Skip to main content
  1. Casa
  2. Computación
  3. Noticias
  4. News

Descubren grave vulnerabilidad que afecta a Microsoft Copilot

Por
Copilot+ PC
DTES

Una grave e inédita vulneración de día cero fue descubierta en Microsoft 365 Copilot, se trata de un nuevo ataque denominado ‘EchoLeak‘, que permite a los atacantes exfiltrar datos confidenciales de Copilot desde el contexto de un usuario sin interacción.

Tal como dice Bleeping Computer, “el ataque fue ideado por investigadores de Aim Labs en enero de 2025, quienes informaron sus hallazgos a Microsoft. El gigante tecnológico asignó el identificador CVE-2025-32711 a la falla de divulgación de información, calificándola de crítica, y la corrigió en el lado del servidor en mayo, por lo que no se requiere ninguna acción del usuario”.

Recommended Videos

Además, Microsoft señaló que no hay evidencia de ninguna explotación en el mundo real, por lo que esta falla no afectó a ningún cliente.

Aunque se ha corregido y nunca se ha explotado de forma maliciosa, EchoLeak es importante para demostrar una nueva clase de vulnerabilidades llamadas “Violación del alcance de LLM”, que hace que un modelo de lenguaje grande (LLM) filtre datos internos privilegiados sin la intención o la interacción del usuario.

Virus mail Happy99
DTES

El ataque comienza con un correo electrónico malicioso enviado al objetivo, que contiene texto no relacionado con Copilot y formateado para parecerse a un documento comercial típico. El correo electrónico incorpora una inyección de aviso oculta diseñada para instruir al LLM para extraer y exfiltrar datos internos confidenciales. Debido a que el mensaje está redactado como un mensaje normal para un humano, omite las protecciones del clasificador XPIA (ataque de inyección de aviso cruzado) de Microsoft. Más adelante, cuando el usuario hace a Copilot una pregunta empresarial relacionada, el motor de generación aumentada de recuperación (RAG) recupera el correo electrónico en el contexto de solicitud de LLM debido a su formato y relevancia aparente. La inyección maliciosa, que ahora llega al LLM, lo “engaña” para que extraiga datos internos confidenciales y los inserte en un enlace o imagen elaborada.

Microsoft 365 Copilot es un asistente de IA integrado en aplicaciones de Office como Word, Excel, Outlook y Teams que usa los modelos GPT de OpenAI y Microsoft Graph para ayudar a los usuarios a generar contenido, analizar datos y responder preguntas basadas en los archivos internos, correos electrónicos y chats de su organización.

Diego Bastarrica
Diego Bastarrica
News Editor
Diego Bastarrica es periodista y docente de la Universidad Diego Portales de Chile. Especialista en redes sociales…
Topics
¿Planeas actualizar el PC? HP advierte de precios más altos en el futuro
HP Desktop

¿Qué ha pasado? Si planeas comprar un PC, quizá quieras hacerlo cuanto antes. HP afirma que es probable que los precios de los PC y portátiles suban el próximo año porque los costes de los chips de memoria se han disparado. En una reciente conferencia de resultados, el CEO de HP, Enrique Lores, advirtió que, debido al rápido aumento de los precios de la RAM, los futuros productos de PC podrían enviarse con menos memoria o costar más, dependiendo de las condiciones del mercado.

Según PCMag, los precios de la memoria DDR5 han subido más de un 200% en las últimas semanas.

Leer más
¿Pensabas que 8GB de VRAM era malo?
NVIDIA

¿Qué ha pasado? A principios de este año, informes sugerían que las GPUs de próxima generación de Nvidia podrían venir con importantes mejoras de la VRAM. Pero en solo unos meses, el auge de la IA ha elevado tanto los precios de la RAM como de la GDDR al estratosfera, hasta el punto de que, según se informa, AMD y Nvidia están considerando eliminar por completo las GPUs de entrada y económicas. Ahora, las cosas pueden estar complicándose aún más. Ante una creciente escasez global de memoria, se rumorea que Nvidia está cambiando su forma de suministrar GPUs. En lugar de enviar placas completamente pobladas (die + VRAM), puede empezar a enviar solo el chip de la GPU, dejando a los socios de la placa la capacidad de buscar GDDR o HBM por su cuenta. Y si eso ocurre, podría afectar seriamente la flexibilidad de los proveedores y cuántas cartas llegarán realmente a las estanterías.

El paquete de actualización Golden Pig de Leakster afirma que Nvidia dejará de incluir la VRAM con sus GPUs para proteger las cadenas de suministro y reducir los costes iniciales.

Leer más
No te preocupes, tu estrés de compras navideñas ahora lo gestionará la IA
Apps de Amigo Secreto: el intercambio de regalos más sencillo.

Si alguna vez has sentido que tu tensión arterial se dispare solo de pensar en las compras navideñas, no estás solo. La carrera por encontrar el regalo perfecto al precio más bajo suele implicar abrir 50 pestañas del navegador y rezar para que no te hayas perdido ningún código de descuento.

Pero justo a tiempo para la avalancha del Black Friday, dos grandes actores tecnológicos – Microsoft y Perplexity AI – intervienen para gestionar el estrés por ti.

Leer más