Microsoft realizó importantes cambios a su función «Recall» para los nuevos PC Copilot+ después de recibir críticas de expertos en seguridad y privacidad. Recall tomará capturas periódicas de todo lo que se muestra en la pantalla del usuario, creando una línea de tiempo visual que permite a los usuarios recuperar contenido visto previamente.
Inicialmente, esta función almacenaba datos en una base de datos en texto, lo que lo hacía vulnerable a ataques de malware, según el experto en ciberseguridad Kevin Beaumont. Él fue uno de múltiples expertos de seguridad que señalaron que un atacante podría extraer fácilmente la base de datos y su contenido, lo que representa una amenaza significativa para la seguridad.
Recall ahora será una función opcional y estará desactivada por defecto, permitiendo a los usuarios decidir si desean habilitarla. Para activar Recall, será necesario inscribirse en Windows Hello, lo que significa que sólo los usuarios autenticados podrán acceder a la función. Se ha implementado la encriptación just-in-time, protegida por Windows Hello Enhanced Sign-in Security (ESS), lo que garantiza que las capturas de Recall solo se descifrarán cuando sea necesario, reduciendo el riesgo de acceso no autorizado.
Necesarios cambios en la seguridad de Recall
Microsoft ha subrayado que los datos procesados por su función se almacenan localmente y nunca se envían a Microsoft. Los usuarios podrán excluir aplicaciones o sitios específicos de ser capturados por esta y podrán deshabilitar la función en cualquier momento. Pavan Davuluri, vicepresidente corporativo de Windows y Dispositivos de Microsoft, declaró: «estamos añadiendo capas adicionales de protección de datos, incluyendo el descifrado justo a tiempo protegido por Windows Hello, de modo que las instantáneas de Recall solo se descifrarán y serán accesibles cuando el usuario se autentique».
Davuluri también mencionó que las preocupaciones de privacidad y seguridad surgieron en gran medida gracias a los investigadores de seguridad que señalaron estos problemas, lo que permitió a Microsoft abordar y corregir las vulnerabilidades antes del lanzamiento oficial.
Microsoft también ha introducido controles de privacidad que permiten a los usuarios deshabilitar ciertas URL y Apps para que no sean capturadas por Recall. Además, la función no almacenará material protegido por herramientas de gestión de derechos digitales ni capturas de sesiones de navegación privada.
