Microsoft no ha resuelto uno de los problemas críticos de Recall. La «memoria fotográfica» impulsada por IA debutó hace unas semanas en una versión de prueba. Pese a los meses de retraso y la promesa de reforzar las medidas de seguridad, Recall tiene una vulnerabilidad clave.
De acuerdo con un reporte de Tom’s Hardware, Recall puede capturar los datos de tu tarjeta de crédito, incluso cuando activas los filtros de protección. En un experimento llevado a cabo por su director editorial, Avram Piltch, la IA registró y almacenó información financiera. Los datos incluyen el número completo de la tarjeta de crédito, la fecha de vencimiento y el código de seguridad de 3 dígitos (CVC).
Pitch diseñó un formulario en HTML con campos que incluían información personal del usuario, incluyendo la tarjeta de crédito. El autor menciona que el formulario indicaba claramente la frase «tarjeta de crédito», pero Recall lo ignoró y capturó los datos. En otro experimento, Pitch ingresó su número de seguridad social en un PDF y la IA también le tomó una instantánea.
El reporte señala que estos fallos ocurren incluso si el filtro de información sensible se encuentra habilitado. Como última prueba, el periodista escribió la información del plástico en un documento del Bloc de Notas especificando que se trataba de una tarjeta de crédito. Nuevamente, Recall capturó la información y la almacenó dentro del historial de instantáneas.
Pese a los cambios de Microsoft, Recall todavía captura información confidencial
Una de las causas que retrasaron el lanzamiento de Recall tiene que ver con la poca atención que puso Microsoft a la privacidad. Activistas señalaron los problemas potenciales de capturar los datos personales durante una sesión de esta función. Por si fuera poco, un experto en ciberseguridad descubrió que el historial de instantáneas se almacenaba en un documento de texto sin cifrar, lo que aumentó las preocupaciones de las personas y los reguladores.
Meses después y con varios cambios bajo el capó, Recall se ha liberado para algunos usuarios del programa Insider, quienes servirán como conejillos de indias para probar esta versión. Pese a los ajustes en la privacidad y la implementación de un filtro de información confidencial, Recall no está listo y requiere más trabajo.
El reporte de Tom’s Hardware deja entrever que la función estrella de los Copilot+ PC funciona a medias. El bloqueo de tarjetas de crédito y otros datos sensibles se aplica en las tiendas en línea, pero no en formularios, archivos PDF o documentos locales.
En su web de ayuda, Microsoft menciona que el filtrado de información confidencial se activa de forma predeterminada y evita las capturas con datos personales. La función también bloquea números de identificaciones oficiales, como el DNI, la licencia de manejo o el número de identificación fiscal de España, así como el CURP de México.
«El filtrado de información confidencial está activado de forma predeterminada y ayuda a evitar que las contraseñas, los números de identificación nacionales y los números de tarjetas de crédito se almacenen en Recuerdos. La información confidencial permanece en el dispositivo en todo momento, independientemente de si la configuración de filtrado de información confidencial está activada o desactivada.»
Ante los señalamientos de Tom’s Hardware, Microsoft mencionó que están trabajando para bloquear los números de tarjetas de crédito y otros datos confidenciales. Debido a que Recall se encuentra en una fase de pruebas, es probable que ocurran incidentes como el que se reportó.