Microsoft's Windows Recall feature, designed to enhance productivity by capturing encrypted screen snapshots, has been found to inadequately protect sensitive user data such as passwords and credit card information. Despite claims of security, recent tests reveal significant vulnerabilities that allow for the capture of unfiltered personal data. Privacy advocates warn that the feature, which relies on a simple PIN for access, poses risks of exploitation, particularly for vulnerable users. Browsers like Brave have taken steps to block Recall entirely, prioritizing user privacy over convenience. Security experts are urging Microsoft to address these flaws and enhance corporate accountability in data protection practices. For more details, visit the full article.
La función de Recall de Microsoft, integrada en el sistema operativo Windows, ha sido objeto de controversia debido a su capacidad para recopilar capturas de pantalla encriptadas de la actividad del usuario, que incluyen información sensible como contraseñas y detalles de tarjetas de crédito. A pesar de las afirmaciones de seguridad por parte de la compañía, recientes pruebas han revelado vulnerabilidades persistentes que permiten la captura de datos sensibles.
A través del acceso mediante un PIN en Windows Hello, los archivos "encriptados" generados por Recall siguen expuestos a posibles explotaciones. Navegadores enfocados en la privacidad, como Brave, han optado por bloquear completamente esta función para proteger a los usuarios vulnerables.
Los expertos en seguridad han instado a los usuarios a desactivar Recall para evitar comprometer su información personal. La herramienta, lanzada en 2024 como un producto impulsado por inteligencia artificial para aumentar la productividad, ha sido criticada tras demostrar que sus filtros para proteger información sensible son poco fiables.
Las pruebas realizadas este verano han confirmado que Recall continúa presentando riesgos para la privacidad, lo que genera tensiones crecientes sobre el control corporativo sobre los dispositivos personales. Esta función se encuentra disponible en equipos Copilot+ y está integrada en Windows 11, almacenando capturas de pantalla encriptadas localmente en los dispositivos del usuario.
Un análisis reciente realizado por The Register ha destacado la incapacidad de Recall para bloquear adecuadamente información sensible. Entre los hallazgos se incluyen:
A pesar de que Microsoft asegura que las instantáneas están cifradas dentro de un "Enclave basado en Seguridad por Virtualización", expertos en seguridad argumentan que esto proporciona una falsa sensación de seguridad. Este enclave depende de la autenticación mediante Windows Hello—que frecuentemente puede ser un simple PIN—el cual puede ser eludido fácilmente.
"Un PIN de cuatro dígitos no es una barrera segura para alguien decidido a espiar," explicó O’Shea Randle, defensor de la privacidad en la Fundación Derechos Civiles Digitales. Herramientas de acceso remoto como TeamViewer pueden aprovechar PINs débiles, otorgando acceso no autorizado a los archivos archivados por Recall.
En julio de 2025, Brave se convirtió en el primer navegador importante en desactivar Recall al marcar todas las pestañas como privadas. "Los usuarios no deberían tener que elegir entre productividad y seguridad," afirmó Peter Snyder, desarrollador principal de Brave. "La privacidad es un derecho fundamental y no permitiremos que atajos corporativos lo socaven."
A pesar de la defensa por parte de Microsoft sobre el control local del usuario sobre Recall, críticos sostienen que la captura invasiva de datos—particularmente textos no cifrados—contradice esta afirmación. "El modelo 'siempre activo' inherentemente viola el espíritu de autonomía del usuario," expresó el periodista especializado Ken Macon.
Analistas como Hans-Christian Dirscherl advierten que las fallas en Recall reflejan problemas más profundos relacionados con características impulsadas por inteligencia artificial que requieren un "opt-out" (opción para salir) del seguimiento en lugar del consentimiento explícito. "A los consumidores se les dice que la conveniencia justifica esta recopilación, pero cuando las salvaguardias fallan, es la privacidad lo que paga el precio," indicó Dirscherl.
Aunque Microsoft sostiene que Recall es opcional y transparente, con funciones para eliminar archivos archivados, su instalación automática en PCs Copilot+ y su implementación encubierta dentro actualizaciones obligatorias suscitan preocupaciones sobre una posible recolección encubierta de datos.
A medida que la inteligencia artificial transforma el panorama tecnológico, casos como el Recall ilustran la necesidad urgente de una estricta responsabilidad corporativa. Por ahora, expertos en privacidad recomiendan desactivar esta función mediante herramientas como O&O ShutUp10 o ajustes en Políticas Grupales. "Los usuarios tecnológicos deben exigir transparencia—y los legisladores deben actuar para hacerla cumplir," concluyó Randle.
A medida que navegadores importantes toman una postura firme, Microsoft enfrenta una creciente presión para reconsiderar su enfoque hacia estas prácticas. Hasta entonces, el sistema enclavado por cifrado utilizado por Recall sigue siendo una metáfora del actual entorno tecnológico: protecciones insuficientes disfrazadas detrás de un sistema propenso a explotación.