Windows Recall, la función que graba la pantalla del usuario a intervalos regulares, ha sido calificada de "pesadilla para la privacidad" debido a los riesgos que presenta para la privacidad y la seguridad de los datos. Anunciada por Microsoft el lunes, la herramienta, que funciona con inteligencia artificial generativa, graba "instantáneas" de la pantalla de un usuario cada cinco segundos para proporcionar un historial de acciones que se pueden buscar durante un período de tres meses. La función estará disponible en versión preliminar en las PC Copilot+ que Microsoft y otros proveedores comenzarán a vender a mediados de junio. "Se han tomado medidas para proteger los datos de Recall", dijo Microsoft. Los datos registrados se almacenan y procesan localmente y se protegen mediante cifrado en el dispositivo del usuario, y el usuario puede excluir aplicaciones y sitios web que desee mantener privados. Recall también se puede detener en cualquier momento. Sin embargo, como señaló Microsoft, Recall, que está habilitado de forma predeterminada, no realiza "moderación de contenido", lo que significa que la herramienta no ocultará información confidencial como contraseñas, números de cuentas bancarias o cualquier otra cosa que pueda aparecer en la pantalla de una PC.

La capacidad de Recall para registrar y almacenar tantos datos confidenciales de los usuarios pronto generó críticas sobre los riesgos para la privacidad y la seguridad. “Una herramienta de captura de pantalla y keylogger integrada que captura sin problemas todo lo que haces en tu máquina durante un período de tiempo es una pesadilla para la privacidad, y dudo que el usuario promedio se beneficie de ella”, dijo Jeff Pollard, vicepresidente y analista principal de Forrester. “Mi primer pensamiento es que esto podría salir terriblemente mal muy rápidamente”, dijo John Scott, investigador principal de seguridad en el proveedor de software de seguridad CultureAI. “Los riesgos de seguridad son el problema más importante”, dijo Douglas McKee, director ejecutivo de investigación de amenazas en la empresa de seguridad de redes SonicWall. “El anuncio de Microsoft Recall es otro recordatorio de que los avances en IA y tecnología pueden ser muy convenientes a expensas de la seguridad”, dijo en un comunicado. “Si bien Microsoft Recall plantea muchas preocupaciones sobre la privacidad, la amenaza real radica en el uso potencial que los atacantes harán de esta función”, agregó.

Índice
  1. Una puerta abierta a los datos de los usuarios
  2. Una característica muy preocupante para la seguridad

Una puerta abierta a los datos de los usuarios

McKee dice que obtener acceso inicial a un dispositivo hace que un ataque sea mucho más fácil, y es mucho más fácil que obtener una escalada de privilegios, "pero con Microsoft Recall, el acceso inicial proporciona lo esencial de lo que se necesita para robar potencialmente información sensible como contraseñas o secretos comerciales de la empresa". Los piratas informáticos que pueden entrar en un PC con Recall instalado podrían tener acceso a todo lo que el usuario ha hecho durante unos tres meses, incluidas contraseñas, datos bancarios en línea, mensajes sensibles, registros médicos u otros documentos confidenciales. Recall podría hacer que el robo de datos sensibles sea mucho más fácil que otras modalidades de ataque como la instalación de software de registro de pulsaciones de teclas o de pantalla, que podría atraer más atención. (Según Microsoft, se coloca un icono de Recall en la barra de estado de Windows para indicar que se están tomando instantáneas). "¿Por qué instalar software de registro de teclas cuando puedes simplemente habilitar una característica que está integrada en el sistema?", preguntó Scott. Es una forma diferente de atacar, pero es una que no existía antes de que Microsoft dijera: "Estamos tomando una captura de pantalla cada cinco segundos" y, lo que es más importante, una captura de pantalla visible cada cinco segundos. “Con este lanzamiento, Microsoft da el siguiente paso en la minería de datos”, afirmó Pollard. Microsoft se negó a responder a una solicitud de comentarios sobre las preocupaciones de seguridad.

Aparte del riesgo de ciberataques, también se han planteado preocupaciones sobre la privacidad de los datos. En el Reino Unido, la Oficina del Comisionado de Información, una agencia gubernamental responsable de hacer cumplir los derechos de privacidad de los datos, dijo el miércoles que había escrito a Microsoft sobre Recall para "entender las salvaguardas establecidas para proteger la privacidad de los usuarios". La cantidad de datos almacenados y recopilados en la computadora de un usuario podría volverse problemática a la hora de cumplir con las reglas de protección de datos. "Uno de los aspectos del RGPD de la UE es la proporcionalidad", dijo Scott. "Con Recall, el usuario está acumulando un enorme tesoro de datos personales, propios y de otras personas, y no parece haber una razón muy clara para hacerlo", dijo. Además de la información personal del usuario, Recall podría recopilar y almacenar datos de colegas, clientes u otros terceros. Por ejemplo, durante una videollamada, "¿Puede Recall tomar una instantánea de la pantalla cada cinco segundos sin el permiso explícito de los interlocutores para grabar imágenes con sus nombres?" Sobre todo porque "hay suficientes elementos para identificar con seguridad al corresponsal, lo que supone un enorme problema". Y si los datos se almacenan localmente, cabe preguntarse si mañana no podrán guardarse en otro lugar o incluso alojarse en los servidores en la nube de Microsoft.

Una característica muy preocupante para la seguridad

Justin Lam, analista principal de seguridad de la información en S&P Global Market Intelligence, dijo que las empresas están acostumbradas a gestionar los riesgos de seguridad y privacidad, y que eso no debería necesariamente impedir el uso de herramientas que han demostrado ser beneficiosas para los usuarios y las empresas. “Las empresas necesitan equilibrar la privacidad del usuario con la productividad, la gestión de riesgos internos, la supervisión y el cumplimiento”, dijo. “Dicho esto, también deberían considerar las ganancias generales de productividad individual que pueden proporcionar herramientas como Recall y Copilot”. Sin embargo, otros recomiendan que las empresas eviten utilizar este tipo de herramientas. “Si bien la capacidad de buscar en el historial de uso puede ahorrar tiempo y aumentar el rendimiento, el riesgo de que las pequeñas empresas utilicen esta función es demasiado grande”, agregó McKee de SonicWall. “Primero, si es posible, no la habiliten”, aconsejó Pollard de Forrester. “También preferiría tener la capacidad de deshabilitarla a través de la Política de grupo si está disponible. Además, si la función se habilita en algún momento, me gustaría que la telemetría me notificara que está habilitada para poder determinar si un usuario tenía la intención de habilitarla o si es el trabajo de un atacante que busca recopilar datos". Según la página de administración de Microsoft, aquellos que no quieran usar Recall pueden deshabilitar la función utilizando la política "Deshabilitar el guardado de instantáneas para Windows", que también eliminará cualquier instantánea ya guardada en el dispositivo. "Para las empresas, los administradores de TI pueden deshabilitar el guardado automático de instantáneas utilizando la Política de grupo o una política de administración de dispositivos móviles", explica Microsoft en su sitio de soporte.

Como Recall todavía está en versión preliminar, podrían realizarse cambios antes de que esté disponible para el público en general. Lam dijo que la compañía podría mejorar la función y aliviar las preocupaciones de seguridad y privacidad. “Recall podría, por ejemplo, 'olvidar' más de las acciones que ha registrado”, sugirió. “Recall podría mantener un historial durante un período de tiempo más corto o limitarse a un alcance más estrecho. Lo que perdería en precisión, lo ganaría en confianza del usuario”. Las capacidades de inteligencia artificial de Windows también podrían mejorar hasta el punto en que podría clasificar de manera más efectiva los datos que registra Recall. Windows Copilot también podría proporcionar una “guía forzada”, anticipando e incitando a los usuarios a dejar de grabar su pantalla por completo. “En este momento, es difícil ver cómo se podría usar esto de manera segura”. “Representa un riesgo en general, y ningún control de seguridad o privacidad me impulsaría hoy a habilitarlo en un sistema que uso”, dijo.