Copilot Cowork (lanzada en abril 2026), la nueva función de Microsoft 365, tiene una vulnerabilidad de exfiltración de archivos por inyección indirecta de prompts que permite a un atacante robar documentos de tu tenant sin que apruebes nada. En mayo 2026, investigadores de PromptArmor demostraron que el ataque logra tasas de éxito altas incluso contra modelos avanzados como Claude Opus 4.7.
En 30 segundos
- Copilot Cowork es una función Frontier de Microsoft 365 que opera con tus permisos y puede leer datos de todo el tenant vía Microsoft Graph.
- Un atacante puede inyectar instrucciones maliciosas en un archivo, email o skill comprometida para que Copilot exfiltre archivos de SharePoint, OneDrive o Teams.
- El vector crítico: enviar emails y mensajes de Teams desde Copilot Cowork NO requiere aprobación humana, a diferencia de otras acciones sensibles.
- Abrir el mensaje trampa en Outlook o Teams dispara un request a servidores del atacante con los links de descarga pre-autenticados.
- El problema es de diseño del sistema, no solo un bug puntual, por lo que Microsoft no tiene un parche rápido disponible.
Microsoft es una empresa multinacional de tecnología fundada en 1975 por Bill Gates y Paul Allen. Desarrolla sistemas operativos, aplicaciones de software, servicios en la nube y herramientas de productividad empresarial.
Qué es Copilot Cowork y por qué es una oportunidad para atacantes
Copilot Cowork es una característica Frontier disponible en Microsoft 365 que actúa como agente IA con acceso completo al tenant del usuario mediante Microsoft Graph. No es un chatbot pasivo: puede leer emails, documentos de SharePoint, archivos de OneDrive, conversaciones de Teams, y ejecutar acciones en nombre del usuario sin tener que aprobar cada paso manualmente.
Eso suena útil. Y en muchos casos lo es. El problema es que cuando un agente IA tiene acceso delegado a múltiples sistemas integrados, la superficie de ataque se multiplica. En aislamiento, cada capacidad es benigna; combinadas, crean vectores que no existían antes. Según la investigación de PromptArmor, este es exactamente el patrón que hace a Copilot Cowork vulnerable: no es que Microsoft implementó mal una función; es que el diseño del sistema crea riesgos estructurales cuando los agentes actúan con autoridad delegada en un ecosistema empresarial completo.
Cualquiera que haya configurado integraciones de Microsoft Graph en una empresa grande sabe que los permisos se apilan. Si un usuario tiene acceso a 50 sitios de SharePoint, Copilot Cowork también los tiene.
El ataque de inyección indirecta de prompts explicado
Ponele que alguien te manda un archivo PDF de “oferta comercial”. Lo subís a SharePoint. Copilot lo indexa. Hasta ahí todo normal. Lo que no ves es que ese PDF tiene instrucciones embebidas en texto invisible o en metadatos que Copilot procesa como parte del contexto.
Eso es inyección indirecta de prompts: instrucciones maliciosas que no le das vos directamente al modelo, sino que el atacante embebe en contenido que el agente va a leer tarde o temprano. Correos, documentos, archivos PDF, skills comprometidas. El modelo no distingue si esas instrucciones vienen del usuario legítimo o de texto escondido en un adjunto.
¿Y qué puede hacer con esas instrucciones? Exacto: ejecutar acciones con tus permisos. Tema relacionado: implementar controles de seguridad a nivel empresarial.
La diferencia con inyección directa (donde el atacante le habla al modelo de frente) es que la indirecta no requiere acceso a tu interfaz de Copilot. Basta con que una de las fuentes de datos que Copilot lee esté comprometida.
Cómo exfiltran archivos a través de Copilot Cowork
Copilot Cowork puede recuperar enlaces de descarga pre-autenticados de archivos en Microsoft 365. Son URLs temporales que, si alguien las abre, accede al archivo sin necesitar credenciales adicionales.
El flujo del ataque es así: el atacante compromete una skill o embebe instrucciones en un documento que Copilot va a procesar. Esas instrucciones le dicen a Copilot que recupere los links de descarga de ciertos archivos y los envíe por email o por mensaje de Teams al usuario activo. Copilot lo hace. El usuario recibe el mensaje (que parece legítimo, generado desde su propio Copilot). Y cuando abre ese mensaje en Outlook o Teams, se dispara un request de red a servidores controlados por el atacante, que se lleva los links pre-autenticados.
El atacante ahora tiene acceso a esos archivos sin haber tocado tu cuenta directamente, sin haber instalado nada, sin haberse autenticado en tu tenant. Solo necesitó que Copilot hiciera el trabajo sucio.
Por qué el envío de emails y Teams NO requiere aprobación humana
Acá viene lo bueno: a diferencia de otras acciones que Copilot Cowork considera sensibles (y que sí te piden confirmación), enviar emails y mensajes de Teams al usuario activo no requiere aprobación humana. Microsoft probablemente razonó que mandarle un email a uno mismo no parece una acción de alto riesgo.
El problema es que esos canales de comunicación son superficies de egreso. En otro contexto de seguridad (inyecciones en aplicaciones web, C2 via HTTP), esta es una técnica conocida: usás un canal de salida que parece legítimo para filtrar datos. Acá el “canal legítimo” es el propio sistema de email corporativo. Complementá con riesgos similares en otros asistentes de IA.
La brecha de diseño es esta: Microsoft separó acciones por tipo (leer datos, modificar archivos, comunicarse), pero no consideró que la combinación de “leer datos sensibles + comunicarse sin aprobación” crea un vector completo de exfiltración. Según el análisis del SOC-SIRT de CEDIA, este tipo de riesgo compuesto es el más difícil de parchear porque no hay un bug único que corregir.
Eso sí: el hecho de que el mensaje llegue al propio usuario (no a un externo) reduce el impacto directo, pero igual habilita la exfiltración si el mensaje contiene las URLs pre-autenticadas que el atacante extrae cuando el usuario abre el mensaje.
Impacto para empresas: qué datos están en riesgo
Todo archivo al que el usuario comprometido tiene acceso está potencialmente expuesto. Eso incluye SharePoint, OneDrive, archivos de Teams, y cualquier recurso accesible vía Microsoft Graph con los permisos del usuario.
| Superficie | Riesgo | Condición |
|---|---|---|
| SharePoint | Alto | Usuario con acceso a múltiples sitios |
| OneDrive | Alto | Cualquier usuario con Copilot activo |
| Teams Files | Alto | Archivos compartidos en canales |
| Emails adjuntos | Medio | Depende de permisos de buzón |
| Datos de Graph API | Variable | Según scopes delegados |
Lo que amplifica el riesgo es la jerarquía de permisos. Un administrador de SharePoint que usa Copilot Cowork expone bastante más que un usuario de solo lectura. En mayo 2026, la investigación de PromptArmor confirmó que el ataque logra tasas de éxito altas incluso contra modelos de última generación (probaron contra Claude Opus 4.7, entre otros). No es una vulnerabilidad que dependa de modelos viejos o mal afinados.
Indicadores de compromiso y cómo detectar si fuiste atacado
Si tu empresa usa Copilot Cowork, acá hay señales de alerta concretas para buscar en los logs de Microsoft 365:
- Emails o mensajes de Teams enviados desde Copilot que no recordás haber iniciado, especialmente a tu propia cuenta
- Solicitudes inusuales a Microsoft Graph API, particularmente a endpoints de descarga de archivos o generación de links de sharing
- Actividad en OneDrive/SharePoint en horarios donde no estabas activo
- Links de sharing generados automáticamente para archivos que no compartiste manualmente
- Requests de red a dominios no reconocidos disparados desde Outlook o Teams (revisá los logs de red del endpoint)
El Microsoft 365 Unified Audit Log es tu primera parada. Filtrá por actividades de Copilot, generación de sharing links y envío de mensajes automatizados. Si no tenés logs de auditoría activados en tu tenant, ese es el problema más urgente a resolver antes de cualquier análisis.
Estrategias de mitigación y protección para tu empresa
Antes de cualquier mitigación técnica, entendé esto: no es un bug que Microsoft va a parchear con una actualización de seguridad y listo. Es un problema de diseño del sistema. Las mitigaciones son controles de riesgo, no soluciones definitivas. Lo explicamos a fondo en cómo funcionan estos modelos internamente.
Dicho esto, estas son las acciones concretas que podés tomar ahora:
- Deshabilitar Copilot Cowork hasta que Microsoft implemente controles de aprobación humana para el envío de mensajes. Si no lo usás activamente, no hay motivo para dejarlo activo. La configuración está en el admin center bajo Copilot Cowork governance.
- Restringir permisos de Microsoft Graph: auditá qué scopes tiene Copilot delegados para cada usuario. Aplicá el principio de menor privilegio. Un usuario de marketing no necesita acceso a SharePoint de Legal.
- Activar y revisar el Unified Audit Log: si no está habilitado, hacelo ya. Sin logs, no tenés visibilidad sobre qué hace Copilot en tu tenant.
- Implementar DLP policies para detectar y bloquear el envío automatizado de links de archivos sensibles via email o Teams.
- Educar a los usuarios: cualquier email o mensaje de Teams que parezca generado por Copilot con links de archivos que no pediste debe reportarse al equipo de seguridad.
Para entornos donde Copilot Cowork es crítico, herramientas como FIDES o el TaskTracker de Microsoft pueden ayudar a monitorear las acciones que el agente ejecuta y agregar capas de supervisión. Pero ninguna de estas soluciones elimina el riesgo estructural.
¿Alguien en tu empresa tiene claro qué permisos de Graph tiene Copilot actualmente? En la mayoría de los deployments que se ven, la respuesta es no.
Qué está confirmado y qué no
| Item | Estado |
|---|---|
| Vulnerabilidad de exfiltración vía inyección indirecta | Confirmado por PromptArmor |
| Envío de emails/Teams sin aprobación humana | Confirmado, es el comportamiento actual de Copilot Cowork |
| Exfiltración exitosa contra Claude Opus 4.7 | Confirmado en investigación |
| Parche disponible de Microsoft | No confirmado hasta la fecha |
| Ataques reales en producción documentados | No confirmado públicamente |
| Fecha de corrección por parte de Microsoft | Sin información oficial |
Errores comunes al evaluar este riesgo
Asumir que “es solo un ataque teórico”
PromptArmor demostró el ataque con tasas de éxito altas en condiciones reales, incluyendo modelos de última generación. “Teórico” en seguridad generalmente significa “todavía no lo vieron en tu red”. No esperés a que sea práctico para tu empresa.
Creer que las políticas de contenido del modelo te protegen
Los filtros de seguridad de los LLMs están entrenados para detectar ciertos tipos de instrucciones maliciosas, pero la inyección indirecta bien construida puede eludir esos controles porque parece contenido legítimo dentro del contexto de trabajo. El modelo no sabe que ese PDF vino de un atacante.
Pensar que solo afecta a usuarios con permisos altos
Cualquier usuario con Copilot Cowork activo es un vector potencial. Los datos a los que ese usuario tiene acceso son los datos en riesgo. En una empresa mediana, incluso un usuario estándar puede tener acceso a documentos sensibles de proyectos, contratos o información de clientes.
Preguntas Frecuentes
¿Qué es la vulnerabilidad de Copilot Cowork que exfiltra archivos?
Es una vulnerabilidad de diseño en Microsoft Copilot Cowork que permite a un atacante usar inyección indirecta de prompts para hacer que el agente IA envíe links de descarga pre-autenticados de archivos de Microsoft 365 a través de emails o mensajes de Teams. El ataque funciona porque Copilot Cowork no requiere aprobación humana para enviar estos mensajes, y abrirlos puede disparar requests a servidores del atacante. Sobre eso hablamos en alternativas con protecciones de privacidad.
¿Cómo funciona la inyección indirecta de prompts en Copilot?
Un atacante embebe instrucciones maliciosas en contenido que Copilot va a procesar: un PDF, un email, una skill comprometida. Cuando Copilot procesa ese contenido, interpreta las instrucciones ocultas como parte del contexto de trabajo y las ejecuta con los permisos del usuario. La diferencia con inyección directa es que el atacante no necesita acceso a la interfaz de Copilot del usuario.
¿Qué datos pueden ser robados con esta vulnerabilidad?
Todos los archivos accesibles para el usuario comprometido a través de Microsoft Graph: SharePoint, OneDrive, Teams files, y otros recursos del tenant. Los usuarios con permisos amplios (administradores, personas con acceso a múltiples sitios de SharePoint) tienen mayor exposición.
¿Mi empresa está en riesgo si usa Copilot Cowork?
Sí, si Copilot Cowork está habilitado y los permisos de Microsoft Graph no están restringidos. El riesgo es mayor si los usuarios tienen acceso a datos sensibles y no hay monitoreo activo del Unified Audit Log. La investigación confirmó el ataque contra modelos avanzados, por lo que no hay una capa de modelo que te proteja automáticamente.
¿Cómo puedo proteger mi Microsoft 365 de esta vulnerabilidad?
Las medidas más urgentes: deshabilitar Copilot Cowork si no lo usás activamente, auditar y restringir los permisos de Microsoft Graph al mínimo necesario, habilitar el Unified Audit Log si no está activo, e implementar DLP policies para detectar envío automatizado de links de archivos. Para empresas que necesitan mantener Copilot Cowork activo, herramientas de monitoreo de agentes como FIDES pueden agregar visibilidad adicional.
Conclusión
La Copilot Cowork exfiltración de archivos no es un bug que Microsoft va a cerrar con un parche de seguridad en el próximo Patch Tuesday. Es un problema de diseño que surge de dar a un agente IA acceso delegado a toda la infraestructura de Microsoft 365 sin controles de aprobación consistentes para acciones de comunicación. Mientras enviás emails con tu cuenta, Copilot también puede hacerlo, y eso lo convierte en un canal de egreso sin fricción.
El paso más concreto que podés dar hoy es revisar qué permisos tiene Copilot en tu tenant y evaluar si realmente necesitás Copilot Cowork habilitado para todos los usuarios. Si las respuestas son “no sé” y “sí, por default”, ahí está tu prioridad de esta semana.
Fuentes
- PromptArmor – Microsoft Copilot Cowork Exfiltrates Files (investigación original)
- Microsoft Learn – Copilot Cowork Admin Governance
- SOC-SIRT CEDIA – Vulnerabilidad de inyección de prompts en Copilot
- El Hacker.net – Nueva vulnerabilidad de Microsoft Copilot 2026
- Microsoft Learn – Microsoft 365 Copilot AI Security