Microsoft ha tenido que luchar mucho para convencer a la gente de que vale la pena usar la nueva función Recall de Copilot+. Cuando la vimos por primera vez, nos sorprendió que pudiera recordar cómo usas tu PC y recordar cosas como los mensajes de texto que recibiste, las aplicaciones que abriste y los sitios web que visitaste. Luego descubrimos que Recall podía hacer esto porque tomaba una captura de pantalla de todo tu escritorio cada vez que quería recordar algo y, de repente, ya no era tan emocionante.

Microsoft se apresuró a tranquilizar a la gente diciendo que Recall no sería una amenaza para la privacidad, afirmando que todos los datos que recopilaba estaban encriptados y no podían ser utilizados por nadie excepto el usuario final. Y luego, el experto en ciberseguridad Kevin Beaumont descubrió queRecall guarda toda su información como texto sin formato en una base de datos MySQL, lo que hizo que la gente volviera a preocuparse. Y luego, Microsoft finalmente dio marcha atrás ycambió el funcionamiento de Recall, incluida la desactivación predeterminada. Sin embargo, el servicio aún necesita mucho trabajo antes de su gran lanzamiento, o de lo contrario, Microsoft puede estar entrando de cabeza en problemas legales.

Tener registros de texto sin formato deja a Recall expuesto a piratas informáticos remotos

Si alguien obtiene acceso a la base de datos, puede causar daños graves.

Una de las mayores defensas que tenía Microsoft para Recall era su cifrado. La idea es que, si un atacante remoto intenta acceder a las capturas de pantalla que está tomando Recall, BitLocker las cifra automáticamente y, por lo tanto, le impide robar información. Este fue un argumento lo suficientemente sólido para que Microsoft justificara que Recall se ejecutara en los equipos de los usuarios de forma predeterminada.

Sin embargo, el descubrimiento de Kevin Beaumont de la base de datos MySQL de texto simple pone en tela de juicio este argumento. Si Microsoft distribuye Recall en su estado actual, hay muchas posibilidades de que agentes maliciosos puedan encontrar una forma de obtener este archivo y leer todos los registros que Recall mantiene. Recall utiliza la base de datos para almacenar su memoria mirando la captura de pantalla, obteniendo el texto que ve y escribiéndolo en la base de datos. De este modo, obtener esta base de datos le proporciona a un agente malicioso todos los correos electrónicos, mensajes de texto, sitios web visitados de la víctima... lo que sea.

Relacionado

Cómo deshabilitar Microsoft Copilot

Microsoft Copilot puede interferir con tu experiencia en Windows. Si es así, aquí te explicamos cómo desactivarlo.

Publicaciones1

A Recall no le importa lo que almacena: guardará todo lo que pueda ver.

Hay muchos datos personales en juego

El escenario descrito anteriormente no habría sido tan grave si Recall no guarda ningún dato personal. Sin embargo, Kevin Beaumont también señala que a Recall realmente no le importa lo que guarda. Como se afirma enDouble Pulsar:

P. ¿Qué tipo de cosas hay en la base de datos?

A. Todo lo que un usuario ha visto, ordenado por aplicación. Todo el texto que ha visto el usuario, con algunas excepciones menores (por ejemplo, el modo InPrivate de Microsoft Edge está excluido, pero no Google Chrome).

Cada interacción del usuario, por ejemplo, minimizar una ventana. Existe una API para la actividad del usuario y se pueden conectar aplicaciones de terceros para enriquecer los datos y también ver los datos de la tienda.

También almacena todos los sitios web que visitas, incluso si son de terceros.

P. Si elimino un mensaje de correo electrónico/WhatsApp/Signal/Teams, ¿se elimina de Recall?

A. No, permanece en la base de datos indefinidamente.

Por lo tanto, los datos confidenciales podrían caer en manos equivocadas si alguien logra hacerse con los datos de Recall. Estamos hablando de información ingresada en sitios web bancarios, mensajes que se suponía que debían ser secretos, archivos multimedia eliminados y todo lo que puedas imaginar. Podría tener un gran impacto en la vida de las personas si esta información se filtra en línea.

Relacionado

Microsoft Copilot+: todo lo que puedes hacer con tu nueva PC con IA

Las PC con IA ya están aquí y hay mucho que puedes hacer con ellas

Publicaciones

Los ojos del gobierno ya están puestos en Copilot+

Microsoft no puede deslizar el Recall bajo las narices de quienes hacen las leyes

Desafortunadamente para Microsoft, la gente va a estar analizando Copilot+ con ojo escrutador en el momento en que se lance la actualización. Desde que se anunció Recall, Microsoft ha estado bajo el escrutinio de los gobiernos que están preocupados por esta nueva tecnología y cómo puede afectar a sus ciudadanos. Por ejemplo, como informóla BBC, a un organismo de control del Reino Unido no le gustó el sonido de los problemas de privacidad de Recall y abrió comunicaciones con el gigante de Redmond para solicitar más información sobre la función. Como tal, puede estar seguro de que los investigadores estarán presionando las defensas de Recall en el momento en que esté disponible, y si encuentran algo malo, podría causarle grandes problemas a Microsoft.

Relacionado

Copilot, Copilot Pro y Copilot+: análisis de los confusos productos de inteligencia artificial de Microsoft

¿Está confundido con los productos Copilot de Microsoft? Estamos aquí para ayudarlo.

Publicaciones

Microsoft debe tener cuidado con la retirada de productos

En su estado actual, Microsoft puede meterse en serios problemas legales si continúa con la implementación de Recall. Si las afirmaciones de Kevin Beaumont son ciertas y los agentes remotos pueden robar las actividades informáticas de las personas a través de una base de datos de texto simple, podría ser catastrófico para cualquiera que se vea afectado por los ataques. Por lo tanto, sería mejor que Microsoft, irónicamente, retirara Recall por el momento hasta que lograra eliminar estos agujeros de privacidad. Si decide tirar la precaución por la borda y seguir adelante para superar a sus competidores, puede terminar haciendo más daño que bien.