Volver al blog
IA & Microsoft 365 · 9 min lectura

Riesgos de Copilot Cowork: seguridad, GDPR y gobernanza

Última actualización: 1 de julio de 2026

Copilot Cowork es potente porque actúa por ti; y por eso hay que encenderlo con cabeza. Estos son los riesgos reales y cómo gobernarlos.

Pantalla de aprobación de cambios en Copilot Cowork: el control humano como barrera de seguridad
Resumen ejecutivo

Copilot Cowork es potente porque actúa por ti; y justo por eso hay que activarlo con cabeza. Repasamos los riesgos reales —permisos heredados, el DLP que todavía no está, los datos en la UE y el coste por consumo— sin alarmismo, y te dejamos un checklist de gobernanza para encenderlo con seguridad en tu empresa.

Copilot Cowork es potente precisamente porque no se limita a responder: actúa. Redacta y envía correos, publica en Teams, crea documentos y reorganiza ficheros de principio a fin. Ese mismo salto de "ayúdame a redactar" a "hazlo por mí" es lo que lo hace tan útil y, a la vez, tan delicado. Por eso "potente" y "delicado" van de la mano: cuanto más lejos llega una herramienta por sí sola, más importa lo que hay debajo.

Y aquí está la idea que cambia toda la conversación: el riesgo número uno de Cowork no es la inteligencia artificial. Es tu propia higiene de permisos. Cowork trabaja con los permisos que ya tiene cada usuario en Microsoft 365. Si esos permisos están desordenados, la herramienta no crea un problema nuevo: destapa uno que ya tenías, y lo hace más rápido que nunca. Este artículo repasa los riesgos reales —seguridad, GDPR y gobernanza— con criterio y sin alarmismo, y termina con una lista concreta de lo que conviene dejar montado antes de encender nada.

Actúa sobre lo que ya está mal compartido

Cowork hereda los permisos del usuario en Microsoft Graph. En cristiano: solo puede ver y tocar lo que esa persona ya podía ver y tocar por sí misma. No rompe la seguridad de tu Microsoft 365 ni salta barreras. Pero ese detalle, que suena tranquilizador, es exactamente donde está el matiz.

El problema es que en la mayoría de organizaciones la gente puede acceder a mucho más de lo que debería. No porque nadie lo haya decidido, sino porque los permisos de SharePoint, OneDrive y Teams se van acumulando con los años: carpetas compartidas "para salir del paso", enlaces de "cualquiera con el enlace", grupos que incluyen a media empresa. Nadie lo revisa. Y ahí sigue.

Una investigación independiente de Concentric AI, sobre más de 550 millones de registros, encontró que alrededor del 16% de los datos críticos de negocio están sobrecompartidos, con una media de unos 802.000 ficheros en riesgo por organización. Es un dato de industria, no una cifra de Microsoft, y conviene citarlo como lo que es: un orden de magnitud del problema, medido por un proveedor con interés en el tema. Pero es coherente con lo que ve cualquiera que audite un tenant real.

La diferencia con Cowork es de velocidad y de alcance. Antes, para tropezar con un fichero mal compartido hacía falta buscarlo a mano. Ahora basta con pedirle a la herramienta un resumen y dejar que ella recorra todo lo que el usuario tiene a su alcance. Cowork no crea la exposición: la revela, y lo hace de forma mucho más accionable que una búsqueda manual.

Un ejemplo concreto. Alguien de administración le pide a Cowork: "resume nuestra situación financiera del trimestre y prepárame un correo para el proveedor". Cowork, con los permisos de esa persona, alcanza un Excel de márgenes o una hoja de nóminas que estaba en un site sobrecompartido, y mete cifras confidenciales que ese usuario podía ver técnicamente, pero que nunca debió consumir para esa tarea. Nadie ha hecho nada malicioso. Simplemente, el desorden de permisos se ha convertido en un dato en un correo.

Qué hacer antes de activar

  • Auditar SharePoint, OneDrive y Teams primero, no después. Microsoft incluye herramientas para esto con la licencia de Copilot: la evaluación de riesgo de datos de DSPM for AI (revisa automáticamente los sites más usados) y el Content Management Assessment de SharePoint Advanced Management (detecta audiencias excesivas, el temido "Everyone except external users", herencia rota o sites sin dueño).
  • Aplicar Restricted Content Discovery a los sites de mayor riesgo: los saca del descubrimiento de Copilot sin cambiar permisos, como medida temporal mientras remedias.
  • Poner etiquetas de sensibilidad sobre el contenido crítico. Cowork las respeta y las hereda al crear contenido nuevo.
  • Quitar accesos "cualquiera con el enlace" y grupos que abarcan toda la empresa, y activar revisiones de acceso periódicas con los dueños de cada site.

El DLP de Cowork todavía no está

Aquí hace falta ser honestos, porque es fácil prometer de más. La prevención de pérdida de datos (DLP) es el control que impide que cierta información salga por donde no debe. Para el resto de Microsoft 365 Copilot existe. Para Cowork, a día de su lanzamiento general (GA, 16 de junio de 2026), el DLP específico todavía no está activo: figura como "coming soon".

Conviene matizarlo, porque las fuentes oficiales no coinciden del todo. La tabla oficial de Purview para Cowork marca el DLP como no soportado. El blog de lanzamiento lo describe como "próximamente". La lectura segura y defendible para cualquier responsable de IT es la misma en ambos casos: hoy no puedes dar por hecho que las políticas DLP que aplicas al resto de Copilot cubren igual a Cowork. Verifícalo en la página de Purview de Cowork antes de prometer cobertura a nadie.

Entonces, ¿qué protege hoy la salida de datos? La respuesta es incómoda pero clara: la revisión humana. Cowork se detiene antes de cada acción sensible —enviar un correo, publicar en Teams, crear o modificar algo— y pide aprobación. El botón coincide con la acción (Send, Post, Create), muestra una vista previa del borrador y un indicador de nivel de riesgo para las acciones de riesgo medio y alto. Esa pausa es, ahora mismo, la barrera real.

Lo que sí está soportado en Cowork y ayuda alrededor:

Control de Purview ¿Soportado en Cowork?
Auditoría (registro unificado)
Etiquetas de sensibilidad
Insider Risk Management
Communication Compliance
eDiscovery
Clasificación de datos No
Data Loss Prevention (DLP) No (coming soon)

La implicación práctica es doble. Primero: no se debe abusar del botón "Don't ask again" ni de "Approve All", porque desactivan justo la defensa que hoy sostiene todo. Segundo: hay que formar a los usuarios para que, antes de aprobar un envío, miren los destinatarios, revisen el contenido y hagan caso al indicador de riesgo. Communication Compliance e Insider Risk Management (con su plantilla "Risky AI usage") complementan esa vigilancia, pero no sustituyen la revisión en el momento del envío. Cuando el DLP de Cowork llegue a GA, esta dependencia se relaja; hasta entonces, no.

España y la UE: modelos de Anthropic y residencia de datos

Este es el punto que más afecta a un cliente español y el que más se pasa por alto. En su lanzamiento general, Cowork funciona sobre modelos de Anthropic (Claude Opus 4.8 y Claude Sonnet 4.6), integrados por Microsoft, que actúa como responsable y con Anthropic como subprocesador bajo el acuerdo de protección de datos de Microsoft. Los prompts y los datos accedidos a través de Microsoft Graph no se usan para entrenar los modelos, según Microsoft.

Ahora el matiz que hay que tener sobre la mesa. Aunque el anuncio dice "disponible en todo el mundo", en la UE, EFTA y Reino Unido los modelos de Anthropic vienen desactivados por defecto y quedan excluidos del EU Data Boundary. No es un descuido: es la configuración de fábrica. Y además, Cowork no está disponible en nubes de gobierno ni soberanas (no hay certificación FedRAMP todavía).

¿Qué significa esto en la práctica para una empresa en España?

  • Para usar Cowork tal como sale en GA —con los modelos de Anthropic— hay que habilitarlos explícitamente. Vienen apagados.
  • Al habilitarlos, hay que asumir que ese procesamiento queda fuera del EU Data Boundary mientras no existan compromisos de procesamiento en la región.
  • Eso tiene implicaciones de GDPR que hay que valorar caso por caso: qué datos se van a procesar, con qué base legal, y si el perfil de riesgo del cliente admite ese tratamiento fuera del perímetro europeo.

No es un "no se puede". Es un "hay que decidirlo con la información delante", documentarlo y verificarlo por tenant. Para un cliente con requisitos de residencia estrictos, la postura prudente es no habilitar los modelos de Anthropic hasta tener compromisos de procesamiento en región, o limitar el uso a datos que admitan ese tratamiento. Es exactamente el tipo de decisión que no debería tomarse por defecto ni de forma automática.

Coste que se puede descontrolar

Cowork tiene un modelo de precios distinto al del resto de Copilot. La licencia Microsoft 365 Copilot (USL) es fija por usuario y mes. Cowork, encima de eso, se factura por consumo, en "Copilot Credits", a 0,01 $ por crédito (cifra del blog de GA). El precio de cada tarea depende de cuatro factores: el modelo usado, el contexto recuperado, las llamadas a herramientas y el tiempo de ejecución.

Microsoft describe las tareas como ligeras, medias o pesadas, pero no publica cifras numéricas oficiales en texto. Los rangos que circulan entre partners —ligera del orden de 1-3 $, media 4-7 $, pesada 7 $ o más— son estimaciones, no tarifas. Conviene tratarlas siempre como orientativas y usar el comando /cost dentro de Cowork y el estimador oficial (Customer Cowork Estimator) para cifras reales.

El riesgo es sencillo de imaginar: un único usuario lanza tareas pesadas y recurrentes —o un prompt programado mal dimensionado que se ejecuta cada mañana— y consume créditos de toda la organización. Como los créditos se comparten a nivel de tenant, sin alertas el primer aviso es la factura.

La buena noticia es que Cowork trae controles de coste en GA, y son la mitigación:

  • Fijar topes de gasto y alertas antes de abrir el acceso, no después. Se pueden poner límites por tenant, por grupo y por usuario, y alertas de uso (por ejemplo, aviso al 75% del tope).
  • Empezar por un grupo piloto reducido, no por toda la empresa. El acceso se puede acotar con grupos de seguridad.
  • Política de modelos: usar Sonnet (o el modo automático) para las tareas estándar y reservar Opus para lo que realmente lo justifique, ya que el modelo influye en el coste.
  • Revisar el consumo cada semana durante el arranque, y valorar el plan prepago (P3) solo después de dos o tres meses con datos reales de consumo por uso.

Recuerda además que Cowork viene apagado por defecto y que, para dar acceso, el administrador debe habilitar la facturación por consumo. Descubrimiento y facturación son palancas distintas: no conviene hacer Cowork descubrible antes de tener el gobierno y los topes montados.

Prompt injection y agentes

La inyección indirecta de prompts es un riesgo de categoría de todos los sistemas agénticos, no un fallo concreto de Cowork. La idea: un contenido externo —un correo, una página web, un documento— lleva instrucciones ocultas dirigidas a la IA, no a la persona. Si la herramienta ingiere ese contenido y además puede actuar, existe la posibilidad de que ejecute algo que el usuario nunca pidió.

El caso de referencia se llama EchoLeak (CVE-2025-32711, CVSS 9.3). Fue una vulnerabilidad zero-click en Microsoft 365 Copilot —no en Cowork—, divulgada por Aim Security en junio de 2025: un correo con instrucciones ocultas conseguía que Copilot accediera a ficheros internos y exfiltrara datos sin ninguna interacción del usuario. Microsoft la parcheó a nivel de servidor y declaró que no hubo explotación real.

Hay que ser muy claro en un punto, para no caer en el alarmismo: no existe ningún CVE público específico de Copilot Cowork a fecha de corte (25 de junio de 2026). EchoLeak no fue un incidente de Cowork. Se cita como ejemplo de la categoría de riesgo, ya parcheado y sin explotación conocida. Dicho eso, la lógica agéntica sí amplifica el vector: Cowork ingiere contenido externo (correos, web mediante Edge, plugins) y puede actuar (enviar, publicar). El OWASP Top 10 para aplicaciones agénticas de 2026 sitúa la inyección indirecta como el riesgo principal de estos sistemas. Es motivo para gobernar con cabeza, no para asustarse.

Mitigaciones concretas:

  • Mínimo privilegio en plugins y conectores: el administrador controla qué plugins están permitidos y quién puede usarlos. Las skills personalizadas no las valida Microsoft, así que conviene gobernarlas.
  • Revisión humana en cada acción sensible: es, otra vez, la misma barrera que sostiene la salida de datos mientras el DLP no esté.
  • Insider Risk Management con la plantilla "Risky AI usage", que ayuda a detectar intentos de inyección de prompts.
  • Mantener todo actualizado y usar, para el Copilot general, la condición de "correo externo" en DLP (en preview) para reducir el riesgo de instrucciones que llegan de remitentes no confiables.
  • Agent 365 para inventariar agentes, detectar "shadow AI" y poner en cuarentena lo que no esté autorizado.

Checklist de gobernanza antes de activar

Cowork viene apagado por defecto —lo activa un administrador en admin.microsoft.com, en Copilot > Agents > Cowork— y esa es una ventaja: te da tiempo para montarlo bien. Esta es la lista mínima antes de hacerlo descubrible para los usuarios. Si quieres el detalle del proceso de activación paso a paso, lo tienes en la guía de qué es Copilot Cowork y cómo activarlo.

  1. Permisos y postura de datos (DSPM). Correr la evaluación de riesgo de DSPM for AI y el Content Management Assessment de SharePoint Advanced Management. Remediar los sites de mayor riesgo, quitar "Everyone except external users" y enlaces "cualquiera con el enlace", y aplicar Restricted Content Discovery a lo crítico mientras se limpia.
  2. Identidad (Entra). MFA y Acceso Condicional sólidos sobre los usuarios que van a usar Cowork. La herramienta actúa como el usuario (flujo on-behalf-of), así que las políticas de acceso condicional se aplican a las personas, no a una identidad de agente separada.
  3. Datos y cumplimiento (Purview). Desplegar etiquetas de sensibilidad, activar el registro de auditoría, Communication Compliance e Insider Risk Management ("Risky AI usage"). Asumir que el DLP de Cowork todavía no aplica y planificar su adopción para cuando llegue a GA.
  4. Residencia de datos. Verificar el estado de los modelos de Anthropic y del EU Data Boundary para ese tenant concreto, y decidir con criterio si se habilitan.
  5. Coste. Habilitar la facturación con topes y alertas por grupo y usuario antes de abrir el acceso. Definir la política de modelos por defecto (Sonnet/automático).
  6. Piloto. Abrir a 10-20 usuarios mediante grupos de seguridad, no a toda la empresa. Revisar outputs y gasto durante tres o cuatro semanas y tomar una decisión de go/no-go con datos.
  7. Política de plugins y skills. Decidir qué plugins se permiten y quién puede usarlos, gobernar las skills personalizadas y usar Agent 365 para detectar y poner en cuarentena lo que no esté autorizado.

El orden importa: primero readiness, luego activación controlada, luego piloto, y solo después expansión. No al revés.

Conclusión

Ninguno de estos riesgos es un motivo para no usar Cowork. Son motivos para montarlo con cabeza. El oversharing existía antes de Cowork; la diferencia es que ahora se ve. El DLP llegará, pero hoy la revisión humana es la barrera, y funciona si no la desactivas por comodidad. La residencia de datos en la UE es una decisión que se toma con la información delante, no por defecto. El coste se controla con topes puestos antes de abrir. Y la inyección de prompts es un riesgo de categoría que se gestiona con mínimo privilegio, revisión y observabilidad.

La conclusión honesta es que Copilot Cowork se puede usar con seguridad, siempre que se monte con cabeza. No se enciende y ya. Se prepara: licencias, permisos, identidad, gobierno de datos, topes de gasto y adopción por fases. Ahí es donde un partner aporta el valor de verdad, porque esa preparación es la diferencia entre una herramienta que multiplica el trabajo del equipo y una que multiplica una exposición que ya tenías.

Y como parte de esa preparación conviene tener claro qué producto estás activando exactamente: Copilot Cowork (de Microsoft, en la nube de tu tenant) no es lo mismo que Claude Cowork (la app de escritorio de Anthropic sobre ficheros locales). La diferencia cambia el modelo de seguridad y de cumplimiento, y la explicamos en detalle en Claude Cowork vs Copilot Cowork.

¿Prefieres que lo configure un partner certificado?

Configurar esto bien requiere tiempo y conocimiento técnico. Si quieres ahorrarte el aprendizaje, en BeServices lo hacemos por ti.

Agenda tu auditoría

Preguntas frecuentes

¿Cuál es el mayor riesgo de Copilot Cowork?

No es la IA en sí, sino la higiene de permisos. Cowork hereda los permisos del usuario en Microsoft Graph: si hay carpetas o documentos mal compartidos, los expone más rápido y de forma más accionable. No crea la exposición, la revela. Por eso el trabajo previo de limpieza de permisos es lo más importante.

¿Cumple Copilot Cowork con el RGPD?

Microsoft lo ofrece dentro de su marco de cumplimiento, pero hay un matiz para la UE: los modelos de Anthropic vienen desactivados por defecto y quedan fuera del EU Data Boundary. Si los activas, ese procesamiento ocurre fuera del perímetro de datos de la UE, algo que conviene valorar caso por caso con el cliente.

¿Copilot Cowork tiene DLP (prevención de fuga de datos)?

A día de su disponibilidad general, el DLP específico para Cowork todavía no está disponible (Microsoft lo anuncia como próximamente). Por eso hoy la barrera real para que no salgan datos es la revisión humana: Cowork pide aprobación antes de cada acción sensible. Conviene verificar el estado actual en la documentación de Purview antes de comprometer cobertura.

¿Qué datos puede ver Copilot Cowork?

Los mismos que el usuario ya puede ver en Microsoft 365 (correo, Teams, SharePoint, OneDrive): hereda sus permisos. El riesgo aparece cuando esos permisos están desordenados y el usuario podía técnicamente ver cosas que nunca debió consumir.

¿Ha tenido vulnerabilidades de seguridad?

Los sistemas agénticos comparten un riesgo de categoría: la inyección indirecta de instrucciones. El caso de referencia, EchoLeak (CVE-2025-32711), afectó a Microsoft 365 Copilot en 2025 y Microsoft lo parcheó sin explotación conocida. No hay una vulnerabilidad pública específica de Copilot Cowork; se trata como un riesgo de categoría a mitigar, no como un incidente confirmado de Cowork.

¿Se puede controlar el gasto?

Sí. Se pueden fijar límites de gasto por tenant, grupo y usuario, con alertas configurables, e informes de coste por tarea. Lo recomendable es ponerlos antes de abrir el acceso, para que la primera señal de un consumo alto no sea la factura.

¿Qué debo tener listo antes de activarlo?

Un checklist mínimo: limpiar permisos (oversharing), reforzar identidad con MFA y acceso condicional sobre quién lo usa, activar Purview y la auditoría, fijar topes de gasto, empezar con un grupo piloto reducido y definir qué plugins se permiten.

Sigue profundizando