Recall, la nueva memoria fotográfica de Windows 11, está comprobando ser una pesadilla para la seguridad de las personas. Un reporte muestra que la nueva característica impulsada por la inteligencia artificial tiene un fallo crucial que expone los datos del usuario. Pese a que el modelo se ejecuta de manera local en el ordenador, no agrega ningún tipo de protección a la información que registra.
Esto ha sido confirmado por Kevin Beaumont, un experto en ciberseguridad que descubrió que el historial de Recall se almacena en un documento de texto sin cifrar. Beaumont, quien trabajó en Microsoft hace algunos años, consiguió ejecutar esta característica en un ordenador ARM sin NPU para conocer su funcionamiento. Tras efectuar unas pruebas de seguridad encontró una vulnerabilidad que permitiría a un tercero acceder a todo lo que hiciste en tu ordenador.
Beaumont detalla en su blog que Recall realiza una captura de pantalla cada pocos segundos, a las cuales se efectúa un reconocimiento óptico de caracteres (OCR) por medio de Azure AI. La información se almacena en una base de datos SQLite en la carpeta del usuario, la cual incluye un registro de todo lo que has visto en tu ordenador. De acuerdo con el experto, esta base incluye cada fragmento de texto que haya visualizado, las webs que visitas, cada interacción con el software, incluidos los mensajes que envíes por WhatsApp, Signal o Teams.
En términos de seguridad, la base de datos solo cuenta con cifrado en reposo, que la protege cuando alguien roba físicamente tu ordenador. El archivo se guarda dentro de la carpeta App Data de Windows y no requiere contar con permisos de administrador para acceder a él. Debido a que los datos se desencriptan al usar Recall, un atacante podría insertar un troyano para recopilar tu información sin que te des cuenta.
Recall rompe la promesa de seguridad de Windows
El experto en ciberseguridad generó un script que automatiza el proceso de extraer los datos y cargarlos en una web para efectuar una búsqueda. Según Beaumont, la base de datos pesa unos 90 kb y puede incluir varios meses de documentos e interacciones con el software. Un hacker podría modificar un troyano para adaptarlo a Recall y extraer toda tu información antes de que Microsoft Defender pueda evitarlo.
La base podría incluir datos bancarios, contraseñas y otro tipo de información confidencial, puesto que Recall no bloquea la captura de este contenido. Una vez extraídos, se venderían en la dark web al mejor postor. "Actualmente, existen mercados de credenciales donde puede comprar contraseñas robadas; pronto podrá comprar datos de clientes robados de compañías de seguros, etc., ya que Microsoft ha preinstalado y habilitado el código completo para hacerlo en Windows."
Kevin Beaumont añadió que está reteniendo los detalles técnicos para que Microsoft tome cartas en el asunto. Tras el descubrimiento, el autor cargó contra la compañía y la acusó de mentirles a los usuarios sobre los peligros de Recall. La función se activará por defecto durante la configuración de los Copilot+ PC, por lo que millones de personas quedarán vulnerables.
"Muchos usuarios de Windows solo quieren sus PC para poder jugar, ver pornografía y vivir sus vidas como seres humanos que cometen errores que no siempre quieren recordar", declaró. "La idea es que otras personas con acceso al dispositivo puedan ver un recuerdo fotográfico es muy aterrador para muchos Windows es una experiencia personal. Esto hace añicos esa creencia."
Ante las preocupaciones sobre la privacidad de tus datos, Microsoft declaró hace unos días que el usuario tiene el control para desactivar esta función. "Incorporamos privacidad y seguridad en el diseño de Recall desde cero. Sus instantáneas se almacenan de forma segura únicamente en su dispositivo local", dijo la empresa.