🧠 ¿Puede una IA corporativa filtrar datos con un simple correo?
Sí. Y lo ha hecho.
Bienvenidos a EchoLeak, el exploit que ha puesto patas arriba la confianza en los asistentes de IA dentro de entornos empresariales.
La historia es tan simple como aterradora:
Un atacante envía un email “inocente”. El texto es legible, normal, sin enlaces maliciosos, sin macros, sin nada que levante sospechas…
Pero hay un truco oculto en la interpretación contextual del motor RAG de Microsoft 365 Copilot.
🎭 ¿Qué ocurre en segundo plano?
- El correo se guarda. No genera alertas.
- Un día, el usuario hace una consulta relacionada.
- Copilot recupera ese mensaje como “contexto relevante”.
- El LLM lee una instrucción oculta en el cuerpo del mensaje.
- Esa instrucción genera una imagen en formato Markdown con una URL que contiene datos internos.
- El navegador carga esa imagen y, con ello, envía los datos a un servidor externo.
Y listo. Exfiltración silenciosa. Sin clics. Sin saberlo.
🧨 Esto es más que una vulnerabilidad
Es una llamada de atención:
Los modelos de lenguaje con acceso a datos sensibles son usuarios privilegiados.
No basta con auditar el output. Hay que controlar el input, el contexto, el vector RAG, las reglas de recuperación y renderizado.
🛡️ Microsoft ya ha parcheado la vulnerabilidad…
…pero el daño está hecho.
El concepto LLM Scope Violation ha llegado para quedarse.
EchoLeak nos recuerda que los ataques ya no necesitan persuadir al humano.
Solo necesitan colarse en la cadena de confianza de una IA que… hace justo lo que se espera de ella.
🎙️ En Sombra Radio lo decimos claro:
Si un modelo tiene acceso a tus datos, cualquier cosa que pueda leer es una puerta de entrada.
Y lo peor es que, como buenos compañeros de equipo, las IA no desconfían. Ejecutan.
Dark Reading (TechTarget) proporciona detalles técnicos: se trata de CVE‑2025‑32711, permite exfiltrar datos del contexto de Copilot sin interacción del usuario, y Microsoft ya lanzó un parche
