Un investigador de seguridad ha revelado una vulnerabilidad importante en Microsoft 365 Copilot que permitía a los atacantes robar datos confidenciales, incluidos correos electrónicos, mediante diagramas en los que se puede hacer clic.
En una publicación detallada del 21 de octubre, el investigador Adam Logue explicó cómo encadenó un ataque de inyección inmediata indirecta con un diagrama de sirena especialmente diseñado.
Los diagramas de sirena están basados en código diagramas que representan estructuras y procesos, generados utilizando definiciones de texto inspiradas en Markdown que son fáciles de escribir y …
Usando este método, se engañó a la IA para que obtuviera datos privados del usuario. e incrustarlo en un hipervínculo disfrazado de botón de inicio de sesión. Microsoft solucionó el problema a finales de septiembre tras la divulgación privada de Logue. El incidente se suma a una serie de problemas de seguridad recientes para Copilot, destacando las nuevas superficies de ataque creadas por agentes de IA empresarial y los desafíos para protegerlas.
Un atraco ingenioso: Encadenamiento de inyección rápida con diagramas de robo de datos
El ataque detallado de Logue fue un exploit sofisticado de varias etapas que puso las características de Copilot en su contra. Comenzó con la inyección indirecta de mensajes, una técnica en la que se ocultan instrucciones maliciosas dentro de un documento que se le pide a una IA que procese.
Elaboró una hoja de cálculo de Excel con texto oculto usando”instrucciones anidadas”y”modificación progresiva de tareas”para secuestrar el flujo de trabajo de la IA. Estas instrucciones ordenaron a Copilot ignorar los datos financieros visibles del documento y en su lugar seguir un nuevo conjunto de comandos maliciosos.
Al obligar a la IA a ejecutar una nueva tarea, Copilot utilizó sus herramientas internas para buscar los correos electrónicos recientes del usuario, codificar el contenido en una cadena hexadecimal y luego construir un diagrama de sirena. Mermaid es una herramienta legítima para crear gráficos a partir de texto, pero Logue descubrió que se podía abusar de sus capacidades CSS para la filtración de datos.
Como explicó Logue,”M365 Copilot generó un diagrama de sirena simple, parecido a un botón de inicio de sesión… Este’botón’de diagrama de sirena contenía elementos de estilo CSS con un hipervínculo al servidor de un atacante”. Su diagrama fue diseñado para que pareciera un botón convincente de”Iniciar sesión”, que solicitaba al usuario que hiciera clic en él.
Una vez que el usuario hacía clic en el botón, los datos codificados se enviaban directamente a un servidor controlado por el atacante. Este método es particularmente insidioso porque aprovecha el acceso autorizado de la IA a los datos del usuario, convirtiendo a un asistente confiable en un cómplice involuntario.
Aunque la técnica es similar a una vulnerabilidad descubierta en el Cursor IDE, ese exploit fue un ataque sin clic, mientras que el método de Logue requirió una interacción mínima del usuario para tener éxito.
La solución silenciosa de Microsoft y una decisión de recompensa contenciosa
Siguiendo prácticas de divulgación responsable, Logue informó la cadena de vulnerabilidad completa al Centro de respuesta de seguridad de Microsoft (MSRC) el 15 de agosto de 2025.
Su proceso no fue del todo sencillo; MSRC inicialmente tuvo dificultades para reproducir el problema, lo que requirió pruebas adicionales de Logue antes de que el equipo de ingeniería confirmara el comportamiento el 8 de septiembre.
Finalmente se desarrolló e implementó una solución el 26 de septiembre, neutralizando efectivamente la amenaza. La mitigación de Microsoft fue simple pero efectiva. Según el investigador,”confirmé que Microsoft había eliminado la capacidad de interactuar con contenido dinámico, como hipervínculos en diagramas de sirena renderizados dentro de M365 Copilot”.
Al deshabilitar los hipervínculos en los diagramas renderizados, la compañía cerró el canal de exfiltración sin eliminar la característica por completo. Sin embargo, a pesar de la gravedad de la vulnerabilidad, el equipo de recompensas de MSRC determinó que el envío no era elegible para recibir una recompensa.
Su razón oficial fue que Microsoft 365 Copilot se consideraba fuera del alcance de su programa de recompensas por errores en el momento del informe. Microsoft tampoco asignó un identificador CVE público para la falla, lo que limita su visibilidad en las bases de datos públicas de vulnerabilidades.
Un patrón preocupante de fallas de seguridad de la IA
Lejos de ser un incidente aislado, la vulnerabilidad del diagrama de sirena encaja en un patrón más amplio y preocupante de desafíos de seguridad que enfrenta el producto insignia de IA de Microsoft.
Apenas unos meses después de otra falla crítica de exfiltración de datos, sugiere un problema sistémico en la protección de agentes de IA que están profundamente integrados con datos empresariales confidenciales.
En junio de 2025, Microsoft parchó la vulnerabilidad”EchoLeak”en Microsoft 365 Copilot, una falla que también permitió a los atacantes robar datos corporativos a través de un único correo electrónico diseñado. En ese momento, el aviso de Microsoft reconoció que se trataba de una forma de”la inyección de comandos de IA en M365 Copilot permite a un atacante no autorizado revelar información a través de una red”.
Ese incidente anterior introdujo un nuevo concepto de amenaza muy relevante para el exploit Mermaid. La empresa de seguridad Aim Security, que descubrió EchoLeak, denominó a esta nueva clase de exploit una”violación del alcance de LLM”, y señaló que”esta técnica manipula a un agente generativo de IA dándole instrucciones maliciosas escondidas dentro de lo que parece ser una entrada externa inofensiva, engañando al agente para que acceda y filtre datos internos privilegiados”.
Tales ataques manipulan a una IA para que haga un mal uso de su acceso autorizado, un riesgo que los tradicionales Las herramientas de seguridad no están diseñadas para detectar. Estos incidentes están validando las crudas predicciones de la industria sobre el futuro de la ciberseguridad.
Esta última falla subraya un pronóstico de Gartner, que predice que”para 2028, el 25 % de las infracciones empresariales se remontarán al abuso de agentes de IA, tanto por parte de actores externos como internos maliciosos”.
Descubrimientos repetidos de vulnerabilidades, desde problemas en SharePoint Copilot hasta riesgos fundamentales de inyección rápida, crean una narrativa difícil para Microsoft. La compañía está impulsando agresivamente su”Era de los agentes de IA”y al mismo tiempo se apresura a construir las barreras de seguridad necesarias para administrarlos.
Por ahora, la vulnerabilidad del diagrama de sirena es un poderoso recordatorio de que a medida que la IA se vuelve más capaz, la superficie de ataque se vuelve más abstracta y peligrosa, lo que exige un replanteamiento fundamental de la seguridad empresarial.
