La inseguridad de los asistentes de IA corporativos ya no es una novedad. Es un ciclo. En 2025, EchoLeak (CVE-2025-32711, CVSS 9.3) demostró que un correo malicioso podía filtrar datos del usuario sin que este hiciera clic en nada.
Meses después, Varonis reveló Reprompt, una técnica similar contra Copilot Personal usando el mismo principio: inyectar instrucciones en parámetros de URL. Ahora llega SearchLeak (CVE-2026-42824), y el ataque es prácticamente el mismo, solo que esta vez apunta a Microsoft 365 Copilot Enterprise.
Microsoft ya parcheó la vulnerabilidad el 9 de junio (Patch Tuesday) con una calificación de severidad máxima, según confirmó Cisco Talos. Pero el problema no es la vulnerabilidad en sí. El problema es que la arquitectura de seguridad de los LLMs no ha cambiado entre un parche y otro.
La mecánica de SearchLeak es sencilla
El ataque, descubierto por el investigador Dolev Taler de Varonis Threat Labs, encadena tres fallos que por separado serían poco relevantes. Primero, un Parameter-to-Prompt Injection: el parámetro q de la URL de búsqueda de Copilot Enterprise se pasa directamente al modelo como una instrucción ejecutable.
El atacante escribe una URL que le ordena a Copilot buscar en la bandeja de entrada, extraer el asunto de los correos y codificarlo dentro de una URL de imagen.
Segundo, una condición de carrera en el renderizado. Microsoft implementó un guardrail que envuelve la salida de Copilot en bloques <code> para que el navegador la trate como texto y no como HTML ejecutable. El problema es que ese guardrail se activa después de que Copilot termina de generar la respuesta.
Durante el streaming, el HTML malicioso (una etiqueta <img>) se renderiza en el DOM del navegador y dispara una petición HTTP antes de que el sanitizador haga efecto, según detalló Ars Technica.
Tercero, un SSRF clásico. La imagen apunta a *.bing.com, que está en la lista blanca de la Content Security Policy de Microsoft. El endpoint searchbyimage de Bing recibe la URL, hace una petición server-side al servidor del atacante y, sin saberlo, completa la exfiltración. Bing se convierte en un proxy involuntario.
¿Qué se puede robar?
Como señaló The Hacker News, el alcance es total: códigos de autenticación de dos factores (2FA/MFA), mensajes de correo, invitaciones de calendario, archivos de SharePoint y OneDrive. Copilot Enterprise opera con los permisos completos del usuario en Microsoft Graph. El atacante hereda ese acceso sin autenticarse.
La discrepancia en la puntuación CVSS (Microsoft le da 6.5, el NVD le asigna 7.5) refleja algo más que un desacuerdo técnico: muestra lo difícil que es evaluar el impacto real de una vulnerabilidad cuando la puerta de entrada es la propia inteligencia del asistente.
Lo más revelador de SearchLeak no es la cadena de explotación, sino que sea la tercera vez que se demuestra el mismo problema fundamental: los LLMs no pueden distinguir entre las instrucciones del usuario y el contenido malicioso incrustado en terceros.
Cada vez que Microsoft pone un guardrail, los investigadores encuentran cómo brincarlo. Cada vez, la respuesta es parchar el síntoma. Nadie está resolviendo la causa.
Mientras tanto, Copilot Enterprise sigue desplegándose en empresas de todo el mundo, incluyendo América Latina, donde pocos equipos de seguridad monitorean activamente las URLs de Copilot Search o las peticiones salientes hacia Bing.
Si hay una lección que aprender de SearchLeak, es que confiar en que la próxima actualización resolverá el problema es, simplemente, la mismísima estrategia que ya falló dos veces.
