Un error en el asistente de IA de Microsoft para empresas ha causado dolores de cabeza a los gerentes de TI, incluso en Noruega, donde Microsoft 365 Copilot se utiliza ampliamente. El error provocó que Copilot Chat procesara y resumiera correos electrónicos que estaban explícitamente marcados como confidenciales, contradiciendo directamente las políticas de seguridad de datos que las empresas habían establecido.

¿Qué salió mal?

El error, rastreado bajo el ID de referencia CW1226324, fue descubierto el 21 de enero de 2026, según información que se ha hecho pública a través de Bleeping Computer y The Register, entre otros. Microsoft describe la causa como un "problema de código" no especificado que permitió que la función de chat de Copilot en la pestaña de trabajo procesara correos electrónicos de las carpetas de Elementos enviados y Borradores de Outlook, a pesar de que estos estaban protegidos con etiquetas de sensibilidad y reglas DLP (Prevención de Pérdida de Datos) asociadas.

Las políticas DLP son una herramienta central para las empresas que manejan información sensible. Están diseñadas precisamente para evitar que dicha información sea expuesta a sistemas o usuarios que no deberían tener acceso. El hecho de que Copilot pudiera cruzar este límite no es, por lo tanto, solo una anomalía técnica, sino un desafío potencial de cumplimiento para las organizaciones afectadas.

El comportamiento violó las propias directrices de Microsoft sobre cómo Copilot debe manejar el contenido protegido
Error de Código Permitió a Microsoft Copilot Leer Correos Electrónicos Confidenciales

Microsoft: Ninguna parte no autorizada obtuvo acceso

Un portavoz de Microsoft subraya a varios medios de comunicación que el error no otorgó a nadie acceso a información que ya no estuviera autorizado a ver. En otras palabras: Copilot resumió correos electrónicos de las propias carpetas del usuario, no de las de otros. La compañía afirma además que los controles de acceso y la protección de datos, por lo demás, permanecieron intactos durante todo el período.

No obstante, Microsoft reconoce que esto no estaba en línea con el comportamiento previsto: Copilot está diseñado para excluir el contenido protegido del procesamiento de IA.

Error de Código Permitió a Microsoft Copilot Leer Correos Electrónicos Confidenciales

Corrección implementada globalmente

Microsoft comenzó a implementar una corrección a principios de febrero de 2026, y la compañía informó a los medios a mediados de mes que se había completado una actualización de configuración global para los clientes empresariales. Las propias actualizaciones de estado de la compañía caracterizaron el incidente como una “advisory”, un término que generalmente implica un alcance o impacto limitado.

Microsoft no ha especificado cuántas organizaciones y usuarios se vieron realmente afectados. La compañía solo afirma que el alcance puede cambiar después de una revisión adicional.

Microsoft dice que ninguna parte no autorizada obtuvo acceso, pero no dirá cuántas empresas se vieron afectadas

Relevante para empresas noruegas

Microsoft 365 Copilot se puso a disposición de los clientes empresariales de pago en aplicaciones como Word, Excel, PowerPoint, Outlook y OneNote en septiembre de 2025. El servicio está actualmente muy extendido en el sector empresarial y público noruego, lo que hace que este tipo de error sea directamente relevante para los gerentes de TI y cumplimiento en el país.

Para las empresas que operan bajo estrictos requisitos regulatorios, como GDPR, regulaciones financieras o la ley de personal de salud, incluso una falla temporal en las políticas de seguridad de datos puede tener consecuencias. Aunque Microsoft afirma que ninguna parte externa obtuvo acceso, las organizaciones afectadas deberían considerar documentar el incidente como parte de su control interno.

La propia documentación de Microsoft para las etiquetas de sensibilidad también contiene una aclaración importante: aunque el contenido con dichas etiquetas se excluye de Copilot en aplicaciones específicas de Office, el contenido aún puede estar disponible para Copilot en otros escenarios. Esto sugiere que el efecto protector de las etiquetas varía entre diferentes partes de la plataforma, lo que debería dar a los gerentes de TI una razón para revisar sus propias configuraciones de Copilot.

21 de enero de 2026
Error descubierto
Feb 2026
Corrección global implementada

¿Qué debes hacer ahora?

Microsoft afirma que la corrección es global y ya está implementada para los clientes empresariales. Si tu organización utiliza Microsoft 365 Copilot con políticas DLP y etiquetas de sensibilidad, se recomienda:

  • Confirmar con Microsoft o tu proveedor de TI que se ha recibido la actualización de configuración
  • Revisar los datos de registro de enero a febrero de 2026 para cualquier actividad de Copilot relacionada con correos electrónicos confidenciales
  • Considerar la presentación de informes internos si la empresa está sujeta a estrictos requisitos de protección de datos o de informes

El caso está siendo seguido por Bleeping Computer, The Register y Cybernews, entre otros.