En un giro preocupante para la seguridad tecnológica, dos herramientas de inteligencia artificial, Microsoft 365 Copilot Enterprise Search y LiteLLM, han presentado vulnerabilidades críticas en apenas dos semanas. Cuatro equipos de investigación independientes evidenciaron que ambas plataformas comparten una falla estructural: aceptan entradas externas sin establecer límites de confianza, lo que abre la puerta a ataques sofisticados y exfiltración de datos sin detección.
El 15 de junio, la empresa Varonis reportó una vulnerabilidad denominada SearchLeak (CVE-2026-42824) en Microsoft 365 Copilot Enterprise Search. La explotación de este fallo implica que un usuario pueda ser inducido a clicar un enlace especialmente diseñado con dominio microsoft.com, lo que desencadena que Copilot acceda a la bandeja de entrada del usuario y extraiga información silenciosamente mediante una técnica de Server-Side Request Forgery (SSRF) a través del buscador Bing. Lo alarmante es que esta filtración no requiere plugins adicionales ni acciones secundarias del usuario, ni siquiera ningún indicativo visible durante el proceso.
Solo cuatro días antes, Obsidian Security había dado a conocer una cadena de tres vulnerabilidades interrelacionadas en LiteLLM, que permiten escalar privilegios de una cuenta con acceso limitado hasta niveles administrativos y ejecución remota de código. LiteLLM funciona como puerta de enlace única para las claves de proveedores tan relevantes como OpenAI, Anthropic, Azure y Bedrock. Gracias a esta brecha, un atacante puede obtener control total, incluyendo la capacidad de lanzar comandos arbitrarios y obtener un terminal inverso dentro del entorno comprometido. 
Detalles técnicos y contexto de las vulnerabilidades
El ataque SearchLeak combina tres debilidades: inyección de instrucciones en el parámetro «q» de la URL, una condición de carrera en el renderizado que ejecuta una etiqueta de imagen antes de que actúe el sanitizador de salida, y la utilización del punto de búsqueda de imágenes de Bing, autorizado en la política de seguridad de contenido (CSP), como canal para la exfiltración de datos. Microsoft calificó este fallo como crítico y lo parcheó a nivel de backend, aunque los sistemas de puntuación de vulnerabilidades todavía no han concluido su evaluación definitiva.
Este hallazgo no es aislado. En los últimos doce meses, Varonis ha identificado ya tres cadenas de exfiltración en diferentes versiones de Copilot, afectando tanto a usuarios personales como entornos empresariales. La gravedad se agrava en el contexto corporativo debido a que Copilot tiene acceso total a los permisos organizacionales del usuario afectado, lo que amplifica enormemente el potencial de daño.
En cuanto a LiteLLM, la cadena de vulnerabilidades abarca tres CVE principales: CVE-2026-47101, un bypass de autorización que permite emitir claves de API con comodines sin permiso administrativo; CVE-2026-47102, que permite promocionar la cuenta atacante a administrador a través de un endpoint sin protección (/user/update); y CVE-2026-40217, que permite escapar del sandbox de código mediante la función exec() con acceso completo a funciones internas. Adicionalmente, existe otra vulnerabilidad (CVE-2026-42271) relacionada con inyección de comandos en puntos de prueba internos, ya incluida en la lista KEV de la CISA con fecha límite de remediación para el 22 de junio. LiteLLM acumula más de 40.000 estrellas en GitHub y está desplegado masivamente en empresas, lo que potencia el riesgo de compromisos a gran escala.
Otras herramientas afectadas y el patrón subyacente
No se trata de un problema aislado. Herramientas como Langflow y proyectos de cadenas de suministro, como las campañas relacionadas con Mini Shai-Hulud, ilustran que este problema de gestión de entradas externas sin límites de confianza se repite en diversos productos AI. Langflow, con su vulnerabilidad CVE-2026-5027, permite la ejecución remota de código mediante una vulnerabilidad de path traversal en cargas de archivos, sumado a la habilitación por defecto de auto-login, lo que facilita el acceso no autenticado y explotación por parte de atacantes. Censys reportó cerca de 7.000 instancias expuestas, muchas en Norteamérica, con atribuciones a grupos de ciberespionaje estatales.
La campaña Mini Shai-Hulud, por su parte, se basa en la difusión de código malicioso mediante paquetes npm de Red Hat Cloud Services, afectados tras la publicación del código fuente del gusano. Estos paquetes, descargados decenas de miles de veces por semana, roban credenciales y se propagan bajo la identidad del mantenedor comprometido, describiendo otro vector en la cadena de suministro que amplía la superficie de ataque.
Respuesta del mercado y recomendaciones para la empresa
En el ámbito empresarial, la percepción del riesgo ya se está reflejando en resultados y movimientos estratégicos. CrowdStrike anunció un crecimiento explosivo —más del 250% en ingresos recurrentes anuales— de su línea AIDR, centrada en detección y respuesta automática de incidentes relacionados con IA. La plataforma ha expandido su cobertura a servicios en la nube de AWS, incluyendo agentes y modelos de lenguaje distribuidos, apuntando a un futuro donde la vigilancia de identidades y operaciones IA será crítica para la seguridad corporativa.
Expertos en ciberseguridad corporativa señalan que la raíz del problema no son las vulnerabilidades «zero-day» en sí, sino la complejidad añadida por la proliferación de identidades no humanas (agentes de IA) que actúan con amplios privilegios sin una gobernanza adecuada. Tal como resalta David Levin, CISO de American Express Global Business Travel, el desafío es evitar que la «IA en la sombra» se convierta en una nueva versión del shadow IT, estableciendo controles y fundamentos sólidos basados en marcos reconocidos como NIST y OWASP antes de desplegar cualquier solución de IA.
Merritt Baer, CSO en Enkrypt AI y ex deputy CISO de AWS, enfatiza que las organizaciones creen controlar a los proveedores de IA, pero en realidad solo gestionan las interfaces visibles, mientras que las capas subyacentes —donde ocurren las verdaderas integraciones y operaciones— suelen estar desprotegidas y son las que fallan en ataques reales.
Auditoría de confianza en cinco pasos para proteger entornos IA
Frente a este panorama, se propone una auditoría sencilla y directa para evaluar la exposición y la protección ante esta clase de ataques, basada en cinco ámbitos específicos:
- Validación de entradas: Revisar las listas de autorización en políticas CSP y buscar patrones sospechosos en URLs utilizadas por la IA para prevenir inyecciones y exfiltración.
- Protección de credenciales en gateways: Verificar versiones de software para evitar las vulnerabilidades conocidas en gateways que almacenan claves críticas y rotar todas las claves periódicamente.
- Control del despliegue de herramientas AI: Inventariar y asegurar que herramientas expuestas en red (como Langflow) cuentan con autenticación y están protegidas detrás de perímetros seguros.
- Gobernanza de identidades no humanas: Catalogar y limitar los privilegios de agentes IA y servicios de orquestación, asegurando controles basados en el principio de privilegio mínimo.
- Detección en tiempo real de comportamiento agente: Implementar soluciones capaces de identificar y reaccionar ante actividades realizadas por agentes IA que superen las políticas definidas.
La resolución a estos problemas no reside únicamente en políticas o regulaciones nuevas, sino en mejorar la infraestructura, los controles técnicos y la gestión de identidades en las plataformas donde la IA se integra con los sistemas empresariales, tal como enfatiza la reciente orden ejecutiva del gobierno estadounidense para la ciberseguridad en IA.
En definitiva, el reto para las organizaciones es anticiparse y detectar estas brechas antes de que lo hagan los atacantes. El espectro de exposición crece con cada herramienta recién adoptada si no se integran mecanismos robustos de gobernanza, autenticación y supervisión, evitando así que incidentes similares a los de Copilot y LiteLLM vuelvan a ocurrir.
