Varonis Threat Labs ha revelado una vulnerabilidad critica en Microsoft 365 Copilot Enterprise, bautizada como SearchLeak y registrada como CVE-2026-42824, que obtuvo la calificacion de maxima gravedad de Microsoft. Un solo clic en un enlace alojado en un dominio legitimo de microsoft.com podia exfiltrar de forma silenciosa datos corporativos sensibles, incluidos codigos de autenticacion multifactor, contenidos de correo, datos de calendario y archivos confidenciales, sin ninguna otra interaccion del usuario. Microsoft ha corregido el fallo por completo del lado del servidor, de modo que no se requiere ninguna accion del usuario final, y el investigador que lo descubrio, Dolev Taler de Varonis, lo hizo publico el 15 de junio.
Lo que hace notable a SearchLeak no es solo su gravedad, sino su anatomia. El ataque encadena tres debilidades distintas en una unica via fluida: una inyeccion Parameter-to-Prompt que cuela instrucciones del atacante en el prompt de Copilot, una condicion de carrera en el renderizado de HTML y una evasion de la Content Security Policy que abusa de un server-side request forgery de Bing para sacar los datos robados. Dicho en terminos sencillos, el atacante esconde instrucciones donde el asistente de IA las leera y obedecera, y luego usa las capas de renderizado y de red para llevarse la informacion. Como el enlace malicioso reside en un dominio real de microsoft.com, las herramientas antiphishing convencionales y los filtros de URL nunca lo marcan.
SearchLeak es un ejemplo de manual del modo de fallo sobre el que los investigadores de seguridad llevan advirtiendo todo el ano. Se trata de un asistente de IA con acceso a datos privados, expuesto a contenido no confiable y conectado a un canal externo capaz de sacar informacion: la combinacion exacta que OWASP describio recientemente como la trifecta letal de la inyeccion de prompts. La diferencia aqui es que no es un experimento mental; alguien construyo la cadena completa y convirtio un asistente de productividad en un arma de exfiltracion con un solo clic. A medida que las empresas otorgan a los asistentes de IA un acceso cada vez mas profundo al correo, los calendarios y los archivos, la superficie de ataque deja de ser solo el modelo y pasa a ser el modelo mas todo lo que se le permite leer y todos los lugares que se le permite alcanzar.
Lo tranquilizador es que este caso esta resuelto, lo encontraron investigadores y no atacantes, y se corrigio del lado del servidor sin que los usuarios tuvieran que mover un dedo; la divulgacion responsable funciono como estaba previsto. Lo menos tranquilizador es el patron. La inyeccion de prompts indirecta sigue demostrando ser una clase de fallo real y explotable, no una hipotesis, y cada nuevo caso es mas pulido que el anterior. Las defensas que aguantan son estructurales (impedir que el contenido no confiable, los datos privados y los canales de salida coincidan alguna vez en un mismo contexto), en lugar de intentar ensenar a un modelo a reconocer cada instruccion maliciosa. SearchLeak es un dato mas de que el problema de seguridad de la IA agentica no es realmente el modelo portandose mal por su cuenta, sino lo que un atacante decidido puede hacer que haga.