Recientemente, investigadores descubrieron que era posible usar Microsoft 365 Copilot para acceder al contenido de archivos corporativos sin dejar registro en los logs de auditoría. Bastaba con pedirle a Copilot que resumiera un archivo sin indicar un enlace directo.
Microsoft clasificó la vulnerabilidad como “importante”, pero optó por corregirla sin notificar públicamente ni advertir a sus clientes de que los registros podrían haber estado incompletos.
Se informó que no se emitiría un CVE (Vulnerabilidades y Exposiciones Comunes) porque el parche se desplegó automáticamente en el servicio de Copilot y no requería ninguna acción por parte del usuario.
¿Por qué es importante?
Muchas empresas confían en los logs de auditoría para el cumplimiento normativo, investigaciones de seguridad y monitoreo interno. Si Copilot accedía a archivos sin registrar la interacción, los registros pierden su valor como evidencia confiable.
¿Cómo funcionaba?
Acceso indirecto a archivos
Normalmente, si un usuario abre, descarga o comparte un archivo en Microsoft 365, esa acción queda registrada en los logs de auditoría, que son clave para el monitoreo y el cumplimiento.
Sin embargo, si en lugar de abrir el archivo, el usuario pedía a Copilot “hazme un resumen de este archivo” o “dame los puntos clave del documento X”, Copilot accedía al contenido sin generar un evento de acceso en el log.
Elusión de registros
Copilot sí obtenía el contenido y lo mostraba al usuario, pero esa acción no se reflejaba en los registros de auditoría. Esto significaba que un administrador de seguridad no tenía forma de saber que ese archivo fue consultado.
Impacto real
Usuarios malintencionados dentro de una organización podían usar Copilot para leer documentos sensibles sin dejar huella. En entornos donde el cumplimiento normativo y la trazabilidad de accesos es obligatoria, esta omisión representaba un riesgo crítico de seguridad interna.
Recomendaciones
- Revisa los logs de auditoría generados entre junio y julio de 2025 (periodo en que se reportó el fallo) para identificar posibles brechas o información faltante.
- No dependas únicamente de los registros de Microsoft 365. Complementa el monitoreo con SIEMs (Splunk, Sentinel, QRadar, etc.).
- Registra este incidente en tu plan de seguridad para que el personal de auditoría sepa que existió un periodo donde los logs de Copilot podrían no ser confiables.
