Microsoft ha reconocido un error en Microsoft 365 Copilot Chat, su asistente de trabajo basado en IA generativa, que provocó que algunos usuarios empresariales vieran cómo el sistema era capaz de acceder y resumir contenido de correos almacenados en Outlook dentro de Borradores y Elementos enviados, incluso cuando esos mensajes estaban marcados con etiqueta de confidencial. La información se “asomaba” en la experiencia de Copilot, especialmente en la pestaña de trabajo, como si el asistente hubiese abierto un cajón que tenía una pegatina de “no tocar” y, sin embargo, hubiera podido describir lo que había dentro.
Según explicó la compañía a la BBC, sus controles de acceso y políticas de protección de datos seguían vigentes, pero el comportamiento no encajaba con el diseño esperado de Copilot, que pretende excluir contenido protegido de su acceso. Microsoft afirma que desplegó una actualización de configuración a nivel global para clientes empresariales con el fin de corregirlo y subraya que “no dio acceso a nadie a información para la que no estuviera ya autorizado”.
Por qué importa aunque “nadie” viera lo que no debía
La frase clave aquí es “autorizado”. En el día a día corporativo, estar autorizado no siempre significa “debería aparecer resumido en una conversación con un bot”. Un empleado puede tener permisos para acceder a su propio correo, pero no por ello espera que un asistente automatizado mezcle, recombine o exponga fragmentos de mensajes sensibles en un contexto distinto al que fueron creados.
Es como tener una caja fuerte en casa: tú tienes la llave, sí, pero no esperas que un altavoz inteligente se ponga a leer en voz alta el contenido del sobre que guardaste dentro solo porque le pediste “hazme un resumen de lo importante de mi semana”. El matiz no es menor, porque el valor de herramientas de IA para empresa como Copilot depende de que el usuario sienta que hay fronteras claras entre lo “consultable” y lo “protegido”, y de que esas fronteras se respeten por defecto.
Etiquetas de sensibilidad y DLP: cuando el cinturón de seguridad no actúa como esperabas
El caso llama la atención porque, según lo reportado por Bleeping Computer y recogido por la BBC, el problema afectaba incluso a organizaciones que tenían configuradas etiquetas de sensibilidad y políticas de prevención de pérdida de datos (DLP) para evitar compartición no autorizada. Estas protecciones funcionan como señales de tráfico y barreras: indican qué se puede mover, compartir o procesar, y bajo qué condiciones. El incidente sugiere que, al menos en este flujo concreto, Copilot Chat estaba procesando mensajes con etiqueta “confidencial” cuando el comportamiento deseado era excluirlos.
Microsoft ha atribuido la causa raíz a un “problema de código” en un aviso que apareció en un panel de soporte del NHS en Inglaterra, y el propio NHS indicó a la BBC que el contenido procesado se mantenía con sus creadores y que no se expuso información de pacientes. Aun así, el simple hecho de que la herramienta pudiera “tocar” mensajes marcados como sensibles tiene impacto reputacional y operativo, porque muchas organizaciones adoptan Copilot precisamente por la promesa de seguridad y cumplimiento en entornos regulados.
La carrera por meter IA en todo y el coste de ir demasiado rápido
Varios expertos citados por la BBC apuntan a un patrón más amplio: la velocidad de lanzamiento de funciones de IA en el software empresarial. Nader Henein, analista de protección de datos y gobernanza de IA en Gartner, lo describe como un tropiezo difícil de evitar en un contexto donde se liberan con frecuencia capacidades “nuevas y novedosas”. La idea es incómoda, pero realista: cuantos más engranajes se añaden a un sistema, más posibilidades hay de que una pieza encaje mal durante un tiempo, aunque el resto del mecanismo sea sólido.
El problema es que, en condiciones normales, una organización podría desactivar una función y esperar a que su gobernanza se ponga al día. Pero la presión por “subirse al tren” de la IA —a veces alimentada por expectativas poco aterrizadas— reduce ese margen de maniobra. Cuando el incentivo es “habilítalo ya”, el riesgo es que la seguridad y el control se conviertan en tareas de persecución: vas corriendo detrás de la herramienta, tratando de encajar políticas, formación y auditorías una vez el sistema ya está en marcha.
“La fuga de datos ocurrirá”: cómo pensar la privacidad por defecto
El profesor Alan Woodward, experto en ciberseguridad de la Universidad de Surrey, remarcó a la BBC la importancia de que estas herramientas sean privadas por defecto y operen con un modelo opt-in. Esa recomendación tiene una lógica muy práctica: si aceptamos que habrá bugs, el diseño debe minimizar el daño cuando ocurra el error inevitable. En términos cotidianos, es como instalar un grifo con limitador de caudal: si algo falla, al menos no inundas la cocina en segundos.
Aplicado a Copilot, “privado por defecto” significa que lo sensible se excluye sin que el usuario tenga que acordarse de marcar casillas, y que la exposición potencial no depende de que cada departamento haya configurado todo de forma perfecta. “Opt-in” implica que el acceso de la IA a ciertas fuentes o carpetas debe activarse de manera consciente y documentada, no llegar encendido de serie por la promesa de productividad.
Qué deberían revisar las empresas que usan Copilot y asistentes similares
Este episodio es un recordatorio de que adoptar Copilot o cualquier asistente de IA no es solo comprar una licencia. Es introducir un actor nuevo en el flujo de trabajo: uno que no “lee” como una persona, sino que ingiere y resume de forma probabilística, y que puede ofrecer respuestas convincentes incluso cuando no debería haber visto el material en primer lugar.
En la práctica, conviene que las organizaciones traten estas herramientas como tratarían una nueva integración de datos: con control de alcance, pruebas y monitorización. Hay que verificar qué fuentes se conectan a la experiencia de chat, cómo se comporta con carpetas específicas, qué ocurre con borradores, qué diferencias hay entre escritorio y web, y cómo se aplican las etiquetas de sensibilidad en los distintos caminos de procesamiento. También es importante que el usuario final entienda el límite: un resumen “correcto” no garantiza que el acceso fuera apropiado.
El mensaje de Microsoft de que “nadie vio lo que no estaba autorizado a ver” puede ser cierto en términos de permisos, pero el debate real está en el “principio de mínima exposición”: incluso si el usuario es el autor, un sistema automatizado no debería tratar el contenido protegido como materia prima para generar resúmenes si la política dice lo contrario. En sectores como salud, finanzas o administración pública, esa diferencia es lo que separa un susto controlado de un incidente con consecuencias legales.
Qué cambia a partir de aquí
Microsoft afirma haber desplegado una actualización global para corregir el comportamiento. En el corto plazo, la corrección técnica es lo mínimo exigible. Lo interesante es lo que deja al descubierto: el modelo de confianza con el que se está intentando meter la IA en el trabajo diario. Las empresas no solo preguntan “¿funciona?”, sino “¿funciona de manera predecible cuando el contenido es sensible?”. Si la IA es como un compañero nuevo en la oficina, no basta con que sea rápido redactando; tiene que demostrar que sabe cuándo no debe entrar en una conversación.
Este caso también pone foco en la necesidad de transparencia operativa. Cuando un fallo afecta a cómo se aplican etiquetas de confidencialidad, los responsables de seguridad necesitan información clara: qué escenario exacto lo desencadenaba, qué porcentaje de usuarios pudo verse afectado, qué registros existen para auditarlo y cómo prevenir que reaparezca en futuras versiones. En la era de la IA generativa, la confianza se gana con ingeniería, pero también con explicaciones comprensibles y verificables.