El 15 de enero de 2026, Microsoft publicó un parche para una vulnerabilidad de inyección de prompts en Copilot Studio con código CVE-2026-21520 y puntuación CVSS de 7.5. Lo que ha descubierto la firma de seguridad Capsule Security no es solo un fallo técnico más: es la primera señal de que los agentes de IA autónomos necesitan una categoría de seguridad propia. Y Salesforce, con su plataforma Agentforce, ni siquiera ha empezado a responder.
Qué ha pasado exactamente
El 24 de noviembre de 2025, investigadores de Capsule Security identificaron una vulnerabilidad de inyección indirecta de prompts en Copilot Studio, la plataforma de Microsoft que permite a empresas construir sus propios agentes virtuales de IA. Microsoft confirmó el problema el 5 de diciembre y lanzó el parche siete semanas después, el 15 de enero. A esa vulnerabilidad se le asignó el código CVE-2026-21520, con una puntuación de riesgo de 7.5 sobre 10 según el estándar CVSS.
La brecha, bautizada como ShareLeak, explota la interacción entre los formularios de SharePoint y la ventana de contexto del agente en Copilot Studio. En las pruebas realizadas por Capsule, los investigadores lograron inyectar un mensaje falso dentro de un formulario. Ese mensaje sobrescribía las instrucciones originales del agente y le ordenaba buscar datos de clientes para enviarlos a una dirección de correo controlada por el atacante. Sin contraseñas, sin acceso privilegiado: solo un formulario mal procesado.
Pero el hallazgo más preocupante no viene de Microsoft, sino de Salesforce. Capsule también documentó PipeLeak, una vulnerabilidad similar en Agentforce, la plataforma de agentes autónomos de Salesforce. En sus pruebas, un formulario público fue suficiente para que una instancia de Agentforce exfiltrara datos sin autenticación previa y sin notificar a ningún empleado de la organización afectada. Naor Paz, CEO de Capsule Security, fue directo: «No hubo ningún límite» a la cantidad de datos que el agente podía extraer y enviar al exterior.
A diferencia de Microsoft, Salesforce no ha asignado ningún CVE ni ha publicado un parche para PipeLeak. La empresa tampoco ha hecho declaraciones públicas sobre el asunto hasta la fecha de publicación de este artículo.
Por qué esto importa ahora
Hasta hace poco, las vulnerabilidades de inyección de prompts se trataban como un problema teórico o como algo que afectaba a chatbots de consumo. La asignación de un CVE a este tipo de fallo en una plataforma de construcción de agentes —no en un simple asistente— es, según el propio Capsule Security, «altamente inusual». Microsoft ya había asignado antes el CVE-2025-32711 (CVSS 9.3) a EchoLeak, una inyección de prompts en Microsoft 365 Copilot, pero ese caso afectaba a un asistente productivo. Aquí estamos hablando de infraestructura: plataformas que las empresas usan para construir sus propios agentes.
La diferencia es crucial. Un asistente comprometido puede filtrar información de un usuario. Un agente autónomo comprometido puede actuar en nombre de toda una organización: consultar bases de datos, enviar correos, ejecutar flujos de trabajo. El radio de daño es incomparablemente mayor.
Lo que refleja este momento es una tendencia que lleva meses acelerándose. Las grandes empresas tecnológicas —Microsoft con Copilot Studio, Salesforce con Agentforce, Google con Vertex AI Agent Builder, AWS con Bedrock Agents— están compitiendo por ser la plataforma sobre la que las empresas construyan sus automatizaciones con IA. El problema es que esa carrera se está librando antes de que existan estándares de seguridad consolidados para este tipo de sistemas. Para los responsables de TI en España y Europa, esto es especialmente relevante: el RGPD convierte cualquier exfiltración de datos de clientes en un problema legal de primer orden, independientemente de que el vector de ataque sea un agente de IA o un exploit convencional.
Qué dicen los que saben
Carter Rees, Vicepresidente de Inteligencia Artificial en Reputation, describió el fallo como una mala interacción entre el modelo de lenguaje y los datos externos. La definición es sencilla pero apunta al núcleo del problema: los LLM no distinguen de forma fiable entre instrucciones legítimas y contenido malicioso incrustado en documentos o formularios. Cuando un agente procesa datos del mundo real —un formulario de SharePoint, un correo entrante, una respuesta de API— cualquier texto en ese contenido puede convertirse en una instrucción ejecutable.
Lo interesante aquí es que el problema no desaparece con parches convencionales. Microsoft puede corregir el vector específico que explotaba ShareLeak, pero la superficie de ataque es estructural. Mientras los agentes sigan consumiendo datos externos sin una capa de validación semántica robusta, seguirán siendo vulnerables a variantes nuevas del mismo ataque. PipeLeak en Agentforce es exactamente eso: una prueba de que incluso después de que Salesforce parcheara una vulnerabilidad anterior llamada ForcedLeak, el atacante solo necesitó buscar otro punto de entrada.
Lo que nadie te está contando
El hecho de que Microsoft haya asignado un CVE a esta vulnerabilidad tiene implicaciones que van mucho más allá de este caso concreto. Significa que la industria empieza a aceptar que las inyecciones de prompts en agentes autónomos son vulnerabilidades reales, catalogables y perseguibles, no anomalías de comportamiento del modelo. Eso abre la puerta a que reguladores, aseguradoras y departamentos legales empiecen a exigir a las empresas que rastreen y divulguen este tipo de fallos igual que hacen con las vulnerabilidades de software tradicional. Para muchas organizaciones que han desplegado agentes en producción sin este enfoque, eso puede ser una sorpresa desagradable.
El contraste entre Microsoft y Salesforce también merece atención. Microsoft respondió en menos de dos meses, asignó un CVE y publicó el parche. Salesforce, con PipeLeak activo y documentado, no ha hecho nada equivalente de forma pública. Eso no significa necesariamente que Salesforce sea más negligente: puede que estén gestionando la respuesta en privado. Pero en términos de postura pública de seguridad, la diferencia es visible. En un mercado donde las empresas están eligiendo sobre qué plataforma construir sus agentes de negocio para los próximos años, la velocidad y transparencia en la respuesta a fallos de seguridad puede convertirse en un factor de decisión tan importante como las funcionalidades del producto.
Qué esperar a partir de ahora
Con CVE-2026-21520 como precedente, es razonable esperar que más investigadores de seguridad dirijan su atención hacia plataformas de agentes autónomos en los próximos meses, y que el número de CVEs asignados a este tipo de vulnerabilidades crezca significativamente a lo largo de 2026. La pregunta que queda abierta es si Salesforce y el resto de competidores adoptarán el mismo nivel de transparencia que Microsoft ha mostrado aquí, o si preferirán gestionar estos fallos en silencio hasta que alguien los fuerce a salir a la luz.
