Microsoft presentó recientemente unanueva versión de OutlookparaPC con Windows. Fue diseñada para reemplazar al obsoleto Windows Mail y al clásico Outlook, por lo que presenta un diseño nuevo y elegante e integraciones en la nube significativamente más estrechas, al tiempo que combina su correo electrónico y calendario en una sola aplicación. También presentanuevas funciones de inteligencia artificial generativa, incluida la asistencia para la escritura y "otras funciones avanzadas de inteligencia artificial".

Sin embargo, la aplicación también plantea algunos problemas de privacidad graves. Según una investigación del blog alemánheise.de, que hemos podido reproducir en XDA, parece que la nueva aplicación Outlook está mucho más integrada con la nube de lo que un usuario podría esperar, lo que abre la posibilidad de que Microsoft recopile datos. Esto representa un problema de privacidad importante, por lo que hay muchas preguntas que Microsoft necesita responder sobre las expectativas de los usuarios.

Qué puedes esperar del nuevo Outlook

El correo electrónico sigue siendo correo electrónico, ¿verdad?

La nueva versión de Outlook está disponible desde septiembre de 2023 y ha introducido una serie de nuevas funciones. La aplicación ya incluyenuevas funciones de Copilot AIy Microsoft ha declarado que tiene la intención de que la nueva versión de Outlook reemplace la aplicación Outlook existente en un plazo de dos años. La compañía también ha anunciado una lista más amplia denuevas funciones, en particular en torno a las capacidades de inteligencia artificial. La nueva aplicación también tiene una nueva interfaz de usuario, que la hace más acorde con las versiones en la nube de las aplicaciones de oficina de Microsoft, así como una integración más estrecha con otros servicios de Office como Calendario y Word.

La nueva versión de Outlook estádisponible en Microsoft Storecomo Outlook para Windows. Una vez instalada, la aplicación se encuentra en el menú Inicio comoOutlook (nuevo).

El nuevo Outlook tiene un comportamiento problemático

Es posible que no te des cuenta de lo que te estás metiendo

Al abrir el nuevo cliente de Outlook por primera vez, se le solicita al usuario que inicie sesión, como ocurre con cualquier otro cliente de correo electrónico. Si ingresa una dirección de correo electrónico con un proveedor común, comoGmailo iCloud, el cliente utilizará un flujo de trabajo Oauth2 para autenticarse con su navegador. Si ingresa un dominio de terceros, se le solicitará una contraseña IMAP (si es compatible). Todo esto es muy normal para un cliente de correo electrónico.

Sin embargo, una vez que se haya autenticado, se le mostrará una ventana inofensiva que le informará que, para usar la nueva versión de Outlook, Microsoft deberá sincronizar sus correos electrónicos, eventos y contactos con Microsoft Cloud. Hay una opción de cancelación disponible, pero no hay ninguna opción para rechazarla y continuar usando su cliente. Se proporciona unenlace de soportecon más información, que explica que el acceso habilita funciones como la búsqueda de correo, una bandeja de entrada enfocada o reuniones periódicas, pero no se hace una declaración clara de los límites de esta recopilación de datos.

Fuente: Microsoft

A partir de esta advertencia, un usuario podría suponer razonablemente que el cliente de correo electrónico en el que está iniciando sesión seguirá actuando como cliente de correo electrónico y que el cliente podría enviar algunos datos limitados para su procesamiento en la nube. Sin embargo, ese no es el caso. En lugar de que su cliente de correo electrónico se autentique, sus credenciales se transfieren a la nube de Microsoft, que realiza la autenticación en su nombre. A partir de este punto, todo el procesamiento (incluida la obtención de sus correos electrónicos) se gestiona en la nube. No pudimos observar ningún tráfico que viajara directamente desde el cliente a nuestro proveedor de correo electrónico.

Esto es así tanto para los flujos de trabajo de OAuth como de IMAP, pero es más visible cuando se realiza la autenticación con un servidor IMAP de terceros. En este caso, el cliente de Outlook toma las credenciales IMAP proporcionadas por su proveedor de correo electrónico para acceder a la aplicación y las transfiere directamente a la nube de Microsoft a través de TLS. Podríamos reproducir esto configurando un proxy transparente de intermediario entre Internet y el cliente de Outlook para interceptar el tráfico cifrado. En la captura de pantalla a continuación, nuestra contraseña de aplicación generada a partir de un proveedor de correo electrónico de terceros se comparte y almacena directamente con los servidores de Microsoft. La respuesta a esta solicitud es un token de acceso y actualización que se utiliza para mantener una sesión autenticada persistente con los servidores de Microsoft.

¿Es un cliente de correo electrónico o no?

Outlook (nuevo) hace menos cosas localmente de lo que crees

Crédito de la imagen: Microsoft

El proveedor de correo electrónico que estamos utilizando para este ejemplo registra la dirección IP y la hora de acceso de cada nuevo inicio de sesión. Si el cliente de Outlook se comunicaba directamente con nuestro servidor de correo (es decir, actuaba como debería hacerlo un cliente), la dirección IP que registra el proveedor de correo electrónico debería ser la misma que la del equipo en el que ejecutamos Outlook. En cada caso que probamos esto, no se registró ninguna conexión desde nuestra dirección IP de casa. En cambio, las conexiones IMAP/SMTP iniciales provenían de una dirección IP 52.xxx. Una rápida búsqueda de WHOIS muestra que esta dirección IP está registrada en Microsoft. Esto demostraría que el "cliente" de Outlook no es nada de eso, que actúa completamente como un envoltorio de los servicios en la nube de Microsoft y que nuestro cliente local nunca ha iniciado sesión en absoluto.

En este caso, el usuario tiene un problema claro. Con solo iniciar sesión en el nuevo cliente de Outlook, ha proporcionado a Microsoft Cloud un acceso general y sin restricciones a toda su cuenta de correo electrónico. La única mención de privacidad de Microsoft en la página de soporte vinculada es un conjunto de enlaces a su declaración de privacidad y acuerdos de servicio, que permiten un acceso general a sus datos para mejorar los productos y servicios de Microsoft. Al menos cuando se autentica con OAuth2, la mayoría de los proveedores de correo electrónico ofrecen algún tipo de resumen de privacidad (similar al ejemplo de Google que se muestra a continuación). Cuando se autentica con IMAP, normalmente se le da al usuario incluso menos advertencia, ya que la mayoría de los proveedores de correo electrónico asumen que los "clientes" de correo electrónico al menos actúan como clientes, no como puertas de enlace a la nube. También es importante señalar que no hay una forma obvia de rechazar esta integración en la nube al iniciar sesión en cualquier cuenta de correo electrónico, o una forma de usar el cliente en un modo con las funciones de IA relevantes deshabilitadas.

¿No están de todos modos mis datos en la nube?

Si utiliza un proveedor de correo electrónico en la nube, sus datos estarán en la nube de todos modos. La diferencia aquí es que sus datos están en "su" nube, es decir, en una cuenta que usted controla. El nuevo Outlook se está utilizando en efecto como un caballo de Troya, para permitir que Microsoft extraiga los datos de los usuarios de "su" nube a la suya, donde usted puede o no tener una cuenta con un control limitado sobre cómo se utilizan sus datos o qué se conserva después de cerrar su cliente "local".

Puede hacer lo mismo en los portales web de algunos proveedores de correo en línea (es decir, agregar una cuenta de correo de terceros para sincronizar con Gmail), pero esto generalmente a) no se hace a través de un cliente local que se ejecute en el escritorio, lo que sería una indicación más clara de que está otorgando acceso a la nube del proveedor, y b) es un proceso más activo que simplemente iniciar sesión en un cliente, generalmente con indicaciones más claras sobre qué datos serán accesibles y dónde.

La descarga de la funcionalidad del cliente de correo electrónico a la nube también elimina la capacidad de los ingenieros de seguridad o los investigadores de inspeccionar fácilmente lo que está haciendo el cliente. Es posible realizar un seguimiento de las solicitudes realizadas a sus datos desde Microsoft (aunque es complicado, ya que un usuario necesitaría ejecutar su propio servidor de correo electrónico con acceso a sus registros), pero esto no permite ninguna indicación sobre cuánto procesamiento adicional, si es que hay alguno, se está llevando a cabo. También es importante recordar que este acceso es continuo. Ya no es posible detener el acceso de Microsoft a sus correos electrónicos simplemente cerrando Outlook. Los usuarios pueden iniciar sesión en Outlook en su escritorio para probarlo, decidir que no les gusta y simplemente dejar de usarlo sin cerrar la sesión. Hasta que el usuario cierre la sesión (o revoque la sesión en otro lugar), Microsoft conservará el acceso continuo a sus datos.

Precedentes peligrosos para los datos

Incorporar con calzador la recopilación de datos a clientes locales puede ser un paso demasiado lejos

La recopilación de datos es, en definitiva, algo a lo que todos estamos acostumbrados, nos guste o no. Sin embargo, la falta de transparencia en la divulgación por parte de Microsoft y el uso de aplicaciones de escritorio para llevar los datos de los usuarios a la nube son preocupantes. Los acuerdos de licencia sutilmente aceptados por Microsoft permiten una recopilación de datos casi ilimitada para la mejora o creación de nuevas herramientas de Microsoft, incluido el uso de los datos de correo electrónico para entrenar la IA generativa u otras herramientas.

No se aclara en ningún momento si la aplicación de escritorio de Outlook actuará como un contenedor exclusivo de servicios en la nube, ni cuáles son los límites y las circunstancias en las que Microsoft accederá a sus datos en la nube. Dado el alcance de la iniciativa de Microsoft de incorporar nuevas integraciones de inteligencia artificial basadas en la nube y la falta de garantías de que no será así, es razonable suponer que Microsoft podría estar utilizando este tipo de datos con fines de formación o prueba.

Esto también puede ser un problema grave para las empresas. Un usuario final corporativo podría proporcionar sin saberlo a Microsoft acceso a grandes volúmenes de datos comerciales o empresariales sensibles, posiblemente infringiendo requisitos normativos o de seguridad. Si estos datos se utilizaran para entrenar a IA generativas u otros modelos de aprendizaje automático que se publican, es posible que algunos aspectos de esos datos pudieran quedar expuestos a cualquier persona a la que pudiera acceder. Tomemos un escenario potencial muy real en un contexto empresarial altamente regulado como el financiero o el sanitario. Un usuario podría iniciar sesión en Outlook con las credenciales del proveedor de correo electrónico de su empresa, enviando involuntariamente cualquier dato sensible de su bandeja de entrada de correo electrónico a la nube de Microsoft sin el conocimiento de los administradores.

Ya sea un usuario avanzado en una empresa, un administrador de sistemas que supervisa una red o un usuario final que busca un nuevo cliente de correo electrónico, es importante conocer las implicaciones de privacidad que implica iniciar sesión con Outlook. Microsoft, si bien ofrece una revelación de que sincronizará los datos con la nube, se está tomando muchas más libertades de las que un usuario esperaría razonablemente teniendo en cuenta el alcance de su acceso y el rol del cliente.