Security

Copilot Studio: 10 errores de configuración a detectar

3 min de lectura

Resumen

Microsoft alertó sobre 10 errores de configuración frecuentes en agentes de Copilot Studio, como el uso compartido excesivo, la falta de autenticación y acciones HTTP riesgosas, y publicó consultas de Advanced Hunting en Defender para detectarlos de forma proactiva. Esto importa porque estos agentes ya acceden a datos y sistemas internos a gran escala, por lo que una mala configuración puede abrir nuevas vías de ataque, fuga de información y evasión de controles de seguridad sin generar alertas evidentes.

¿Necesita ayuda con Security?Hablar con un experto

Introducción: por qué esto importa

Los agentes de Copilot Studio se están integrando rápidamente en los flujos de trabajo operativos: extraen datos, desencadenan acciones e interactúan con sistemas internos a escala. Esa misma automatización también crea nuevas rutas de ataque cuando los agentes se comparten de forma incorrecta, se ejecutan con privilegios excesivos o eluden los controles de gobernanza estándar. El equipo de Defender Security Research de Microsoft está viendo estos problemas “en el mundo real”, a menudo sin alertas evidentes, por lo que el descubrimiento proactivo y la gestión de la postura son esenciales.

Qué hay de nuevo: 10 riesgos comunes en agentes de Copilot Studio (y cómo detectarlos)

Microsoft publicó una lista práctica con las 10 principales configuraciones incorrectas de agentes y asignó cada una a Microsoft Defender Advanced Hunting Community Queries (Security portal → Advanced huntingQueriesCommunity queries → carpeta AI Agent). Los riesgos clave incluyen:

  1. Uso compartido demasiado amplio (toda la organización o grupos grandes) – amplía la superficie de ataque y habilita usos no intencionados.
  2. Sin autenticación requerida – crea puntos de entrada públicos/anónimos y posible fuga de datos.
  3. Acciones de HTTP Request de riesgo – llamadas a endpoints de conectores, sin HTTPS o con puertos no estándar pueden eludir la gobernanza de conectores y los controles de identidad.
  4. Rutas de exfiltración de datos basadas en email – agentes que envían email a valores controlados por IA o a buzones externos pueden habilitar exfiltración impulsada por prompt injection.
  5. Agentes/acciones/conexiones inactivos – componentes obsoletos se convierten en una superficie de ataque oculta con privilegios persistentes.
  6. Autenticación del autor (maker) – debilita la separación de funciones y puede habilitar escalamiento de privilegios.
  7. Credenciales codificadas de forma rígida en temas/acciones – aumenta la probabilidad de filtración y reutilización de credenciales.
  8. Herramientas de Model Context Protocol (MCP) configuradas – pueden introducir rutas de acceso no documentadas e interacciones no intencionadas con sistemas.
  9. Orquestación generativa sin instrucciones – mayor riesgo de deriva de comportamiento y abuso de prompts.
  10. Agentes huérfanos (sin propietario activo) – gobernanza débil y acceso no administrado con el tiempo.

Impacto para administradores de TI y equipos de seguridad

  • Brecha de visibilidad: Estas configuraciones incorrectas a menudo no parecen maliciosas durante la creación y pueden no activar alertas tradicionales.
  • Exposición de identidad y datos: El acceso sin autenticación, las credenciales del maker y el uso compartido amplio pueden convertir un agente en un pivote de baja fricción hacia los datos de la organización.
  • Evasión de la gobernanza: Las acciones HTTP directas pueden eludir las protecciones de conectores de Power Platform (validación, limitación, aplicación de identidad).
  • Riesgo operativo: Los agentes huérfanos o inactivos conservan lógica de negocio y acceso mucho después de que la propiedad y la intención sean poco claras.

Elementos de acción / próximos pasos

  1. Ejecuta las AI Agent Community Queries ahora y establece una línea base de resultados (empieza por: uso compartido en toda la organización, agentes sin autenticación, autenticación del autor, credenciales codificadas de forma rígida).
  2. Endurece el uso compartido y la autenticación: aplica acceso de mínimo privilegio y exige autenticación para todos los agentes de producción.
  3. Revisa el uso de HTTP Request: prioriza conectores gobernados; marca para corrección inmediata el tráfico sin HTTPS y los puertos no estándar.
  4. Controla escenarios de email saliente: restringe destinatarios externos, valida entradas dinámicas y supervisa patrones de tipo prompt injection.
  5. Establece gobernanza del ciclo de vida: inventaría agentes, elimina o reasigna propiedad a agentes huérfanos y retira conexiones/acciones inactivas.

Al tratar la configuración de agentes como parte de tu postura de seguridad —y buscar continuamente estos patrones— puedes reducir la exposición antes de que los atacantes los operativicen.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
Copilot StudioMicrosoft DefenderAdvanced HuntingAI securityPower Platform governance

Artículos relacionados

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.

Security

Gobernanza de agentes de AI para alinear la intención

Microsoft describe un modelo de gobernanza para agentes de AI que alinea la intención del usuario, del desarrollador, basada en roles y organizacional. El marco ayuda a las empresas a mantener los agentes útiles, seguros y en cumplimiento al definir límites de comportamiento y un orden claro de prioridad cuando surgen conflictos.

Security

Microsoft Defender predictive shielding frena ransomware GPO

Microsoft detalló un caso real de ransomware en el que predictive shielding de Defender detectó el abuso malicioso de Group Policy Object antes de que comenzara el cifrado. Al reforzar la propagación de GPO e interrumpir cuentas comprometidas, Defender bloqueó alrededor del 97 % de la actividad de cifrado intentada y evitó que cualquier dispositivo fuera cifrado mediante la ruta de entrega por GPO.

Security

Seguridad para Agentic AI de Microsoft en RSAC 2026

En RSAC 2026, Microsoft presentó una estrategia integral para asegurar la adopción empresarial de Agentic AI, con el anuncio de la disponibilidad general de Agent 365 el 1 de mayo como plano de control para gobernar, proteger y supervisar agentes de AI a escala. La noticia importa porque refuerza la visibilidad y gestión del riesgo de AI en toda la empresa mediante herramientas como Security Dashboard for AI y Shadow AI Detection, ayudando a reducir la sobreexposición de datos, controlar accesos y responder a nuevas amenazas.

Security

Microsoft lanza CTI-REALM open source para detección AI

Microsoft ha presentado CTI-REALM, un benchmark open source que evalúa si los agentes de IA pueden crear y validar detecciones de seguridad de extremo a extremo a partir de informes reales de inteligencia de amenazas, en lugar de limitarse a responder preguntas teóricas. Esto importa porque ofrece a los equipos SOC una forma más práctica de medir el valor operativo de la IA en ingeniería de detección, incluyendo pasos clave como mapeo MITRE ATT&CK, consultas KQL y reglas Sigma en entornos Linux, AKS y Azure.

Security

Zero Trust for AI de Microsoft: taller y arquitectura

Microsoft presentó Zero Trust for AI (ZT4AI), una guía y arquitectura que adapta los principios de Zero Trust a entornos de IA para proteger modelos, agentes, datos y decisiones automatizadas frente a riesgos como prompt injection y data poisoning. Además, actualizó su Zero Trust Workshop con un nuevo pilar de IA y cientos de controles, lo que importa porque da a los equipos de seguridad y TI un marco práctico para evaluar riesgos, coordinar áreas de negocio y desplegar controles de seguridad de IA de forma más estructurada.