La función de Recall de Microsoft, integrada en el sistema operativo Windows, ha sido objeto de controversia debido a su capacidad para recopilar capturas de pantalla encriptadas de la actividad del usuario, que incluyen información sensible como contraseñas y detalles de tarjetas de crédito. A pesar de las afirmaciones de seguridad por parte de la compañía, recientes pruebas han revelado vulnerabilidades persistentes que permiten la captura de datos sensibles.
A través del acceso mediante un PIN en Windows Hello, los archivos "encriptados" generados por Recall siguen expuestos a posibles explotaciones. Navegadores enfocados en la privacidad, como Brave, han optado por bloquear completamente esta función para proteger a los usuarios vulnerables.
Vulnerabilidades confirmadas en las pruebas
Los expertos en seguridad han instado a los usuarios a desactivar Recall para evitar comprometer su información personal. La herramienta, lanzada en 2024 como un producto impulsado por inteligencia artificial para aumentar la productividad, ha sido criticada tras demostrar que sus filtros para proteger información sensible son poco fiables.
Las pruebas realizadas este verano han confirmado que Recall continúa presentando riesgos para la privacidad, lo que genera tensiones crecientes sobre el control corporativo sobre los dispositivos personales. Esta función se encuentra disponible en equipos Copilot+ y está integrada en Windows 11, almacenando capturas de pantalla encriptadas localmente en los dispositivos del usuario.
Inconsistencias en el bloqueo de datos sensibles
Un análisis reciente realizado por The Register ha destacado la incapacidad de Recall para bloquear adecuadamente información sensible. Entre los hallazgos se incluyen:
- Datos de tarjetas de crédito: Cuando se eliminan etiquetas como “Pago” o “Número de tarjeta”, Recall captura detalles completos junto con montos de transacción.
- Contraseñas: Aunque algunos campos de contraseña fueron ocasionalmente ocultados, las contraseñas ingresadas en archivos sin etiquetar o ventanas parcialmente cubiertas fueron almacenadas sin filtrado.
- Datos financieros y médicos: Se registraron saldos bancarios y términos relacionados con salud incluso cuando números de cuenta o dígitos del Seguro Social estaban ocultos.
La insuficiencia del cifrado y los riesgos asociados
A pesar de que Microsoft asegura que las instantáneas están cifradas dentro de un "Enclave basado en Seguridad por Virtualización", expertos en seguridad argumentan que esto proporciona una falsa sensación de seguridad. Este enclave depende de la autenticación mediante Windows Hello—que frecuentemente puede ser un simple PIN—el cual puede ser eludido fácilmente.
"Un PIN de cuatro dígitos no es una barrera segura para alguien decidido a espiar," explicó O’Shea Randle, defensor de la privacidad en la Fundación Derechos Civiles Digitales. Herramientas de acceso remoto como TeamViewer pueden aprovechar PINs débiles, otorgando acceso no autorizado a los archivos archivados por Recall.
Cambio hacia una mayor protección: Brave toma medidas
En julio de 2025, Brave se convirtió en el primer navegador importante en desactivar Recall al marcar todas las pestañas como privadas. "Los usuarios no deberían tener que elegir entre productividad y seguridad," afirmó Peter Snyder, desarrollador principal de Brave. "La privacidad es un derecho fundamental y no permitiremos que atajos corporativos lo socaven."
A pesar de la defensa por parte de Microsoft sobre el control local del usuario sobre Recall, críticos sostienen que la captura invasiva de datos—particularmente textos no cifrados—contradice esta afirmación. "El modelo 'siempre activo' inherentemente viola el espíritu de autonomía del usuario," expresó el periodista especializado Ken Macon.
Llamado a la responsabilidad corporativa
Analistas como Hans-Christian Dirscherl advierten que las fallas en Recall reflejan problemas más profundos relacionados con características impulsadas por inteligencia artificial que requieren un "opt-out" (opción para salir) del seguimiento en lugar del consentimiento explícito. "A los consumidores se les dice que la conveniencia justifica esta recopilación, pero cuando las salvaguardias fallan, es la privacidad lo que paga el precio," indicó Dirscherl.
Aunque Microsoft sostiene que Recall es opcional y transparente, con funciones para eliminar archivos archivados, su instalación automática en PCs Copilot+ y su implementación encubierta dentro actualizaciones obligatorias suscitan preocupaciones sobre una posible recolección encubierta de datos.
El futuro del conflicto por la privacidad: Innovación a qué costo?
A medida que la inteligencia artificial transforma el panorama tecnológico, casos como el Recall ilustran la necesidad urgente de una estricta responsabilidad corporativa. Por ahora, expertos en privacidad recomiendan desactivar esta función mediante herramientas como O&O ShutUp10 o ajustes en Políticas Grupales. "Los usuarios tecnológicos deben exigir transparencia—y los legisladores deben actuar para hacerla cumplir," concluyó Randle.
A medida que navegadores importantes toman una postura firme, Microsoft enfrenta una creciente presión para reconsiderar su enfoque hacia estas prácticas. Hasta entonces, el sistema enclavado por cifrado utilizado por Recall sigue siendo una metáfora del actual entorno tecnológico: protecciones insuficientes disfrazadas detrás de un sistema propenso a explotación.
Si (
No(
Traductor
