Correos electrónicos, contactos y contraseñas: ¡vaya por Dios! Nuevo Outlook Overshares con Microsoft

Al utilizar Outlook, es posible que sus datos confidenciales no permanezcan en su máquina, sino que se envíen a los servidores de Microsoft.

2023-11-15
Outlook shares your email addresses and passwords with Microsoft - a huge security risk!
La última versión de Outlook, el cliente de correo electrónico de Microsoft, está a punto de salir al mercado y preocupa a los expertos en seguridad. Outlook, un elemento básico para las empresas desde hace décadas, se ha vuelto más exigente con los datos que recopila de sus usuarios. Esta última actualización no cambia la pauta. La nueva versión de Outlook no sólo compartirá el contenido no cifrado del buzón de correo, las listas de contactos y los eventos del calendario, sino que también puede compartir información confidencial de inicio de sesión con los servidores de Microsoft en Estados Unidos.

MS Outlook podría compartir tus contraseñas

Las advertencias sobre la posibilidad de que Outlook comparta tus contraseñas y otros datos confidenciales han trascendido a los internautas más proclives a la privacidad y ahora el Comisario Federal alemán de Protección de Datos y Libertad de Información, Ulrich Kelber, someterá estos cambios propuestos a debate con otras organizaciones de protección de datos de la UE a finales de esta semana.

¿Qué está pasando bajo el capó que representa una amenaza para nuestra privacidad y seguridad en línea?

Cómo comparte datos MS Outlook

El nuevo MS Outlook no es el cliente de correo electrónico local que conocíamos. La nueva versión actúa como una puerta de entrada al entorno de nube de Microsoft. Para que tus correos electrónicos de proveedores que no son propiedad de Microsoft se sincronicen con tus dispositivos, Microsoft solicitará y almacenará en sus servidores las credenciales IMAP y SMTP de cada cuenta de correo electrónico.

Al añadir una cuenta al nuevo Outlook, los usuarios reciben una advertencia algo intimidatoria sobre el uso compartido de su información. El mensaje dice que para conectar una cuenta IMAP, Outlook necesita sincronizar los correos electrónicos con la nube de Microsoft. Aunque es posible que los contactos y eventos existentes no se compartan con Microsoft, todas las nuevas adiciones que hagas en Outlook se almacenarán también en la nube de Microsoft.

Esto puede incluir incluso sus credenciales de inicio de sesión, como contraseñas, lo que pone a disposición del gigante tecnológico estadounidense la clave para acceder a su vida en línea.

Outlook no sólo compartirá tus credenciales de inicio de sesión con los servidores de Microsoft, sino también los futuros contactos o eventos de calendario que crees en la aplicación.

Pero el movimiento de estos datos estará cifrado de forma segura, ¿verdad?

Pues no. A pesar de enviarse a los servidores de Microsoft con protección TLS, los datos se envían en texto plano. La revista alemana de tecnología c't realizó una prueba mientras configuraba una nueva conexión IMAP/SMTP y publicó la siguiente imagen aterradora de sus resultados:

Screenshot of the code: Outlook shares your data not encrypted with the Microsoft cloud.

El equipo de Heise.de se puso en contacto con Microsoft para conocer su opinión sobre la seguridad de OUtlook tras estos cambios, pero por el momento no ha habido respuesta por parte de la sede de Redmond, Washington.

Por qué debes alarmarte

Más allá del hecho de que enviar contraseñas en texto plano es una idea terrible y la peor seguridad posible, ¿qué otras amenazas puede suponer sincronizar todos tus correos electrónicos, eventos del calendario y contactos con los servidores de Microsoft?

Se trata de una cuestión de confianza. Microsoft es una empresa estadounidense y está sujeta a la jurisdicción de Estados Unidos. Se desconoce su grado de cooperación con las fuerzas del orden y las agencias de inteligencia, pero ya existen pruebas de que las grandes empresas tecnológicas están dispuestas a colaborar con las agencias gubernamentales.

A principios de la década de 2000, AT&T construyó y gestionó una sala de interceptación de telecomunicaciones para la NSA en sus instalaciones conocida como sala 641A.

Door of room 641A at AT&T Esta es la puerta de la sala 641A de AT&T donde la NSA interceptaba datos de comunicaciones.

No sabemos si Microsoft está actuando de forma similar, pero sin leyes de privacidad sólidas y encriptación de extremo a extremo no podemos estar seguros de que nuestros datos estén a salvo.

Más allá de la amenaza de la vigilancia del Estado nación, no sabemos hasta qué punto Microsoft puede estar trabajando con intermediarios de datos para recopilar y vender datos de los usuarios. En Estados Unidos, la doctrina de terceros declara que en el caso de los proveedores de servicios de Internet, bancos, instituciones financieras y proveedores de servicios de correo electrónico, los clientes no tienen "ninguna expectativa razonable de privacidad".

Esto es inaceptable.

Qué significa esto para las empresas

Cada empresa tiene su propio caso de uso y ámbito de aplicación. ¿Qué significa el uso del nuevo Outlook para el usuario empresarial medio?

Es poco probable que todo el mundo se apresure a abandonar Microsoft Office en favor de una solución libre y de código abierto como LibreOffice. Algunas empresas, sobre todo las que manejan información sensible, deben considerar lo que estos cambios significan para la privacidad de sus clientes.

Para las empresas y organizaciones que operan dentro de la UE, habrá que examinar detenidamente las leyes de privacidad GDPR para determinar si esta actualización es compatible con las normas de privacidad de la UE. Veremos en los próximos días qué tipo de debate se deriva del impulso del Sr. Kelber en el Parlamento de la UE.

Para las consultas médicas que operan en EE.UU., el cumplimiento de la HIPAA va a ser una preocupación importante. Al entregar a Microsoft la información de acceso a su correo electrónico, le está dando acceso potencial a información confidencial sobre los pacientes. Si las contraseñas se comparten entre la cuenta de correo electrónico y otros servicios, esto supone una amenaza aún mayor para los pacientes en caso de que se produzca una filtración de datos.

El robo de IP también plantea una amenaza interesante. Si el contenido que almacena en el entorno de nube de Microsoft incluye información sensible a la propiedad intelectual, su empresa deberá evaluar el riesgo que supone una filtración o exposición de cualquiera de los datos de su empresa.

Recuerde siempre que un servidor en la nube no es más que el ordenador de otra persona.

Si sus datos no están cifrados de forma segura en tránsito y en reposo, tampoco estarán seguros en ese servidor.

¡Actúa!

¿Qué puede hacer el usuario medio de Internet ante estos cambios invasivos?

Nuestro primer paso sería dejar de elegir Outlook para uso personal y hacer saber a la empresa que nos oponemos a estas prácticas golpeándoles en la cartera. Existen multitud de soluciones de código abierto para proteger tus correos electrónicos, eventos del calendario y listas de contactos. Tuta ofrece todas estas funciones y más con un cifrado completo de extremo a extremo de todos tus datos y nunca tenemos acceso a tus credenciales de inicio de sesión.

Consulta también nuestra reseña sobre servicios de correo electrónico privado para ver cuál se adapta mejor a tus necesidades.

El siguiente paso sería plantear estas preocupaciones a tus amigos, compañeros de trabajo y a la consulta de tu médico. Haciendo correr la voz de que existen alternativas a la gran tecnología que respetan la privacidad, todos podemos luchar para hacer de nuestro futuro digital un espacio más seguro y libre.