En pocas palabras: Varonis Threat Labs reportó públicamente SearchLeak (CVE-2026-42824) en junio de 2026, una falla crítica de un clic en Microsoft 365 Copilot Enterprise que Microsoft ya había parcheado en mayo de 2026. Bastaba hacer clic en un link legítimo de microsoft.com para que un atacante robara códigos 2FA, correos completos y archivos de SharePoint.
Microsoft parcheó en mayo de 2026 una vulnerabilidad crítica en Microsoft 365 Copilot Enterprise, bautizada SearchLeak (CVE-2026-42824), que con un solo clic en un enlace legítimo de microsoft.com permitía a un atacante robar códigos 2FA, correos completos y archivos confidenciales. Es la tercera falla del mismo tipo en el asistente. La búsqueda “copilot copilot vulnerability could” explotó por esto.
En 30 segundos
- Qué pasó: Varonis Threat Labs reportó públicamente SearchLeak (CVE-2026-42824) en junio de 2026, una falla de un clic en Microsoft 365 Copilot Enterprise que fue parcheada por Microsoft en mayo de 2026.
- Qué roba: códigos 2FA/MFA, correos enteros con sus asuntos, invitaciones de calendario, documentos de SharePoint y archivos de OneDrive.
- Cómo: inyección Parameter-to-Prompt (P2P), una race condition al renderizar HTML y SSRF vía Bing. La víctima solo hace clic en un link real de microsoft.com.
- El problema de fondo: es la tercera vulnerabilidad de la misma raíz. Los LLM no distinguen una instrucción legítima de una orden escondida en un correo.
- Estado: parcheado en el backend en mayo de 2026. Parcheado no es lo mismo que seguro.
Copilot es una herramienta de IA desarrollada por GitHub (Microsoft) que sugiere y completa código mientras el programador escribe. Utiliza modelos de lenguaje entrenados en repositorios públicos de código.
SearchLeak es una vulnerabilidad crítica de Microsoft 365 Copilot Enterprise, identificada como CVE-2026-42824 y reportada por Varonis Threat Labs en junio de 2026. Permite que un atacante use una técnica de inyección de prompts para que el propio Copilot busque en la bandeja de entrada de la víctima y filtre datos sensibles (incluidos códigos 2FA) hacia un servidor externo, con la única acción de la víctima siendo un clic en un enlace de apariencia legítima.
¿Qué es SearchLeak y por qué es tan grave?
Ponele que recibís un correo con un link a microsoft.com. Lo abrís sin pensarlo, porque es Microsoft, ¿qué podría salir mal? Ahí está el truco.
SearchLeak afecta a la edición Enterprise del asistente, la que tiene acceso a tu correo, tu calendario, tu SharePoint y tu OneDrive. No es un bug aislado de los que se arreglan y listo. Según el reporte de Varonis, es la tercera falla crítica de la misma raíz que aparece en Copilot. Eso ya no es mala suerte, es un patrón.
El CVE quedó clasificado como crítico, con puntaje CVSS máximo. La diferencia con un phishing tradicional es brutal: acá no tenés que poner tu contraseña en ningún lado ni descargar nada. Hacés clic y el asistente trabaja para el atacante. Lo explicamos a fondo en nuestro artículo sobre cambios en la facturación de Copilot.
¿Cómo funciona el ataque de un solo clic?
El ataque encadena tres debilidades. Vale la pena entenderlas por separado, porque cada una sola sería preocupante; juntas son un golazo para el atacante.
- Inyección Parameter-to-Prompt (P2P): el atacante esconde instrucciones dentro de los parámetros de una URL legítima. Copilot las lee como si fueran una orden tuya.
- Race condition al renderizar HTML: hay una ventana de tiempo en la que el asistente procesa contenido antes de aplicar sus filtros de seguridad. Justo ahí se cuela el payload.
- SSRF vía Bing: Copilot embebe los resultados de la búsqueda en URLs de imágenes. Al “cargar” esa imagen, manda los datos robados al servidor del atacante sin que vos veas nada raro.
La secuencia es así de simple para la víctima: hacés clic, Copilot busca automáticamente en tu inbox lo que le pidió el atacante, arma una URL de imagen con esa información y la “renderiza”. Vos ves una página normal. Del otro lado, alguien ya tiene tus datos.
¿Qué datos confidenciales puede robar?
Acá viene lo bueno (o lo feo, según de qué lado estés). La prueba de concepto de Varonis mostró que el alcance no es menor.
- Códigos 2FA y MFA: el punto más sensible. Como esos códigos duran entre 30 y 60 segundos, un ataque automatizado tiene tiempo de sobra para leerlos y usarlos.
- Correos completos: cuerpo y línea de asunto, no solo metadatos.
- Calendario: invitaciones, detalles de reuniones, con quién te juntás y cuándo.
- Documentos corporativos: archivos de SharePoint y OneDrive, donde suele vivir lo más jugoso.
- Información estratégica: en el PoC se filtraron datos de salarios y planes de adquisición. Nada que quieras ver en manos ajenas.
El robo de los códigos 2FA es lo que más asusta. Si un atacante puede leer tu segundo factor en tiempo real, esa capa de seguridad que te hace sentir tranquilo deja de servir. Te puede servir nuestra cobertura de actualizaciones de planes en 2026.
¿Por qué es la tercera falla del mismo tipo en Copilot?
El tema es que esto no se arregla con un parche. Es arquitectónico.
Los modelos de lenguaje no tienen una frontera real entre “esto es una instrucción que me dio mi dueño” y “esto es contenido que estoy leyendo”. Para el LLM, un correo malicioso con una orden incrustada se ve igual que un pedido tuyo. Subís el modelo, lo conectás a tu correo, lo probás, funciona bárbaro, y de repente alguien te manda un mail con instrucciones escondidas y el asistente las obedece como si fueras vos.
Por eso CVE-2026-42824 tiene hermanos. Antes ya habían aparecido CVE-2026-26129, CVE-2026-26164 y CVE-2026-33111, todas explotando la misma debilidad de raíz. Cada parche tapa el agujero puntual, pero el agujero conceptual sigue ahí. ¿Alguien resolvió de fondo el problema de la inyección de prompts en asistentes con acceso a datos? Todavía no.
¿Quién está realmente afectado por esta vulnerability de Copilot?
Importante no entrar en pánico si usás el Copilot gratis. La falla apunta a un blanco específico.
SearchLeak afecta a usuarios de Microsoft 365 Copilot Enterprise, la versión que se integra con la suite corporativa y tiene permisos sobre tu correo y tus archivos. El Copilot gratuito de Edge o de la web no comparte ese vector de ataque, porque no tiene ese nivel de acceso a tu organización. Esto se conecta con lo que analizamos en problemas de capacidad de Copilot.
El impacto institucional ya se hizo sentir. El Congreso de Estados Unidos prohibió Copilot a su staff por riesgos de manejo de datos, según reportaron varios medios especializados. Y de acuerdo con los datos citados en la cobertura, cerca del 67% de los equipos de seguridad empresarial manifestaron preocupación por desplegar asistentes de IA con este tipo de acceso.
¿Qué parcheó Microsoft y qué sigue sin resolver?
Microsoft mitigó el ataque en el backend en mayo de 2026. CVE-2026-42824 está cerrado. Eso es real y está confirmado.
Ahora bien, no te confíes. El parche frena este vector puntual, pero el problema de raíz (que el LLM no diferencia instrucciones de datos) sigue intacto. Mientras esa “inteligencia” del asistente siga sin un blindaje estructural, van a seguir apareciendo variantes de inyección de prompts. Parcheado no es seguro.
| Aspecto | Confirmado | Sin resolver |
|---|---|---|
| CVE-2026-42824 (SearchLeak) | Parcheado en backend (mayo 2026) | — |
| Vector de un clic | Mitigado | — |
| Inyección de prompts (raíz) | — | Sin solución estructural |
| Variantes futuras | — | Probables mientras no se rediseñe |
| Alcance | Solo Microsoft 365 Copilot Enterprise | — |
¿Qué está confirmado y qué no?
- Confirmado: Varonis reportó SearchLeak en junio de 2026 y Microsoft mitigó el ataque en mayo de 2026.
- Confirmado: la falla afecta solo a la edición Enterprise del asistente, no al Copilot gratuito.
- Confirmado: es la tercera vulnerabilidad crítica de la misma raíz arquitectónica.
- Sin resolver: el problema de fondo de la inyección de prompts. Los parches puntuales no lo eliminan.
¿Cómo proteger tus datos en Copilot Enterprise?
Si tu empresa usa Copilot Enterprise, hay medidas concretas. Algunas son técnicas, otras de gestión. Ya lo cubrimos antes en herramientas alternativas de desarrollo.
- Limitá permisos, no desactives todo: restringí a qué accede Copilot en lugar de apagarlo del todo. Acceso mínimo necesario.
- Etiquetá la confidencialidad: aplicá etiquetas de sensibilidad a correos y documentos críticos para reducir lo que el asistente puede tocar.
- Sanitización y aislamiento de contexto: tratá las entradas del modelo con un enfoque zero trust, asumiendo que cualquier contenido externo puede contener instrucciones maliciosas.
- Gobernanza de IA independiente: no delegues toda la seguridad en los controles del proveedor. Sumá tu propia capa de auditoría.
Microsoft documenta sus protecciones en Microsoft Learn, pero el criterio acá es claro: la plataforma sola no alcanza. Y si estás repensando tu infraestructura y dónde alojás datos sensibles, conviene hacerlo con un proveedor serio de hosting y cloud como donweb.com y políticas de acceso bien atadas.
Errores comunes al usar Copilot en empresas
- Asumir que respeta las etiquetas de confidencialidad: antes no siempre lo hacía. No des por sentado que un documento marcado como confidencial queda fuera de su alcance sin verificarlo.
- Creer que un parche de backend te deja seguro: CVE-2026-42824 está cerrado, pero la inyección de prompts sigue viva. Seguir las actualizaciones es obligatorio.
- Apagar Copilot por completo en vez de limitarlo: es la reacción del pánico. Perdés productividad sin necesidad. Lo más sano es recortar permisos, no arrancar la herramienta de cuajo.
Preguntas Frecuentes
¿Qué es la vulnerabilidad SearchLeak de Copilot?
SearchLeak (CVE-2026-42824) es una falla crítica de Microsoft 365 Copilot Enterprise reportada por Varonis en junio de 2026. Permite robar datos sensibles mediante inyección de prompts con un solo clic en un enlace legítimo. Es la tercera vulnerabilidad de la misma raíz en el asistente.
¿Cómo puede un atacante robar mis códigos 2FA con Copilot?
El atacante esconde instrucciones en una URL legítima; al hacer clic, Copilot busca en tu inbox y exfiltra los códigos a través de URLs de imágenes. Como los códigos 2FA duran 30 a 60 segundos, un ataque automatizado tiene tiempo de leerlos y usarlos antes de que expiren.
¿Copilot ya fue parcheado o sigue siendo vulnerable?
Microsoft mitigó CVE-2026-42824 en el backend en mayo de 2026, así que ese vector puntual está cerrado. El problema de fondo, que el modelo no distingue instrucciones de datos, sigue sin resolverse, por lo que pueden aparecer variantes nuevas de inyección de prompts.
¿Qué versión de Copilot está afectada?
Solo Microsoft 365 Copilot Enterprise, la edición con acceso a correo, calendario, SharePoint y OneDrive. El Copilot gratuito de Edge o la web no comparte este vector de ataque porque no tiene ese nivel de acceso a los datos de la organización.
¿Cómo protejo a mi empresa de este ataque?
Limitá los permisos de Copilot al mínimo necesario, aplicá etiquetas de confidencialidad a correos y documentos críticos, y sumá una capa de gobernanza de IA propia. No confíes solo en los controles del proveedor y mantené el asistente siempre actualizado.
Conclusión
SearchLeak no es un susto puntual. Es la tercera prueba de que conectar un LLM a tu correo y tus archivos abre una puerta que todavía nadie sabe cerrar del todo. Microsoft parcheó el vector, sí, pero el problema arquitectónico de la inyección de prompts sigue ahí, esperando la próxima variante.
¿Qué hacer ahora? Si usás Copilot Enterprise, recortá permisos, etiquetá lo confidencial y tratá toda entrada externa como potencialmente hostil. La productividad del asistente vale, pero no a cualquier precio. La seguridad acá es tu responsabilidad, no solo la del proveedor.
Fuentes
- Microsoft Learn – Privacidad y protecciones de Copilot (fuente oficial)
- Varonis Threat Labs – Análisis técnico de SearchLeak
- Windows Central – El exploit que convierte a Copilot en delator de datos
- Cybersecurity News – Vulnerabilidades de datos en Microsoft 365 Copilot
- TICweb – El parche de Microsoft no arregla el problema de fondo