Su registro de auditoría es una ficción. Microsoft ocultó durante todo un año una vulnerabilidad en Copilo
¿Por qué la empresa ni siquiera consideró necesario asignar un identificador CVE a ese fallo?
Mientras Microsoft promociona activamente su línea de productos Copilot basados en IA, prometiendo hacer el trabajo de los usuarios más cómodo y productivo, se ha detectado en el sistema M365 un fallo preocupante que socava los cimientos de la seguridad y la transparencia legal. El problema es que Copilot pudo acceder a archivos de usuarios sin dejar rastro en los registros de auditoría —y Microsoft no consideró necesario informar a sus clientes.
El descubrimiento de la vulnerabilidad fue accidental: el 4 de julio un especialista en seguridad de la empresa Pistachio observó que al usar Copilot para obtener un resumen de un archivo, la solicitud se mostraba correctamente en el registro de auditoría. Sin embargo, si la solicitud se formulaba de otra manera —de modo que Copilot no devolviera el enlace al archivo— el acceso desaparecía por completo del registro. Así se crea una laguna por la que un atacante puede leer el contenido del documento sin dejar huella digital.
Más tarde se supo que un problema similar había sido detectado hace un año por el director técnico de la empresa Zenity. A pesar de ello, Microsoft solucionó el error solo en agosto de 2025 —tras un informe independiente repetido. Pero incluso después de reconocer el problema, la compañía se negó a publicar un aviso y no emitió un CVE —el identificador de vulnerabilidad generalmente aceptado. La explicación ofrecida por el Centro de Respuesta a Incidentes de Microsoft (MSRC) fue que la corrección se desplegaba automáticamente y no requería acción por parte de los clientes.
Ese enfoque provocó desconcierto entre los especialistas. En primer lugar, Microsoft aparentemente incumplió sus propias normas de gestión de incidentes: pese a contar con una guía formal, la compañía no comunicó los cambios en las etapas de tramitación del informe y actuó como si los estados formales existieran solo de cara a la galería, sin reflejar la realidad.
En segundo lugar, clasificar la vulnerabilidad como «importante», pero no «crítica», se usó como pretexto para evitar la divulgación. Se obvia un hecho clave: la ausencia de entradas en el registro puede ocurrir por accidente, sin mala intención, simplemente por el comportamiento de Copilot.
Las consecuencias afectan potencialmente a cualquier organización que haya usado M365 Copilot hasta el 18 de agosto de 2025. Si una empresa depende del registro de auditoría para cumplir normativas como HIPAA, o para investigar internamente incidentes, corre el riesgo de tomar decisiones incompletas o erróneas. Esto es especialmente peligroso para usuarios corporativos, donde los datos de acceso a archivos confidenciales pueden ser determinantes en inspecciones, juicios o auditorías.
En el contexto de las persistentes acusaciones contra Microsoft por monetizar la auditoría y restringir el acceso a los logs mediante suscripción, la negativa a revelar una brecha tan importante genera críticas justificadas. La auditoría no es solo un servicio, sino la base de la confianza entre una plataforma TI y sus clientes. Y cuando un actor relevante calla sobre el hecho de que el sistema de registro pudo haber funcionado incorrectamente durante mucho tiempo, se socava la esencia misma de sus afirmaciones sobre seguridad y transparencia.
Mientras Microsoft sigue ampliando el uso de la IA en sus productos, queda abierta la pregunta: cuántas de estas «fallas silenciosas» más estarán ocultas tras las interfaces amigables de Copilot?
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!