SearchLeak: el exploit que le robaba el código 2FA a usuarios de Microsoft Copilot

Imaginá que tu asistente de IA corporativo —el que accede a tus mails, tus documentos en SharePoint y tus archivos de OneDrive— puede ser manipulado para filtrar tu código de autenticación de dos factores sin que te enterés. Eso es exactamente lo que permitió SearchLeak, el exploit que la firma de seguridad Varonis reveló públicamente esta semana.

Un tag de imagen con muy malas intenciones

SearchLeak aprovecha un comportamiento completamente legítimo de los navegadores para extraer datos sensibles. El ataque funciona así: un atacante inyecta instrucciones maliciosas dentro de contenido que Copilot luego consume —un mail, un documento, una nota compartida— haciéndole creer que son parte de una solicitud legítima del usuario. Copilot empieza a generar su respuesta, que incluye un tag de imagen con una URL manipulada hacia el exterior. El navegador, antes de que se activen los guardrails de seguridad del sistema, ya ejecutó el request HTTP hacia esa URL —y con él viajan los datos que el atacante buscaba.

La parte más elegante y preocupante del exploit es que usa Bing como trampolín. Los modelos de lenguaje de Microsoft confían en Bing para hacer búsquedas, y SearchLeak explota esa relación de confianza para eludir las restricciones de dominios permitidos. Los datos de la víctima terminan saliendo de los sistemas de Microsoft por una ruta que la plataforma simplemente no estaba monitoreando.

El radio de daño, más grande de lo que parece

Según Dan Goodin, editor senior de seguridad de Ars Technica, SearchLeak apunta al tier Enterprise de Microsoft 365 Copilot, lo que significa que "the blast radius isn't limited to personal data". El ataque no compromete solo al usuario individual sino a todo lo que ese usuario tiene indexado: mails corporativos, invitaciones a reuniones, notas internas, documentos en SharePoint, archivos en OneDrive. En un entorno corporativo típico, eso incluye información de clientes, contratos, datos financieros y credenciales temporales como los códigos 2FA que se reciben por correo.

Microsoft lanzó un parche de criticidad máxima el martes siguiente a la revelación pública de Varonis. La ventana de exposición no fue masiva, pero el punto clave no es este ataque en particular: es lo que revela sobre el estado del arte en seguridad de IA corporativa.

Los LLMs todavía no saben distinguir instrucciones de contenido

El hallazgo de Varonis confirma algo que los investigadores de seguridad vienen señalando desde que los LLMs empezaron a integrarse en flujos de trabajo corporativos: los proveedores de modelos de lenguaje aún no garantizan que sus sistemas puedan distinguir instrucciones legítimas de instrucciones inyectadas en contenido de terceros. Es el problema conocido como prompt injection, y SearchLeak es una demostración en entornos reales de producción de que el problema no está resuelto.

Cada vez que un asistente de IA tiene acceso a datos reales —mails, documentos, bases de conocimiento internas—, la superficie de ataque crece. La comodidad que ofrece tener un asistente que "sabe todo lo que hay en la empresa" es exactamente la misma razón por la que un exploit en ese asistente puede ser devastador.

Para las empresas argentinas que están evaluando o ya usando herramientas de IA corporativa —Copilot, Gemini Workspace, o cualquier asistente con acceso a datos internos—, este caso es una señal concreta de que la seguridad no es una casilla de compliance que se tilda antes del lanzamiento. Vale la pena preguntar activamente al proveedor cómo mitiga los ataques de prompt injection, qué datos puede acceder el modelo y cuáles quedan aislados, y cuánto tarda en parchear vulnerabilidades críticas. La velocidad de respuesta de Microsoft —parche al día siguiente de la revelación pública— es un dato de referencia útil para comparar con otros proveedores.