Windows Recall hace una captura de pantalla cada cinco segundos. Los investigadores de ciberseguridad afirman que es fácil abusar del sistema, y un hacker ético ya ha creado una herramienta para demostrar lo sencillo que es.
Cuando Satya Nadella, CEO de Microsoft, desveló la nueva herramienta de inteligencia artificial de Windows que puede responder a preguntas sobre tu navegación web y el uso de una laptop, dijo que una de las cosas «mágicas» de ella era que los datos no salen del dispositivo; el sistema Windows Recall hace capturas de pantalla de tu actividad cada cinco segundos y las guarda en el dispositivo. Pero los expertos en seguridad dicen que los datos pueden no permanecer allí mucho tiempo.
Dos semanas antes del lanzamiento de Recall en los nuevos PC Copilot+ el 18 de junio, investigadores de seguridad han demostrado cómo las versiones preliminares de la herramienta almacenan las capturas de pantalla en una base de datos sin cifrar. Los investigadores sostienen que un atacante podría hacerse fácilmente con los datos. Ahora, Alex Hagenah, estratega de ciberseguridad y hacker ético, ha lanzado una herramienta de demostración que puede extraer y mostrar automáticamente todo lo que Recall registra en una laptop.
¿Qué recuerda Windows Recall?
Denominada TotalRecall (sí, por la película de ciencia ficción de 1990), la herramienta puede extraer toda la información que Recall guarda en su base de datos principal en una laptop con Windows. «La base de datos no está cifrada. Es todo texto plano», aclara Hagenah. Desde que Microsoft reveló Recall a mediados de mayo, los investigadores de seguridad lo han comparado repetidamente con un spyware o un stalkerware, que puede rastrear todo lo que haces en tu dispositivo. «Es un troyano 2.0 en realidad, incorporado», explica Hagenah, que añade que ha creado TotalRecall (que publica en GitHub) para demostrar lo que es posible y animar a Microsoft a introducir cambios antes de que Recall se lance por completo.
La empresa presentó Recall el mes pasado en un evento sobre laptops Surface. La herramienta realiza continuamente capturas de pantalla de todo lo que ocurre en el PC. Recall pretende permitir «recuperar» lo que has hecho en tu computadora, ya sean páginas web que has visitado o mensajes que te han enviado, mediante consultas de búsqueda en lenguaje natural. Según la descripción que hace Microsoft de la herramienta, Recall podría utilizarse para buscar recetas que has visto en internet pero cuyos sitios web has olvidado.
Según Hagenah, TotalRecall puede averiguar automáticamente dónde se encuentra la base de datos de Recall en una laptop y hacer una copia del archivo, analizando todos los datos. Aunque los nuevos PC Copilot+ de Microsoft aún no han salido al mercado, es posible utilizar Recall emulando una versión de estos dispositivos: «Lo hace todo automáticamente», señala Hagenah. El sistema puede establecer un intervalo de fechas para extraer los datos, por ejemplo, extraer información de una semana o un día concretos. Recall, que almacena su información en una base de datos SQLite, tardó como mucho dos segundos en extraer las capturas de pantalla de un día, explica.
El peligro de la memoria
Entre lo que toma la base de datos hay capturas de pantalla de todo lo que hay en el escritorio, una mina de oro potencial para piratas informáticos o maltratadores domésticos que pueden acceder físicamente al dispositivo de su víctima. Las imágenes incluyen capturas de los mensajes enviados en las aplicaciones de mensajería cifrada Signal y WhatsApp, y permanecen en las capturas independientemente de si los mensajes que desaparecen están activados en las aplicaciones. Hay registros de los sitios web visitados y de cada fragmento de texto mostrado en el PC. Una vez desplegado TotalRecall, generará un resumen de los datos; también es posible buscar términos específicos en la base de datos.
Hagenah indica que un atacante podría obtener una enorme cantidad de información sobre su objetivo, incluyendo datos sobre sus correos electrónicos, conversaciones personales y cualquier información sensible capturada por Recall.
El trabajo de Hagenah se basa en los hallazgos del investigador de ciberseguridad Kevin Beaumont, que ha detallado cuánta información captura Recall y lo fácil que puede ser extraerla. Beaumont también destaca que ha creado un sitio web en el que se puede cargar una base de datos de Recall y buscar en ella al instante. Los troyanos InfoStealer, que roban automáticamente nombres de usuario y contraseñas, son un grave problema desde hace más de una década; ahora pueden modificarse fácilmente para que sean compatibles con Recall», escribe Beaumont.
Nadella ha declarado que la seguridad debe ser la «máxima prioridad» de Microsoft, que no respondió a la petición de WIRED de comentar las características de seguridad de Recall en el momento de su publicación.
¿Se puede luchar?
Las páginas de privacidad de Recall dicen que es posible deshabilitar el guardado de capturas de pantalla (desactivando de hecho Recall), pausar el sistema temporalmente, filtrar las aplicaciones en las que se toman capturas de pantalla y borrar lo que se recopila en cualquier momento. Recall se ejecuta en la propia laptop, almacenando los datos que captura en el dispositivo y sin enviar esta información a los servidores de Microsoft. Hagenah argumenta que esta afirmación parece ser cierta, ya que no hay indicios de que se envíen datos a Microsoft.
Microsoft es, al menos, consciente de algunos de los posibles problemas relacionados con la privacidad y la seguridad de Recall: En sus páginas de ayuda se dice que el sistema no modera el contenido de las imágenes que guarda. Esto significa, según Microsoft en la guía, que no «ocultará información como contraseñas o números de cuentas financieras», aunque los investigadores de seguridad ya han podido extraer contraseñas de Recall.
La base de datos principal de Recall se almacena en el directorio de sistema de la laptop y, aunque necesita derechos de administrador para acceder a ella, los ataques de escalada de privilegios existen desde hace años, lo que hace teóricamente posible que un atacante obtenga acceso inicial a un dispositivo de forma remota.
Hagenah apunta que en los casos de empresas con políticas de «trae tus propios dispositivos», existe el riesgo de que alguien se marche con grandes volúmenes de datos de la empresa guardados en sus laptops. Es un riesgo especial si están descontentos o se van en malos términos, advierte. El organismo regulador de la protección de datos en el Reino Unido, la Oficina del Comisionado de Información, ha pedido a Microsoft que facilite más detalles sobre Recall y su privacidad.
Aunque Recall sigue siendo una función de «vista previa» y, según la letra pequeña de Microsoft, podría cambiar antes de su lanzamiento, Beaumont escribe en su investigación que la empresa «debería retirar Recall y rehacerla para que sea la función que merece ser, entregada en una fecha posterior», y añade: «También tienen que revisar la toma de decisiones interna que ha llevado a esta situación, ya que este tipo de cosas no deberían ocurrir».
notiveraz