AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**La ACCC demanda a Microsoft por presunta publicidad engañosa de Copilot en Microsoft 365**

admin

### Introducción

El organismo regulador australiano de la competencia y el consumidor, Australian Competition and Consumer Commission (ACCC), ha iniciado una acción legal contra Microsoft Corporation por presuntas prácticas de publicidad engañosa relacionadas con la comercialización de su asistente de inteligencia artificial, Copilot, integrado en el servicio Microsoft 365. La demanda afecta a cerca de 2,7 millones de usuarios australianos, principalmente empresas y profesionales, quienes, según la ACCC, habrían sido inducidos a pagar por una funcionalidad que no recibieron en las condiciones prometidas.

### Contexto del Incidente

La denuncia presentada por la ACCC se centra en la comunicación y el proceso de adquisición de Copilot AI en el ecosistema Microsoft 365, entre enero de 2023 y junio de 2024. Durante este periodo, Microsoft promovió activamente la integración de Copilot como un valor añadido en su suite ofimática en la nube, dirigida tanto a grandes organizaciones como a pymes y usuarios individuales. La autoridad australiana sostiene que la información facilitada por Microsoft inducía a error respecto a la disponibilidad y funcionalidad real del asistente de IA, lo que ha podido derivar en un perjuicio económico significativo y en la vulneración de la normativa de protección al consumidor.

### Detalles Técnicos

Desde el punto de vista técnico, el foco de la demanda reside en la integración de Copilot AI con los servicios de Microsoft 365 y la gestión de licencias asociadas. La ACCC alega que Microsoft promovió la suscripción o el pago adicional por Copilot sin que la funcionalidad estuviera realmente disponible para todos los usuarios que la adquirieron. En particular, existen indicios de que el proceso de activación de Copilot requería configuraciones adicionales, permisos específicos de administradores o incluso la disponibilidad de versiones de software concreto (por ejemplo, Microsoft 365 E3/E5, Office 365 E3/E5, determinadas compilaciones de Windows 11, etc.).

No se han reportado exploits públicos ni vulnerabilidades de seguridad asociadas (no existen CVE vinculados a este caso), pero el incidente podría considerarse un riesgo en términos de ingeniería social y manipulación de la percepción mediante técnicas de deception, que en el marco MITRE ATT&CK se reflejan en la táctica TA0006 (Credential Access) y la técnica T1204 (User Execution), aunque en esta ocasión el objetivo es el usuario final desde una perspectiva de marketing engañoso y no de ataque técnico.

En cuanto a Indicadores de Compromiso (IoC), este incidente no involucra malware ni actividad maliciosa detectable mediante herramientas tradicionales de defensa (EDR, SIEM, etc.), pero sí plantea la necesidad de monitorizar la activación y uso real de funcionalidades de IA en entornos corporativos, especialmente en relación con la gestión de identidades y derechos de acceso en Azure Active Directory y Microsoft Entra ID.

### Impacto y Riesgos

La afectación estimada se sitúa en 2,7 millones de usuarios, lo que representa un porcentaje relevante de la base de clientes empresariales de Microsoft 365 en Australia. El impacto económico potencial, aunque aún no cuantificado oficialmente, podría alcanzar decenas de millones de dólares australianos en concepto de devoluciones o compensaciones.

Desde una perspectiva de riesgo, el incidente subraya la importancia de la transparencia en la comercialización de tecnologías emergentes como la inteligencia artificial. Para los responsables de ciberseguridad, la preocupación se centra en la posibilidad de que los usuarios adquieran servicios no disponibles o mal implementados, lo que puede traducirse en una falsa sensación de seguridad o en una dependencia de funcionalidades críticas inexistentes.

A nivel regulatorio, la demanda de la ACCC podría sentar un precedente en la aplicación de la Ley Australiana del Consumidor (ACL), equiparable en el contexto europeo a la Directiva sobre Prácticas Comerciales Desleales y el GDPR en lo relativo a la transparencia en el tratamiento de datos y la obligación de informar de manera clara y veraz.

### Medidas de Mitigación y Recomendaciones

Para las organizaciones afectadas, se recomienda:

– Realizar una auditoría de licencias y funcionalidades realmente disponibles en las suscripciones de Microsoft 365.
– Verificar con los administradores de TI la activación y el acceso efectivo a Copilot AI, contrastando la documentación oficial de Microsoft y los canales de soporte.
– Revisar las facturaciones y solicitar compensaciones en caso de haber pagado por funcionalidades no entregadas.
– Documentar los procesos de adquisición de nuevas tecnologías y aplicar políticas internas de due diligence en la evaluación de ofertas de IA.

Desde el punto de vista legal, conviene estar al tanto de la evolución del caso y de las posibles reclamaciones colectivas o acciones regulatorias similares en otros mercados, especialmente en la Unión Europea bajo la NIS2 y el GDPR.

### Opinión de Expertos

Especialistas en derecho digital y ciberseguridad han señalado a BleepingComputer que este caso pone de manifiesto la creciente necesidad de alinear las estrategias de comercialización tecnológica con los marcos regulatorios de transparencia y protección al consumidor. Según fuentes consultadas, “la opacidad en la oferta de servicios de IA puede derivar tanto en pérdidas económicas como en un deterioro de la confianza en la marca, afectando no solo a usuarios finales sino también a la integridad de los sistemas empresariales que dependen de esas soluciones”.

### Implicaciones para Empresas y Usuarios

Para los CISOs, analistas SOC, pentesters y consultores, este incidente refuerza la importancia de evaluar no solo la seguridad técnica sino también la veracidad de las funcionalidades ofertadas por los proveedores cloud. El uso de inteligencia artificial en entornos empresariales debe ir acompañado de mecanismos de control, validación y reporte de uso efectivo, evitando la compra de soluciones bajo promesas no cumplidas.

Las empresas deben considerar la posibilidad de establecer cláusulas contractuales específicas sobre la entrega y soporte de nuevas tecnologías, y reforzar la formación en lectura crítica de ofertas y contratos SaaS.

### Conclusiones

El litigio entre la ACCC y Microsoft por la comercialización de Copilot AI en Microsoft 365 constituye un hito en la regulación de la inteligencia artificial y los servicios cloud, con implicaciones directas para la gestión de riesgos tecnológicos y la protección del consumidor en el sector TIC. La transparencia, la auditoría interna y la alineación con la legislación vigente serán factores clave para evitar incidentes similares y preservar la confianza en la adopción de nuevas soluciones de IA.

(Fuente: www.bleepingcomputer.com)