Investigadores de la firma de ciberseguridad Aim Security revelaron el hallazgo de una vulnerabilidad crítica en Microsoft 365 Copilot que permitía la exfiltración de datos sensibles sin intervención alguna del usuario. La brecha, bautizada como EchoLeak, fue catalogada como la primera vulnerabilidad de “cero clic” en un agente de inteligencia artificial, lo que la convierte en un hito en materia de seguridad informática.
El equipo descubrió que era posible evadir las salvaguardas de Microsoft 365 Copilot y de los modelos GPT de OpenAI que lo impulsan, valiéndose de tres vulnerabilidades distintas. Esto permitió diseñar un ataque que, con solo enviar un correo electrónico especialmente diseñado, podía activar una extracción de información sensible sin necesidad de que la víctima hiciera clic o interactuara con el mensaje.
Un ataque sin precedentes en la era de los agentes IA
La metodología empleada por Aim Security aprovechó la arquitectura RAG (Retrieval Augmented Generation) que utiliza Copilot para generar respuestas contextuales a partir de documentos y datos del entorno empresarial. Este diseño fue clave para que los investigadores pudieran introducir instrucciones maliciosas camufladas en textos aparentemente inocuos, logrando que el chatbot interpretara y ejecutara las órdenes sin activar sus barreras de seguridad.
“El ataque no requería que el usuario instalara ningún software ni abriera enlaces. Bastaba con consultar a Copilot sobre cierta información sensible, y el sistema, sin saberlo, enviaba datos al atacante”, explicaron desde Aim Security.
El vector de ataque consistía en inyectar prompts maliciosos mediante un correo electrónico. Cuando el usuario realizaba consultas relacionadas con el contenido del correo, Copilot accedía a la información contextual disponible y la compartía involuntariamente con un servidor controlado por los atacantes.
Microsoft corrigió la brecha tras ser notificada
Aim Security notificó a Microsoft sobre el hallazgo, y la compañía corrigió las vulnerabilidades antes de que la investigación fuera publicada en su blog oficial. Afortunadamente, no se han reportado ataques reales ni compromisos de clientes derivados de esta falla.
No obstante, el caso demuestra las implicaciones de seguridad que puede tener el creciente uso de agentes de inteligencia artificial en entornos corporativos. Los investigadores lograron evadir medidas consideradas como buenas prácticas, como la inyección cruzada de prompts, el bloqueo de enlaces externos y la política de seguridad de contenido (CSP).
Con el auge de soluciones basadas en IA por parte de empresas como Microsoft, Salesforce y otras, este hallazgo sirve como un fuerte llamado de atención sobre los riesgos emergentes y la necesidad de fortalecer los protocolos de protección en estos nuevos entornos digitales.
