En enero de 2026, organizaciones que usaban Microsoft 365 descubrieron que Copilot Chat estaba resumiendo correos marcados como confidenciales, incluso cuando las políticas de prevención de pérdida de datos (DLP) estaban explícitamente configuradas para impedirlo. El fallo fue reportado por clientes el 21 de enero. Microsoft lo reconoció a principios de febrero en un aviso rastreado como CW1226324.

Qué ocurrió

Microsoft 365 utiliza etiquetas de sensibilidad (por ejemplo, «Confidencial», «Altamente confidencial») y políticas DLP a través de Microsoft Purview para controlar cómo fluyen los datos dentro de una organización. La expectativa: si un correo está etiquetado como confidencial, las herramientas de IA no deberían procesarlo.

La realidad: un defecto en el código provocó que Copilot Chat recogiera elementos de las carpetas de Elementos enviados y Borradores independientemente de sus etiquetas de sensibilidad. La IA resumía correos confidenciales a petición, sirviendo el contenido a través de la pestaña «Trabajo» de Copilot Chat.

La propia documentación de Microsoft ya establece que las etiquetas de sensibilidad no se aplican de forma consistente en todas las superficies de Copilot — una salvedad que muchos administradores pueden no haber percibido.

El ángulo de la soberanía

Este incidente no trata de un simple fallo. Ilustra un problema estructural: las organizaciones que externalizan la comunicación crítica a una plataforma de IA en la nube no pueden verificar de forma independiente a qué accede esa IA. Las políticas DLP son una promesa contractual y técnica — pero cuando la IA es de código cerrado, funciona en la infraestructura de otro y se actualiza a discreción del proveedor, la organización no tiene forma de auditar el cumplimiento en tiempo real.

Para las organizaciones europeas que ya operan bajo el riesgo jurisdiccional de la Ley CLOUD, esto añade una segunda capa de preocupación: no solo quién puede acceder legalmente a tus datos, sino qué funciones de IA los están procesando silenciosamente.

Microsoft ha desplegado desde entonces una actualización de configuración. Pero el incidente se prolongó durante semanas antes de ser reconocido — semanas durante las cuales contenido confidencial estaba siendo procesado por un modelo de IA sin autorización.

Qué pueden hacer las organizaciones

  • Auditar el comportamiento real de Copilot, no solo la configuración de tus políticas. Ambos no necesariamente coinciden.
  • Probar las políticas DLP específicamente contra las superficies de IA — las etiquetas de sensibilidad que funcionan en Outlook pueden no aplicarse en Copilot Chat, Teams u otras experiencias conectadas.
  • Evaluar si las funciones de IA deberían estar habilitadas para categorías de comunicación sensible. El valor predeterminado en Microsoft 365 es opt-in por despliegue, no opt-in por usuario.
  • Considerar la asimetría de control. En una pila open source autoalojada, un fallo como este puede encontrarse leyendo el código fuente. En una plataforma SaaS propietaria, te enteras cuando el proveedor decide comunicártelo.

Qué viene después

Este incidente es un recordatorio: cuando entregas datos de comunicación a una IA de código cerrado, estás confiando en que esa IA respete tus políticas — pero no puedes verificar que lo haga. El fallo existió durante semanas antes de que nadie lo notara. Datos confidenciales fueron procesados sin autorización, y la única razón por la que lo sabemos es porque Microsoft decidió revelarlo.

Las organizaciones tienen tres respuestas realistas:

Esta semana (esfuerzo mínimo):

  • Desactivar Copilot para usuarios que manejan datos sensibles. No todas las licencias de Microsoft 365 incluyen Copilot — audita quién tiene acceso y revócalo para roles que manejan información confidencial.
  • Habilitar Purview DLP para Copilot explícitamente. No confíes en la configuración predeterminada. Pruébala.
  • Asumir que cualquier correo procesado por Copilot puede ser accedido por Microsoft. Si eso es inaceptable, no uses Copilot para comunicaciones sensibles.

Este mes (proyecto de infraestructura):

  • Desplegar una IA de resumen autoalojada. Un LLM local en infraestructura interna — usando modelos de pesos abiertos como Mistral 7B o LLaMA 3.1 8B — funciona en tus servidores, bajo tu control. La IA procesa tus datos, no los de Microsoft. Herramientas como vLLM y Ollama hacen el despliegue sencillo en un solo servidor GPU.

Este trimestre (decisión estratégica):

  • Reconsiderar el paquete Microsoft 365. Copilot se vende como parte de Microsoft 365, pero el compromiso de seguridad es explícito: estás añadiendo una capa de IA que procesa todo en tu tenant. Para organizaciones con requisitos reales de soberanía de datos, la alternativa no es «sin IA» — es IA en tu infraestructura, con modelos de pesos abiertos, bajo tu jurisdicción.

El incidente de Copilot se olvidará el mes que viene. La próxima sorpresa de IA no. Las organizaciones que se preparen ahora no tendrán que explicar una filtración de datos después.

Fuentes