcionaba EchoLeak?
Todo comenzaba con un correo electrónico que, a simple vista, parecía totalmente inofensivo. Nada fuera de lo normal: bien redactado, con apariencia de documento de trabajo o comunicación interna, como los que cualquiera recibe en un día común.
Pero ese mensaje llevaba escondido un truco. Tenía una instrucción oculta diseñada específicamente para engañar a la inteligencia artificial de Copilot. Esta técnica, conocida como inyección de prompt, estaba tan bien disfrazada que lograba pasar por alto las protecciones de seguridad de Microsoft, como el clasificador XPIA, que normalmente detecta este tipo de intentos.
El correo estaba escrito como si fuera para una persona real, no como una orden para un sistema automatizado, y eso fue justo lo que le permitió pasar desapercibido.
Después, cuando la persona le hacía a Copilot una consulta relacionada con su trabajo (algo común, como pedir un resumen de ventas o revisar un informe), el sistema de recuperación de información (RAG) buscaba contenido relevante, y recuperaba ese correo malicioso por su aparente relación con la solicitud.
Ahí entraba en juego la parte peligrosa: la inyección oculta llegaba hasta el modelo de lenguaje, lo engañaba y lo hacía extraer datos confidenciales. Esos datos se insertaban en una URL o en una imagen con formato especial.
Lo más grave era que, al mostrar la respuesta, el navegador intentaba cargar esa imagen o enlace, y sin que nadie lo notara, se enviaba la información al servidor del atacante. Todo sucedía sin que el usuario tuviera que hacer clic en nada. Un ataque bastante ingenioso... pero también alarmante.
.webp?width=1600&height=760&name=attack-chain(1).webp)
Descripción general de la cadena de ataque (Fuente: Aim Labs)
Microsoft tiene ciertas protecciones para evitar que se compartan datos con sitios externos, pero como los enlaces de Teams y SharePoint se consideran confiables por defecto, los atacantes pueden aprovechar eso para sacar información sin levantar sospechas.
El ataque EchoLeak en acción
Podría interesarte leer: Martes de Parches de Junio 2025: Microsoft Corrige 66 Vulnerabilidades
Conclusión
Aunque EchoLeak ya fue corregido, el problema de fondo sigue ahí: las herramientas de IA se están integrando cada vez más en las tareas diarias de las empresas, y esa complejidad está rebasando muchas de las defensas tradicionales que solían funcionar.
Y lo más preocupante es que esta tendencia no va a parar. Al contrario, es muy probable que veamos nuevas vulnerabilidades similares, que los atacantes podrían usar de forma silenciosa para causar daños serios.
Por eso es clave que las empresas empiecen a reforzar sus sistemas: mejorar los filtros que detectan intentos de manipulación en los prompts, definir con más precisión qué información puede entrar o salir de los modelos, y revisar las respuestas que da la IA antes de que lleguen al usuario, especialmente si incluyen enlaces o datos sensibles.
También es buena idea ajustar los motores que recuperan información (RAG), para que no tomen contenido de correos o fuentes externas, y así evitar que entren mensajes maliciosos al proceso desde el principio. Todo esto puede parecer técnico, pero son pasos esenciales para usar IA de forma segura en el día a día.