Microsoft solucionó silenciosamente una vulnerabilidad calificada como máxima crítica en su plataforma de IA M365 Copilot el martes pasado. La falla, descubierta por la empresa de seguridad Aim Security, permitía a los atacantes robar datos sensibles, incluidos códigos de autenticación de dos factores, de correos electrónicos accesibles para Copilot utilizando únicamente un solo mensaje cuidadosamente diseñado.
La vulnerabilidad, registrada como CVE-2025-32711 y denominada “EchoLeak”, tenía una puntuación de severidad CVSS de 9.3 sobre 10.
Cómo funcionó EchoLeak
El ataque requirió cero clics por parte de la víctima. Un atacante podría enviar un correo electrónico malicioso que, al ser procesado por Copilot, engañaría a la IA para que exfiltrara datos organizacionales: correos electrónicos, documentos, historiales de chat, todo lo demás. La explotación de prueba de concepto demostrada por Aim Security mostró un robo automático de datos desencadenado simplemente al resumir o interactuar con el mensaje envenenado por Copilot.
El ataque evitó las defensas existentes de Microsoft, incluidos los clasificadores de inyección entre prompts y las supresiones de enlaces externos.
Aim Security descubrió y notificó responsablemente la vulnerabilidad a Microsoft en enero de 2025. Microsoft implementó soluciones del lado del servidor para mayo de 2025, lo que significa que no se requirió ninguna acción por parte del cliente. La empresa confirmó que no tenía conocimiento de ningún cliente afectado ni de explotación maliciosa antes de aplicar el parche.
La divulgación pública de la vulnerabilidad comenzó a surgir alrededor del 11 al 12 de junio, cuando los investigadores revelaron su exploit de prueba de concepto el lunes.
Un patrón recurrente en la seguridad de la IA
La arquitectura fundamental de los LLM, que procesan todo el texto en una ventana de contexto unificada, hace extremadamente difícil imponer un límite de seguridad entre instrucciones confiables y datos no confiables. Microsoft 365 Copilot integra modelos de lenguaje grandes con fuentes de datos empresariales mediante Generación Augmentada por Recuperación (RAG), y la vulnerabilidad EchoLeak demostró cómo el contenido controlado por un atacante en el buzón de un usuario podría manipular a Copilot para realizar divulgaciones no autorizadas sin ninguna acción del usuario.
La naturaleza sin clic del ataque lo hace particularmente preocupante para entornos empresariales. Las organizaciones que implementaron M365 Copilot en miles de empleados podrían haber estado expuestas sin que ningún usuario necesitara cometer un error. La superficie de ataque era simplemente “recibir un correo electrónico”.
Qué significa esto para cripto y Web3
La industria de las criptomonedas ha estado integrando rápidamente agentes de IA en su infraestructura. Los agentes de IA en la cadena, bots de trading automatizados, interfaces de monedero impulsadas por IA e integraciones de modelos de lenguaje grande para protocolos DeFi están proliferando. Cada una de estas implementaciones enfrenta el mismo problema fundamental de inyección de prompts que explotó EchoLeak.
Si un agente de IA que gestiona transacciones en la cadena puede ser engañado para seguir instrucciones maliciosas incrustadas en los datos que procesa, las consecuencias van más allá de la extracción de datos y incluyen pérdidas financieras directas, como la capacidad de mover fondos, firmar transacciones o interactuar con contratos inteligentes.
En cripto, donde el código suele ser de código abierto y las transacciones son irreversibles, el margen entre el descubrimiento y la explotación tiende a ser mucho más estrecho que en entornos empresariales, donde la divulgación responsable y la corrección rápida contuvieron el impacto de EchoLeak.