Riesgos de Copilot Cowork: seguridad, GDPR y gobernanza
Copilot Cowork es potente porque actúa por ti; y por eso hay que encenderlo con cabeza. Estos son los riesgos reales y cómo gobernarlos.
Copilot Cowork es potente porque actúa por ti; y por eso hay que encenderlo con cabeza. Estos son los riesgos reales y cómo gobernarlos.
Copilot Cowork es potente porque actúa por ti; y justo por eso hay que activarlo con cabeza. Repasamos los riesgos reales —permisos heredados, el DLP que todavía no está, los datos en la UE y el coste por consumo— sin alarmismo, y te dejamos un checklist de gobernanza para encenderlo con seguridad en tu empresa.
Copilot Cowork es potente precisamente porque no se limita a responder: actúa. Redacta y envía correos, publica en Teams, crea documentos y reorganiza ficheros de principio a fin. Ese mismo salto de "ayúdame a redactar" a "hazlo por mí" es lo que lo hace tan útil y, a la vez, tan delicado. Por eso "potente" y "delicado" van de la mano: cuanto más lejos llega una herramienta por sí sola, más importa lo que hay debajo.
Y aquí está la idea que cambia toda la conversación: el riesgo número uno de Cowork no es la inteligencia artificial. Es tu propia higiene de permisos. Cowork trabaja con los permisos que ya tiene cada usuario en Microsoft 365. Si esos permisos están desordenados, la herramienta no crea un problema nuevo: destapa uno que ya tenías, y lo hace más rápido que nunca. Este artículo repasa los riesgos reales —seguridad, GDPR y gobernanza— con criterio y sin alarmismo, y termina con una lista concreta de lo que conviene dejar montado antes de encender nada.
Cowork hereda los permisos del usuario en Microsoft Graph. En cristiano: solo puede ver y tocar lo que esa persona ya podía ver y tocar por sí misma. No rompe la seguridad de tu Microsoft 365 ni salta barreras. Pero ese detalle, que suena tranquilizador, es exactamente donde está el matiz.
El problema es que en la mayoría de organizaciones la gente puede acceder a mucho más de lo que debería. No porque nadie lo haya decidido, sino porque los permisos de SharePoint, OneDrive y Teams se van acumulando con los años: carpetas compartidas "para salir del paso", enlaces de "cualquiera con el enlace", grupos que incluyen a media empresa. Nadie lo revisa. Y ahí sigue.
Una investigación independiente de Concentric AI, sobre más de 550 millones de registros, encontró que alrededor del 16% de los datos críticos de negocio están sobrecompartidos, con una media de unos 802.000 ficheros en riesgo por organización. Es un dato de industria, no una cifra de Microsoft, y conviene citarlo como lo que es: un orden de magnitud del problema, medido por un proveedor con interés en el tema. Pero es coherente con lo que ve cualquiera que audite un tenant real.
La diferencia con Cowork es de velocidad y de alcance. Antes, para tropezar con un fichero mal compartido hacía falta buscarlo a mano. Ahora basta con pedirle a la herramienta un resumen y dejar que ella recorra todo lo que el usuario tiene a su alcance. Cowork no crea la exposición: la revela, y lo hace de forma mucho más accionable que una búsqueda manual.
Un ejemplo concreto. Alguien de administración le pide a Cowork: "resume nuestra situación financiera del trimestre y prepárame un correo para el proveedor". Cowork, con los permisos de esa persona, alcanza un Excel de márgenes o una hoja de nóminas que estaba en un site sobrecompartido, y mete cifras confidenciales que ese usuario podía ver técnicamente, pero que nunca debió consumir para esa tarea. Nadie ha hecho nada malicioso. Simplemente, el desorden de permisos se ha convertido en un dato en un correo.
Aquí hace falta ser honestos, porque es fácil prometer de más. La prevención de pérdida de datos (DLP) es el control que impide que cierta información salga por donde no debe. Para el resto de Microsoft 365 Copilot existe. Para Cowork, a día de su lanzamiento general (GA, 16 de junio de 2026), el DLP específico todavía no está activo: figura como "coming soon".
Conviene matizarlo, porque las fuentes oficiales no coinciden del todo. La tabla oficial de Purview para Cowork marca el DLP como no soportado. El blog de lanzamiento lo describe como "próximamente". La lectura segura y defendible para cualquier responsable de IT es la misma en ambos casos: hoy no puedes dar por hecho que las políticas DLP que aplicas al resto de Copilot cubren igual a Cowork. Verifícalo en la página de Purview de Cowork antes de prometer cobertura a nadie.
Entonces, ¿qué protege hoy la salida de datos? La respuesta es incómoda pero clara: la revisión humana. Cowork se detiene antes de cada acción sensible —enviar un correo, publicar en Teams, crear o modificar algo— y pide aprobación. El botón coincide con la acción (Send, Post, Create), muestra una vista previa del borrador y un indicador de nivel de riesgo para las acciones de riesgo medio y alto. Esa pausa es, ahora mismo, la barrera real.
Lo que sí está soportado en Cowork y ayuda alrededor:
| Control de Purview | ¿Soportado en Cowork? |
|---|---|
| Auditoría (registro unificado) | Sí |
| Etiquetas de sensibilidad | Sí |
| Insider Risk Management | Sí |
| Communication Compliance | Sí |
| eDiscovery | Sí |
| Clasificación de datos | No |
| Data Loss Prevention (DLP) | No (coming soon) |
La implicación práctica es doble. Primero: no se debe abusar del botón "Don't ask again" ni de "Approve All", porque desactivan justo la defensa que hoy sostiene todo. Segundo: hay que formar a los usuarios para que, antes de aprobar un envío, miren los destinatarios, revisen el contenido y hagan caso al indicador de riesgo. Communication Compliance e Insider Risk Management (con su plantilla "Risky AI usage") complementan esa vigilancia, pero no sustituyen la revisión en el momento del envío. Cuando el DLP de Cowork llegue a GA, esta dependencia se relaja; hasta entonces, no.
Este es el punto que más afecta a un cliente español y el que más se pasa por alto. En su lanzamiento general, Cowork funciona sobre modelos de Anthropic (Claude Opus 4.8 y Claude Sonnet 4.6), integrados por Microsoft, que actúa como responsable y con Anthropic como subprocesador bajo el acuerdo de protección de datos de Microsoft. Los prompts y los datos accedidos a través de Microsoft Graph no se usan para entrenar los modelos, según Microsoft.
Ahora el matiz que hay que tener sobre la mesa. Aunque el anuncio dice "disponible en todo el mundo", en la UE, EFTA y Reino Unido los modelos de Anthropic vienen desactivados por defecto y quedan excluidos del EU Data Boundary. No es un descuido: es la configuración de fábrica. Y además, Cowork no está disponible en nubes de gobierno ni soberanas (no hay certificación FedRAMP todavía).
¿Qué significa esto en la práctica para una empresa en España?
No es un "no se puede". Es un "hay que decidirlo con la información delante", documentarlo y verificarlo por tenant. Para un cliente con requisitos de residencia estrictos, la postura prudente es no habilitar los modelos de Anthropic hasta tener compromisos de procesamiento en región, o limitar el uso a datos que admitan ese tratamiento. Es exactamente el tipo de decisión que no debería tomarse por defecto ni de forma automática.
Cowork tiene un modelo de precios distinto al del resto de Copilot. La licencia Microsoft 365 Copilot (USL) es fija por usuario y mes. Cowork, encima de eso, se factura por consumo, en "Copilot Credits", a 0,01 $ por crédito (cifra del blog de GA). El precio de cada tarea depende de cuatro factores: el modelo usado, el contexto recuperado, las llamadas a herramientas y el tiempo de ejecución.
Microsoft describe las tareas como ligeras, medias o pesadas, pero no publica cifras numéricas oficiales en texto. Los rangos que circulan entre partners —ligera del orden de 1-3 $, media 4-7 $, pesada 7 $ o más— son estimaciones, no tarifas. Conviene tratarlas siempre como orientativas y usar el comando /cost dentro de Cowork y el estimador oficial (Customer Cowork Estimator) para cifras reales.
El riesgo es sencillo de imaginar: un único usuario lanza tareas pesadas y recurrentes —o un prompt programado mal dimensionado que se ejecuta cada mañana— y consume créditos de toda la organización. Como los créditos se comparten a nivel de tenant, sin alertas el primer aviso es la factura.
La buena noticia es que Cowork trae controles de coste en GA, y son la mitigación:
Recuerda además que Cowork viene apagado por defecto y que, para dar acceso, el administrador debe habilitar la facturación por consumo. Descubrimiento y facturación son palancas distintas: no conviene hacer Cowork descubrible antes de tener el gobierno y los topes montados.
La inyección indirecta de prompts es un riesgo de categoría de todos los sistemas agénticos, no un fallo concreto de Cowork. La idea: un contenido externo —un correo, una página web, un documento— lleva instrucciones ocultas dirigidas a la IA, no a la persona. Si la herramienta ingiere ese contenido y además puede actuar, existe la posibilidad de que ejecute algo que el usuario nunca pidió.
El caso de referencia se llama EchoLeak (CVE-2025-32711, CVSS 9.3). Fue una vulnerabilidad zero-click en Microsoft 365 Copilot —no en Cowork—, divulgada por Aim Security en junio de 2025: un correo con instrucciones ocultas conseguía que Copilot accediera a ficheros internos y exfiltrara datos sin ninguna interacción del usuario. Microsoft la parcheó a nivel de servidor y declaró que no hubo explotación real.
Hay que ser muy claro en un punto, para no caer en el alarmismo: no existe ningún CVE público específico de Copilot Cowork a fecha de corte (25 de junio de 2026). EchoLeak no fue un incidente de Cowork. Se cita como ejemplo de la categoría de riesgo, ya parcheado y sin explotación conocida. Dicho eso, la lógica agéntica sí amplifica el vector: Cowork ingiere contenido externo (correos, web mediante Edge, plugins) y puede actuar (enviar, publicar). El OWASP Top 10 para aplicaciones agénticas de 2026 sitúa la inyección indirecta como el riesgo principal de estos sistemas. Es motivo para gobernar con cabeza, no para asustarse.
Mitigaciones concretas:
Cowork viene apagado por defecto —lo activa un administrador en admin.microsoft.com, en Copilot > Agents > Cowork— y esa es una ventaja: te da tiempo para montarlo bien. Esta es la lista mínima antes de hacerlo descubrible para los usuarios. Si quieres el detalle del proceso de activación paso a paso, lo tienes en la guía de qué es Copilot Cowork y cómo activarlo.
El orden importa: primero readiness, luego activación controlada, luego piloto, y solo después expansión. No al revés.
Ninguno de estos riesgos es un motivo para no usar Cowork. Son motivos para montarlo con cabeza. El oversharing existía antes de Cowork; la diferencia es que ahora se ve. El DLP llegará, pero hoy la revisión humana es la barrera, y funciona si no la desactivas por comodidad. La residencia de datos en la UE es una decisión que se toma con la información delante, no por defecto. El coste se controla con topes puestos antes de abrir. Y la inyección de prompts es un riesgo de categoría que se gestiona con mínimo privilegio, revisión y observabilidad.
La conclusión honesta es que Copilot Cowork se puede usar con seguridad, siempre que se monte con cabeza. No se enciende y ya. Se prepara: licencias, permisos, identidad, gobierno de datos, topes de gasto y adopción por fases. Ahí es donde un partner aporta el valor de verdad, porque esa preparación es la diferencia entre una herramienta que multiplica el trabajo del equipo y una que multiplica una exposición que ya tenías.
Y como parte de esa preparación conviene tener claro qué producto estás activando exactamente: Copilot Cowork (de Microsoft, en la nube de tu tenant) no es lo mismo que Claude Cowork (la app de escritorio de Anthropic sobre ficheros locales). La diferencia cambia el modelo de seguridad y de cumplimiento, y la explicamos en detalle en Claude Cowork vs Copilot Cowork.
Configurar esto bien requiere tiempo y conocimiento técnico. Si quieres ahorrarte el aprendizaje, en BeServices lo hacemos por ti.
Agenda tu auditoríaNo es la IA en sí, sino la higiene de permisos. Cowork hereda los permisos del usuario en Microsoft Graph: si hay carpetas o documentos mal compartidos, los expone más rápido y de forma más accionable. No crea la exposición, la revela. Por eso el trabajo previo de limpieza de permisos es lo más importante.
Microsoft lo ofrece dentro de su marco de cumplimiento, pero hay un matiz para la UE: los modelos de Anthropic vienen desactivados por defecto y quedan fuera del EU Data Boundary. Si los activas, ese procesamiento ocurre fuera del perímetro de datos de la UE, algo que conviene valorar caso por caso con el cliente.
A día de su disponibilidad general, el DLP específico para Cowork todavía no está disponible (Microsoft lo anuncia como próximamente). Por eso hoy la barrera real para que no salgan datos es la revisión humana: Cowork pide aprobación antes de cada acción sensible. Conviene verificar el estado actual en la documentación de Purview antes de comprometer cobertura.
Los mismos que el usuario ya puede ver en Microsoft 365 (correo, Teams, SharePoint, OneDrive): hereda sus permisos. El riesgo aparece cuando esos permisos están desordenados y el usuario podía técnicamente ver cosas que nunca debió consumir.
Los sistemas agénticos comparten un riesgo de categoría: la inyección indirecta de instrucciones. El caso de referencia, EchoLeak (CVE-2025-32711), afectó a Microsoft 365 Copilot en 2025 y Microsoft lo parcheó sin explotación conocida. No hay una vulnerabilidad pública específica de Copilot Cowork; se trata como un riesgo de categoría a mitigar, no como un incidente confirmado de Cowork.
Sí. Se pueden fijar límites de gasto por tenant, grupo y usuario, con alertas configurables, e informes de coste por tarea. Lo recomendable es ponerlos antes de abrir el acceso, para que la primera señal de un consumo alto no sea la factura.
Un checklist mínimo: limpiar permisos (oversharing), reforzar identidad con MFA y acceso condicional sobre quién lo usa, activar Purview y la auditoría, fijar topes de gasto, empezar con un grupo piloto reducido y definir qué plugins se permiten.
Qué es, cómo funciona, qué licencia necesita y cómo activarlo paso a paso en Microsoft 365 — explicado sin jerga.
Claude Cowork (Anthropic, app de escritorio) vs Copilot Cowork (Microsoft, nube): diferencias clave y cuál te conviene.