Las etiquetas de “Confidencial” no están deteniendo a la Inteligencia Artificial. Microsoft confirma un error de código que permite a Copilot resumir y exponer correos electrónicos restringidos desde las carpetas de enviados y borradores.
La adopción corporativa de la Inteligencia Artificial acaba de chocar contra un muro de cumplimiento legal (Compliance). Hoy 18 de febrero de 2026, que un fallo de seguridad activo en Microsoft 365 Copilot está provocando que el asistente virtual ignore las políticas de Prevención de Pérdida de Datos (DLP) de las empresas, exponiendo información altamente sensible a procesamientos no autorizados.
El incidente, catalogado por Microsoft bajo la referencia CW1226324 y detectado inicialmente a principios de febrero, pone en tela de juicio la promesa de que “la IA hereda los permisos de seguridad existentes del usuario”.
El Problema: El “Work Tab” no guarda secretos
En un entorno bien configurado de Microsoft 365, si un correo electrónico está etiquetado como “Confidencial” mediante las etiquetas de sensibilidad de Purview, Copilot debería tener prohibido leerlo, procesarlo o incluirlo en sus resúmenes.
Sin embargo, debido a un defecto en el código base, la pestaña “Trabajo” (Work Tab) del chat de Copilot está accediendo indiscriminadamente a elementos almacenados en las carpetas de Elementos Enviados y Borradores.
- El Impacto: Un usuario podría pedirle a Copilot “Resúmeme mis últimos proyectos”, y la IA podría responder incluyendo detalles de un borrador de contrato confidencial o un correo enviado a Recursos Humanos, a pesar de que las políticas DLP de la empresa prohíben explícitamente que la IA procese esos datos.
Pesadilla para Sectores Regulados
Este no es un fallo menor. Para organizaciones del sector salud (HIPAA), financiero o gubernamental, las etiquetas de confidencialidad no son simples recomendaciones; son mandatos legales. De hecho, el reporte señala que el Servicio Nacional de Salud del Reino Unido (NHS) ya ha clasificado este incidente como un problema interno grave (INC46740412), evidenciando el impacto real en el sector público.
Estado del Parche y Mitigación
Microsoft ha admitido el error y comenzó a desplegar una solución silenciosa en los servidores (“backend”) a partir del 11 de febrero, pero el despliegue no ha alcanzado a todos los clientes (saturación completa) todavía. El problema sigue activo para muchas organizaciones.
¿Qué debes hacer si eres Administrador de TI?
- Monitorea el Estado: Revisa el portal de administración de Microsoft 365 buscando la referencia CW1226324 para saber si tu tenant ya recibió el parche.
- Audita los Logs: Revisa los registros de actividad de Copilot en busca de accesos anómalos a contenido etiquetado.
- Toma de Decisiones Drásticas: Si tu empresa maneja secretos comerciales críticos o datos de salud, los expertos sugieren evaluar la restricción temporal del acceso a Copilot en los departamentos más sensibles (como Legal o Finanzas) hasta que Microsoft confirme que la mitigación ha sido aplicada globalmente.
