Security

Copilot Studio: 10 errores de configuración de agentes

3 min de lectura

Resumen

Microsoft alertó sobre 10 errores de configuración frecuentes en agentes creados con Copilot Studio, como la sobrecompartición, autenticación débil, acciones inseguras y propietarios desactualizados, que pueden abrir nuevas vías de acceso a datos y abuso mediante prompts. La compañía además vinculó estos riesgos a consultas de Defender Advanced Hunting y recomendaciones de mitigación, lo que importa porque los agentes low-code se están convirtiendo en un nuevo punto crítico de seguridad que muchos controles tradicionales aún no vigilan bien.

¿Necesita ayuda con Security?Hablar con un experto

Introducción: por qué esto importa

Los agentes se están convirtiendo rápidamente en un nuevo plano de control para el acceso a datos y la automatización de flujos de trabajo—a menudo creados y desplegados con rapidez mediante herramientas low-code como Copilot Studio. Microsoft advierte que pequeñas decisiones de configuración (compartición amplia, acciones inseguras, autenticación débil, propiedad desactualizada) pueden crear rutas de identidad y acceso a datos que los controles de seguridad tradicionales podrían no monitorear. El resultado neto: los agentes mal configurados pueden ampliar silenciosamente tu superficie de ataque y habilitar abuso impulsado por prompts o exfiltración de datos.

Novedades: 10 configuraciones incorrectas comunes de agentes (y cómo detectarlas)

Microsoft documenta diez configuraciones incorrectas “observadas en el mundo real” y mapea cada una a Defender Advanced Hunting Community Queries (Security portal → Advanced hunting → Queries → Community Queries → carpeta AI Agent) además de mitigaciones recomendadas en Copilot Studio/Power Platform.

Los temas clave incluyen:

1) Compartición excesiva y límites débiles de acceso

  • Riesgo: Agentes compartidos con toda la organización o con grupos amplios.
  • Detectar: Consultas como AI Agents – Organization or Multitenant Shared.
  • Mitigar: Usar Managed Environments y agent sharing limits; validar la estrategia de entornos y el alcance de la compartición.

2) Autenticación ausente o inconsistente

  • Riesgo: Agentes que no requieren autenticación se convierten en un punto de entrada público.
  • Detectar: AI Agents – No Authentication Required.
  • Mitigar: Aplicar agent authentication at the environment level (la autenticación está habilitada de forma predeterminada—no la relajes para pruebas sin medidas de protección).

3) Acciones riesgosas, conectores y rutas de exfiltración

  • Riesgo: Acciones de HTTP Request con configuraciones inseguras (no-HTTPS, puertos no estándar) o acciones de email que habilitan exfiltración de datos.
  • Detectar: Consultas que cubren patrones de HTTP request y email hacia externos/entradas controladas por AI.
  • Mitigar: Aplicar Data Policies / Advanced Connector Policies, y considerar Microsoft Defender Real-time Protection y controles de acciones de conectores.

4) Deriva de gobernanza: agentes inactivos, huérfanos y con privilegios excesivos

  • Riesgo: Agentes/conexiones inactivos, author (maker) authentication, agentes huérfanos con propietarios deshabilitados, credenciales codificadas.
  • Detectar: Consultas para agentes inactivos/sin modificaciones, author auth, credenciales codificadas y propietarios huérfanos.
  • Mitigar: Revisar periódicamente el inventario, restringir credenciales de makers, almacenar secretos en Azure Key Vault mediante variables de entorno y poner en cuarentena/desmantelar agentes obsoletos.

5) Nuevas herramientas y riesgos de orquestación

  • Riesgo: Herramientas MCP y orquestación generativa sin instrucciones claras (deriva de comportamiento/abuso por prompt).
  • Detectar: MCP configurado y orquestación sin instrucciones.
  • Mitigar: Limitar herramientas MCP mediante políticas; apoyarse en protecciones integradas (p. ej., Azure Prompt Shield/controles RAI) y publicar con instrucciones claras.

Impacto para administradores de TI y equipos de seguridad

  • Espera que los agentes introduzcan rutas de acceso no tradicionales (conectores, herramientas MCP, acciones de email) que pueden eludir el monitoreo heredado.
  • La velocidad del low-code aumenta la probabilidad de configuración incorrecta a escala, especialmente en múltiples entornos de Power Platform.
  • Los problemas de gobernanza (propiedad, inactividad, credenciales de makers) pueden crear riesgo persistente y difícil de ver.

Próximos pasos recomendados

  1. Ejecuta las AI Agent Community Queries en Defender Advanced Hunting y establece una línea base de resultados por entorno.
  2. Aplica autenticación a nivel de entorno y revisa cualquier excepción.
  3. Implementa/valida Managed Environments, sharing limits y Data/Connector policies.
  4. Revisa author authentication, secretos codificados y agentes huérfanos/inactivos; corrige y desmantela cuando corresponda.
  5. Documenta guías de creación segura para makers (mejores prácticas de HTTP, manejo de secretos, calidad de instrucciones) y añádelas al onboarding interno.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
Copilot StudioMicrosoft DefenderAdvanced HuntingPower Platform governanceAI security

Artículos relacionados

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.

Security

Gobernanza de agentes de AI para alinear la intención

Microsoft describe un modelo de gobernanza para agentes de AI que alinea la intención del usuario, del desarrollador, basada en roles y organizacional. El marco ayuda a las empresas a mantener los agentes útiles, seguros y en cumplimiento al definir límites de comportamiento y un orden claro de prioridad cuando surgen conflictos.

Security

Microsoft Defender predictive shielding frena ransomware GPO

Microsoft detalló un caso real de ransomware en el que predictive shielding de Defender detectó el abuso malicioso de Group Policy Object antes de que comenzara el cifrado. Al reforzar la propagación de GPO e interrumpir cuentas comprometidas, Defender bloqueó alrededor del 97 % de la actividad de cifrado intentada y evitó que cualquier dispositivo fuera cifrado mediante la ruta de entrega por GPO.

Security

Seguridad para Agentic AI de Microsoft en RSAC 2026

En RSAC 2026, Microsoft presentó una estrategia integral para asegurar la adopción empresarial de Agentic AI, con el anuncio de la disponibilidad general de Agent 365 el 1 de mayo como plano de control para gobernar, proteger y supervisar agentes de AI a escala. La noticia importa porque refuerza la visibilidad y gestión del riesgo de AI en toda la empresa mediante herramientas como Security Dashboard for AI y Shadow AI Detection, ayudando a reducir la sobreexposición de datos, controlar accesos y responder a nuevas amenazas.

Security

Microsoft lanza CTI-REALM open source para detección AI

Microsoft ha presentado CTI-REALM, un benchmark open source que evalúa si los agentes de IA pueden crear y validar detecciones de seguridad de extremo a extremo a partir de informes reales de inteligencia de amenazas, en lugar de limitarse a responder preguntas teóricas. Esto importa porque ofrece a los equipos SOC una forma más práctica de medir el valor operativo de la IA en ingeniería de detección, incluyendo pasos clave como mapeo MITRE ATT&CK, consultas KQL y reglas Sigma en entornos Linux, AKS y Azure.

Security

Zero Trust for AI de Microsoft: taller y arquitectura

Microsoft presentó Zero Trust for AI (ZT4AI), una guía y arquitectura que adapta los principios de Zero Trust a entornos de IA para proteger modelos, agentes, datos y decisiones automatizadas frente a riesgos como prompt injection y data poisoning. Además, actualizó su Zero Trust Workshop con un nuevo pilar de IA y cientos de controles, lo que importa porque da a los equipos de seguridad y TI un marco práctico para evaluar riesgos, coordinar áreas de negocio y desplegar controles de seguridad de IA de forma más estructurada.