El boicot masivo obligó a la empresa a abandonar el controvertido concepto de «software espía preinstalado».
Microsoft ha anunciado que no obligará a todos los usuarios a habilitar la controvertida función de inteligencia artificial Recall. La activación de la nueva tecnología ahora se realizará exclusivamente a petición del usuario.
Recall, actualmente en fase de prueba preliminar para Copilot+ PC, toma capturas de pantalla cada cinco segundos y las analiza para resaltar información relevante. El lanzamiento oficial de la función estaba inicialmente programado para el 18 de junio de 2024.
Diseñado como una memoria fotográfica con inteligencia artificial, Recall provocó críticas inmediatas de la comunidad de seguridad y privacidad. Los expertos condenaron a la empresa por no tomar las medidas de protección adecuadas que habrían evitado el acceso de actores maliciosos a la vida digital de los usuarios.
A pesar de las garantías de Microsoft de que las capturas de Recall se almacenan y procesan localmente en el dispositivo y no se comparten con otras empresas o aplicaciones, la indignación de los usuarios no disminuyó.
La información grabada puede incluir capturas de documentos, correos electrónicos o mensajes que contengan datos confidenciales. El periodista de WIRED Andy Greenberg incluso calificó a Recall como «software espía preinstalado e indeseable» integrado en las nuevas computadoras Windows.
Además, el hacker ético Alex Hagenah había presentado anteriormente su propia herramienta TotalRecall, demostrando lo fácil que sería extraer todos los datos de esta base de datos local no cifrada almacenada en texto plano.
Para mitigar las críticas, Microsoft afirmó que los usuarios tendrán un control total sobre la nueva función. Además, la empresa ya ha implementado una serie de cambios de seguridad, así como un nuevo proceso de configuración inicial de Recall que permite a los usuarios optar por no crear capturas de pantalla periódicas.
Los cambios de seguridad también incluyen el registro de usuarios para el escaneo biométrico Windows Hello, requiriendo la confirmación de la presencia del propietario del dispositivo para ver la línea de tiempo y realizar búsquedas.
Además, la empresa finalmente agregó el cifrado de la base de datos del índice de búsqueda, y señaló que las capturas de Recall solo se descifrarán y estarán disponibles después de que el usuario se autentique en el sistema.
Los usuarios pueden pausar, filtrar y eliminar los datos guardados en cualquier momento. Para los usuarios de dispositivos de trabajo administrados en entornos corporativos, los administradores de TI pueden desactivar Recall, aunque no pueden habilitarla por sí mismos.
«Las protestas de los usuarios han sido efectivas», dijo el investigador de seguridad Kevin Beaumont, quien criticó la implementación inicial de Recall. «La opción de participación voluntaria salvará a muchos usuarios de problemas de seguridad en el futuro. Funciones como esta nunca deben activarse por defecto».