Copilot opera estrictamente dentro de los permisos de acceso que ya tiene cada empleado. No juzga si un acceso es legítimo: si un expediente de RR. HH., un contrato o un documento estratégico está compartido con demasiada gente, Copilot lo localiza y lo muestra, con una sola pregunta, a cualquiera que tenga acceso técnico a él.
Copilot hereda tus permisos, no tu criterio
Es lo que muchos directivos descubren demasiado tarde: Copilot no abre ninguna puerta nueva, simplemente cruza las que ya estaban abiertas. Un sitio de SharePoint mal configurado, un enlace para «toda la organización», una herencia de permisos que nadie revisó: puntos ciegos que pasan desapercibidos en el día a día y que se vuelven explotables en el instante en que Copilot indexa ese contenido y lo devuelve ante una simple pregunta en lenguaje natural.
El uso compartido excesivo, en cifras
Los datos de Concentric AI son contundentes: de media, el 16 % de los datos críticos de una organización está compartido en exceso, unos 802 000 archivos al alcance de personas que no deberían poder verlos. A esto se suma que la mayoría de los empleados ya recurre a herramientas de IA sin ningún control. Copilot no hace más que amplificar la suma de ambos problemas.
EchoLeak: un aviso útil, pero no el verdadero riesgo
La vulnerabilidad EchoLeak (CVE-2025-32711, CVSS 9.3) demostró que era posible robar datos a través de Copilot sin un solo clic, con un simple correo. Microsoft ya la corrigió (parche en servidor, mayo de 2026). Pero el riesgo que de verdad perdura no es un fallo del fabricante, que se parchea: es tu propia configuración de permisos, que ningún parche arregla por ti.
Qué conviene resolver antes de activar Copilot
La buena noticia es que todo esto se resuelve antes, con las herramientas que Microsoft ya incluye. No hace falta comprar otra solución, sino configurar bien lo que ya tienes:
- Inventario de accesos e identidades (Entra ID): cuentas inactivas, invitados, grupos con permisos de más.
- Detección del uso compartido excesivo: sitios con permisos de más, enlaces anónimos, herencias de acceso (SharePoint Advanced Management).
- Etiquetas de confidencialidad y políticas DLP pensadas para Copilot (Microsoft Purview).
- Limitar el alcance de la indexación antes de ampliar el despliegue (Restricted SharePoint Search).
El propio Microsoft recomienda un enfoque por fases: probar, desplegar y operar. El error habitual es activar Copilot a lo grande primero y descubrir el problema después, cuando ya hay un incidente.
Una obligación añadida: la alfabetización en IA (AI Act, artículo 4)
Desde el 2 de febrero de 2025, el Reglamento de IA obliga a toda empresa a garantizar la alfabetización en IA de su plantilla, y las autoridades empiezan a fiscalizarlo el 2 de agosto de 2026. La obligación rige sea cual sea el nivel de riesgo. Asegurar el despliegue de Copilot y formar a los equipos en su uso forman parte del mismo esfuerzo por mantener el control.
Nuestro enfoque: Copilot Readiness
Ponemos orden en los permisos antes de activar Copilot: inventario de accesos y usos, una puntuación de riesgo y un plan de corrección priorizado, con un entregable concreto. Es la capa de seguridad, complementaria de nuestra oferta AI ActReady, centrada en el cumplimiento.