La reciente revelación de un fallo de seguridad en la suite Microsoft 365 ha puesto en jaque la confianza depositada en las herramientas de automatización de la gigante tecnológica. Durante varias semanas, un error en el asistente de inteligencia artificial, Microsoft 365 Copilot, permitió que se leyeran y resumieran correos electrónicos etiquetados como «confidenciales», incluso cuando las políticas de Prevención de Pérdida de Datos (DLP) estaban activadas.
Este problema, identificado internamente como CW1226324, fue detectado el 21 de enero, y se centró en el chat de Copilot en la pestaña de trabajo de la suite. Aunque las etiquetas de confidencialidad están diseñadas para clasificar información y aplicar protecciones, un error de código permitió que Copilot Chat procesara correos electrónicos de las carpetas de Enviados y Borradores, incluidas las comunicaciones marcadas como sensibles. Este problema resulta particularmente delicado en sectores que manejan información estrictamente regulada.
La expansión masiva de Copilot Chat en septiembre de 2025, sumado a su integración en aplicaciones esenciales como Word, Outlook y OneNote, ha convertido a esta herramienta de IA en un actor central en el flujo de trabajo diario. Cualquier fallo de control, por pequeño que sea, se vuelve crítico para sectores regulados, equipos bajo acuerdos de confidencialidad (NDA), o áreas de recursos humanos que tratan datos estratégicos.
Microsoft ha afrontado la situación clasificándola como un «advisory», indicando que el impacto fue limitado. Sin embargo, la compañía no ofreció detalles específicos sobre el número de organizaciones o usuarios afectados. Actualmente, Microsoft ha comenzado a implementar una corrección y sigue monitoreando el despliegue, contactando con usuarios específicos para asegurarse de que la solución esté funcionando correctamente. Esta forma de abordar el incidente plantea preguntas sobre cómo las empresas tratan las incidencias de IA, que a pesar de ser tratadas como problemas operativos, tienen implicaciones importantes para la seguridad y la confianza en las políticas de confidencialidad.
Este caso señala la importancia de construir un gobierno de datos robusto, que no dependa únicamente de una capa de protección. La inteligencia artificial, a pesar de su potencial, no puede ser vista como una solución mágica que opera sin incidentes. Empresas de todo el mundo tratan estos fallos de IA con seriedad, auditando y revisando constantemente las políticas de seguridad para preparar una respuesta rápida y eficiente a cualquier problema que pueda surgir.
El incidente con Microsoft 365 Copilot subraya una verdad ineludible en la era digital: la automatización y las herramientas avanzadas de IA tienen un papel fundamental en la eficiencia empresarial, pero deben ser implementadas con precaución y bajo estrictos estándares de seguridad. La capacidad de una herramienta para resumir el contenido de un correo electrónico no puede comprometer la integridad de las políticas de confidencialidad cuidadosamente diseñadas por las empresas. La confianza en la tecnología depende, en última instancia, de la capacidad para mantener esa confidencialidad intacta, incluso en la era de la inteligencia artificial.
