Microsoft retirará funciones de transcripción, dictado y lectura en versiones antiguas de Office 365 en 2026

Introducción

Microsoft ha comunicado oficialmente que, a partir de finales de enero de 2026, las funcionalidades de transcripción, dictado y lectura en voz alta dejarán de estar disponibles en versiones antiguas de las aplicaciones de Office 365. Esta decisión afecta de lleno a entornos empresariales donde aún se utilizan versiones previas a las más recientes de Microsoft 365 Apps for enterprise, con importantes implicaciones técnicas, operativas y de cumplimiento normativo.

Contexto del Incidente

El anuncio realizado por Microsoft se enmarca en la estrategia de la compañía de centralizar y actualizar sus servicios en la nube, priorizando la seguridad, la eficiencia y la interoperabilidad. Las funciones de transcripción, dictado y lectura en voz alta, ampliamente usadas en Microsoft Word, Outlook y PowerPoint, dependen de servicios cloud gestionados por Microsoft. Estos servicios procesan datos sensibles, incluyendo archivos de audio y texto que pueden contener información confidencial o sujeta a regulaciones como GDPR o NIS2.

La retirada afectará a todas las instalaciones de Office 365 anteriores a la versión 2311 (lanzada en noviembre de 2023). De acuerdo con las métricas internas de Microsoft, aproximadamente el 15% de las empresas aún mantienen versiones antiguas en entornos productivos, lo que supone un riesgo añadido tanto de seguridad como de obsolescencia funcional.

Detalles Técnicos

Las funcionalidades de transcripción y dictado utilizan APIs de inteligencia artificial y machine learning alojadas en Azure. Los servicios afectados son:

– Transcribe (Word/Outlook)
– Dictate (Word/Outlook/PowerPoint)
– Read Aloud (Word/Outlook/PowerPoint)

Estos servicios operan mediante la integración de endpoints REST y WebSocket protegidos mediante OAuth2, enviando muestras de voz y texto a la nube de Microsoft para su procesamiento. A partir de la fecha indicada, los clientes que utilicen versiones anteriores a la 2311 recibirán errores HTTP 400/401 al intentar acceder a los servicios, o bien verán los botones deshabilitados en la interfaz de usuario.

De acuerdo con la matriz MITRE ATT&CK, los vectores de ataque asociados a estas funciones incluyen:

– T1071.001 (Application Layer Protocol: Web Protocols)
– T1557 (Adversary-in-the-Middle)
– T1114 (Email Collection)

No se han reportado exploits públicos específicos asociados a estas funciones, pero la dependencia de servicios cloud y la transmisión de archivos multimedia implican riesgos inherentes de interceptación, man-in-the-middle y filtración de datos.

Impacto y Riesgos

La desactivación de estas funciones tendrá un impacto inmediato en la productividad de usuarios que dependen de la accesibilidad y la automatización de tareas de transcripción o dictado. Desde una perspectiva de seguridad, el uso de versiones obsoletas implica la exposición a vulnerabilidades no parcheadas, lo que incrementa el riesgo de explotación mediante técnicas de ingeniería inversa, suplantación de servicios cloud, y robo de credenciales OAuth.

En términos de cumplimiento, la transmisión de datos personales o confidenciales a servicios cloud sin el respaldo de versiones soportadas podría suponer una infracción del Reglamento General de Protección de Datos (GDPR) o de la Directiva NIS2, especialmente en sectores críticos o empresas sujetas a auditorías de ciberseguridad.

Medidas de Mitigación y Recomendaciones

Microsoft recomienda de forma explícita la actualización a la versión 2311 o posterior de Microsoft 365 Apps for enterprise. Las principales acciones a implementar son:

1. Realizar un inventario completo de versiones de Office en uso y planificar la migración progresiva.
2. Revisar las políticas de acceso a los servicios cloud de Microsoft, auditando el uso de credenciales y endpoints.
3. Configurar actualizaciones automáticas y aplicar parches de seguridad de forma regular.
4. Implementar controles de monitorización en los endpoints para detectar llamadas obsoletas a APIs deshabilitadas (IoC: errores HTTP 400/401, fallos de autenticación OAuth).
5. Comunicar a los usuarios el fin de servicio y proporcionar formación sobre alternativas y nuevas características en versiones soportadas.

Opinión de Expertos

Varios analistas SOC y responsables de cumplimiento normativo consideran que la retirada de estas funciones en versiones antiguas de Office 365 es una medida alineada con las mejores prácticas de ciberseguridad. “Mantener software obsoleto, especialmente en aplicaciones que procesan datos sensibles en la nube, constituye un vector de riesgo significativo”, apunta Luis Martínez, CISO de una consultora tecnológica en Madrid. “La actualización no sólo garantiza el acceso a nuevas funciones, sino que reduce la superficie de ataque y facilita el cumplimiento con normativas como GDPR o NIS2”.

Implicaciones para Empresas y Usuarios

La obsolescencia de funciones críticas puede desencadenar interrupciones operativas, especialmente en organizaciones con procesos de accesibilidad o automatización de contenidos basados en Office 365. Asimismo, el uso de versiones no soportadas puede dificultar la justificación ante auditores o reguladores en caso de incidente de seguridad, exponiendo a la empresa a sanciones económicas o reputacionales.

Desde un punto de vista estratégico, la migración a versiones actualizadas refuerza la resiliencia organizativa, habilita nuevas capacidades de defensa (Zero Trust, DLP, etc.) y mejora la gobernanza del dato en el ciclo de vida de la información corporativa.

Conclusiones

La decisión de Microsoft de desactivar funciones de transcripción, dictado y lectura en voz alta en versiones antiguas de Office 365 subraya la necesidad de mantener actualizado el software empresarial, no sólo por razones operativas, sino fundamentalmente de seguridad y cumplimiento. Las empresas deben acelerar la transición a versiones soportadas y reforzar los controles sobre la gestión de datos en la nube para minimizar riesgos y garantizar la continuidad de negocio.

(Fuente: www.bleepingcomputer.com)