Un error en Microsoft 365 Copilot permitió que el AI resumiera correos electrónicos confidenciales durante dos semanas, afectando a múltiples organizaciones, incluida la NHS.
Microsoft 365 Copilot, un sistema de inteligencia artificial de Microsoft, ignoró las etiquetas de sensibilidad en correos electrónicos confidenciales desde el 21 de enero hasta el 10 de febrero de 2026. Este fallo, identificado como CW1226324, permitió que el AI resumiera correos en las carpetas de Elementos Enviados y Borradores, eludiendo las políticas de prevención de pérdida de datos (DLP). La NHS fue una de las organizaciones afectadas por esta brecha de seguridad, que representa el segundo incidente de este tipo en ocho meses.
El problema fue confirmado por Microsoft el 3 de febrero a través de un aviso de salud del servicio. A pesar de que se inició una corrección el 10 de febrero, la magnitud del impacto sigue sin ser clara, ya que Microsoft no ha proporcionado detalles sobre cuántas organizaciones se vieron comprometidas. Este fallo se suma a un incidente anterior conocido como EchoLeak, que fue corregido en junio de 2025 y que también involucró la violación de las etiquetas de sensibilidad de Microsoft Purview.
Las etiquetas de sensibilidad son fundamentales para clasificar documentos y correos electrónicos en diferentes niveles de confidencialidad, como Confidencial, Altamente Confidencial e Interno. Cuando se aplican correctamente, estas etiquetas impiden que los servicios de Microsoft 365, incluido Copilot, procesen o expongan contenido en resúmenes generados por IA. Sin embargo, un defecto de código en la pestaña «Trabajo» de Copilot Chat rompió esta aplicación en las carpetas mencionadas, lo que resultó en una exposición más amplia de información sensible, dado que los Elementos Enviados y Borradores suelen incluir hilos de conversación completos.
Microsoft ha comenzado a implementar una actualización de configuración del servidor para corregir el problema, pero la falta de transparencia sobre el alcance de la violación plantea preocupaciones sobre la seguridad de los datos en sus plataformas.
¿Qué medidas deberían implementarse para evitar que errores de software comprometan la seguridad de datos sensibles?
.
.
.
RESUMEN BASADO EN EL ARTÍCULO PUBLICADO EN Awesome Agents EL 23 de febrero de 2026. Leer original