Blog

Cuáles son los riesgos de privacidad de usar Windows Recall

Cuáles son los riesgos de privacidad de usar Windows Recall

Windows Recall es una función asistida por Inteligencia Artificial que crea y guarda automáticamente instantáneas de la pantalla del ordenador mientras se está utilizando el dispositivo. Eso significa que cualquier cosa que estemos haciendo queda registrada.

Estas instantáneas se almacenan localmente (no están disponibles a través de la nube o Internet) se cifran y se indexan.

¿El objetivo? Según ellos, productividad mejorada.

Mediante esta función puedes buscar en tu historial digital y encontrar exactamente lo que estabas haciendo hace días u horas:

  • Recall puede ayudarte a encontrar contenido que de otro modo podrías haber olvidado, lo que te ahorra tiempo y esfuerzo. 
  • La búsqueda mediante lenguaje natural hace que encontrar una información específica dentro de las instantáneas sea intuitivo y fácil.

Para que Recall funcione, Microsoft requiere que BitLocker y Windows Hello Enhanced Sign-in Security (ESS), estén habilitados:

  • BitLocker protege tus datos mientras se almacenan.
  • ESS garantiza que solo los usuarios autorizados puedan desbloquearlos mediante un PIN, o un método biométrico como la huella digital o el reconocimiento facial.

Windows también protege los datos almacenados con una tecnología llamada VBS Enclaves. Una  especie de área cerrada separada de todos los demás programas.

Sin duda, eso debería proporcionar una base sólida para la seguridad de los datos

Pero si bien su intención es ayudar a la productividad (en este sentido es bastante útil), plantea importantes cuestiones de privacidad.

Especialmente en entornos profesionales o regulados como los servicios de salud.

Microsoft dice que Recall filtra automáticamente información confidencial, como por ejemplo números de tarjetas de crédito, y contraseñas, para que no aparezcan en las instantáneas. El filtro está activado de forma predeterminada.

Pero, pruebas independientes han demostrado que se le escapan algunas cosas.

Hay ciertos detalles que Microsoft no clasifica como “sensibles”, pero que pueden revelar información bastante personal.

Por ejemplo, nombres y apellidos, direcciones postales, o fechas de nacimiento.

Es posible excluir manualmente de Recall ciertas aplicaciones y sitios web

Pero hacer eso requiere una supervisión constante, lo que implica tener que dedicar tiempo y energía para ajustar los filtros y vaciar la base de datos regularmente.

Muchas veces hay que hacerlo a través de las políticas de grupo (en entornos corporativos), el registro de Windows o PowerShell.

E incluso entonces, es prácticamente imposible controlar lo que otros comparten con nosotros (o sobre nosotros) en conversaciones privadas desde sus propios dispositivos con Windows 11.

Y si utilizamos un ordenador público, con permisos inexistentes o mal configurados, cualquiera que venga detrás podrá hacer una visita guiada a todo lo que hemos estado haciendo.

La cosa puede complicarse en el trabajo 

Los administradores de TI pueden habilitar la función a nivel del sistema. Pero solo los usuarios finales pueden activarla en sus terminales, ya que la función permanece desactivada de forma predeterminada.

Por otro lado, según el Reglamento General de Protección de Datos (GDPR) requiere el consentimiento explícito de la persona que utiliza el dispositivo.

Hasta aquí, todo muy bien.

Pero en la práctica, ese consentimiento explícito puede no ser verdaderamente voluntario.

Puede que los empleados desconozcan lo que es Windows Recall y si está habilitado en sus terminales. Esta falta de transparencia puede llegar a comprometer su privacidad sin su conocimiento.

Imagina por un momento que la empresa para la que trabajas lanza una Investigación corporativa (por ejemplo, para rastrear una amenaza interna o una fuga de datos).

En estos caso, es posible que los equipos de TI deban inspeccionar los datos de múltiples dispositivos.

Y si alguna vez has tenido la pésima idea de utilizar tu ordenador de trabajo para algo muy personal, parte de tu vida privada podría verse expuesta.

¿Cómo saber si un equipo tiene Windows Recall habilitado?

La función de Recall es exclusiva de los ordenadores con Copilot+, que cumplen estos requisitos de hardware:

  • Procesador: CPU ARM o x86 con unidad de procesamiento neuronal (NPU). 
  • Memoria: 16 GB o más.
  • Almacenamiento: 256 GB de SSD o más.
  • Seguridad: TPM (Módulo de plataforma de confianza) 2.0.

Y solamente pueden tener instalado Windows Recall si tienen la versión de características 24 H2 de Microsoft Windows.

Por lo tanto, el primer paso es averiguarlo. Para ello debemos de seguir estos sencillos pasos:

  1. Pulsa con el botón derecho del ratón sobre el logo de Windows en la esquina inferior izquierda de la pantalla.
  2. Selecciona la opción «Configuración».
  3. Después en opción «Sistema».

Una vez allí, nos vamos abajo del todo donde pone «Información» y en la zona de «Especificaciones de Windows» podremos ver la versión que tenemos instalada.

Si ves que el PC tiene la versión 24H2 instalada, puedes comprobar si Recall está activo mediante la consola de Windows, o PowerShell  (ejecutándolas como administrador) escribiendo el siguiente comando:

dism /online /Get-FeatureInfo /FeatureName:Recall

Si al ejecutar el comando anterior descubres que esa característica está activada y no la deseas, introduce el siguiente comando para deshabilitarla:

dism /online /Disable-Feature /FatureName:Recall

Después reinicia el equipo y comprueba si Recall ha sido deshabilitado.

A través de la configuración.

Abre la aplicación Configuración (Tecla Windows + I).

  1. Navega hasta «Privacidad y seguridad». 
  2. Selecciona «Recall e instantáneas». 
  3. Desactiva la opción «Guardar instantáneas».

Opcionalmente, también puedes borrar cualquier instantánea existente pulsando en el botón «Eliminar instantáneas».

Conclusión

Microsoft dice que no comparte las capturas de pantalla (y los datos asociados) ni con la propia compañía, ni con sus asociados.

También afirman que Recall, es una «característica local». Eso significa que las instantáneas se almacenan en el PC y no se envían a servidores en la nube.

Por lo tanto, en principio, todo queda en casa. Tampoco son candidatas a pulular por la web oscura, como consecuencia de una fuga de datos.

Sin embargo, las prácticas generales de recopilación de datos de Microsoft son bien conocidas, y no inspiran demasiada confianza.

Las políticas de las grandes compañías tecnológicas acostumbran a cambiar en función de sus intereses.

Lo que hoy es relativamente privado, mañana puede convertirse en una herramienta de vigilancia o monetización.

En 2024, la autoridad de protección de datos de Austria presentó una queja contra la compañía, acusándola de que su software educativo Microsoft 365 violaba los derechos de protección de datos de la UE dirijidos a los niños.

Lo hacían mediante cookies que recopilaban datos del navegador y se utilizaban con fines publicitarios.

Una práctica que probablemente afectó a millones de estudiantes y profesores en toda Europa.

Para un usuario particular, Windows puede ser tan seguro como cualquier otro sistema operativo, pero si te importa la privacidad, no es la mejor opción.

Por lo tanto, piénsatelo dos veces antes de abrir la puerta a Windows Recall y escoge herramientas que estén diseñadas para olvidar.

No para recordar todo lo que has hecho frente la pantalla.

Contenido relacionado

Información

Artículos actualizados

Temas

Privacidad Linux Malware Seguridad informática Estafas Amenazas Internet Ingeniería social Herramientas Teléfonos móviles Contraseñas Seguridad de sitios web Software malicioso Redes VPN Windows Software de código abierto