Correos electrónicos, contactos, contraseñas... ¡Madre mía! El nuevo Outlook lo comparte todo con Microsoft y pone en peligro tu seguridad

El nuevo Outlook de Microsoft para Windows comparte todos tus datos con sus servidores, y con hasta 813 socios.

Outlook on Windows now shares your email addresses and passwords with Microsoft servers - a huge security risk!

La última versión de Outlook, el gigantesco cliente de correo electrónico de Microsoft, debutó en septiembre de 2023 y preocupa a los expertos en seguridad y privacidad: El gigante tecnológico estadounidense recopila más datos que nunca de sus usuarios y los comparte con una red de socios cada vez mayor. Pero aún peores son sus problemas de seguridad: El nuevo Outlook para Windows ya no es un cliente de correo electrónico, sino una envoltura para la nube 365 de Microsoft que comparte no solo el contenido no cifrado de tu buzón de correo, listas de contactos y eventos del calendario, sino también información sensible de inicio de sesión, como contraseñas, con sus servidores ubicados en Estados Unidos.


¿Comparte MS Outlook tus contraseñas?

El sitio alemán de tecnología Heise provocó un escándalo en noviembre de 2023 al revelar que el nuevo Outlook, que está sustituyendo a la aplicación de correo en Windows, comparte las contraseñas de los usuarios con los servidores estadounidenses de Microsoft.

Esto ha llevado a las autoridades a la escena, ya que las advertencias sobre el nuevo Outlook para Windows compartiendo sus contraseñas y otra información sensible no podían ser ignoradas debido a las graves implicaciones de seguridad. Esto es especialmente preocupante, también para la seguridad nacional, si se piensa que casi todas las organizaciones gubernamentales, desde Alemania hasta EE.UU., utilizan un entorno empresarial Windows. En consecuencia, el Comisario Federal alemán de Protección de Datos y Libertad de Información, Ulrich Kelber, ha declarado en Mastodon:

“Los informes sobre sospechas de recopilación de datos por parte de MS a través de Outlook son alarmantes. Pediremos un informe a los comisarios irlandeses de protección de datos, que son los responsables legales, en la reunión de las autoridades europeas de supervisión de la protección de datos que se celebrará el martes.”

Aunque parece que hasta la fecha las autoridades irlandesas no han hecho ninguna declaración sobre el problema de seguridad de las contraseñas de correo electrónico de Microsoft, merece la pena profundizar en cómo el nuevo Outlook para Windows comparte tus contraseñas, qué significa esto para tu seguridad y cómo puedes protegerte de la recopilación de datos excesivamente agresiva por parte de Microsoft.

Echemos un vistazo más de cerca a la actualización de Outlook: ¿Qué está pasando bajo el capó que representa una amenaza para nuestra privacidad y seguridad en línea?

Recopilación agresiva de datos

Con su última actualización, Outlook sigue los pasos de gigantes tecnológicos de Silicon Valley como Google (Alphabet), Facebook (Meta) y Apple al recopilar cada vez más datos. Obviamente, Microsoft ha aprendido que los datos son el nuevo petróleo y que puede aumentar enormemente sus ingresos aprovechando lo que ya tiene: enormes cantidades de datos de sus mil millones de clientes personales, empresariales y del sector público de todo el mundo.

Recopilar y analizar los datos de los usuarios es cada vez más lucrativo, sobre todo ahora que Microsoft ha invertido mucho en OpenAI, la empresa de inteligencia artificial más destacada de la actualidad.

En 2012, cuando Google cambió su política de privacidad que permitía a las grandes tecnológicas recopilar datos de los usuarios, Microsoft pagó anuncios en la prensa subrayando sus propias protecciones de la privacidad en comparación con Google.

Ahora, más de una década después, Microsoft ha aprendido que la privacidad no da dinero, pero sí la recopilación de datos, la elaboración de perfiles de usuario y los anuncios personalizados. Es triste ver que empresas como Microsoft y Apple, que solían defender la privacidad (véase este anuncio del iPhone de 2020), ahora también han recurrido a la recopilación de datos para aumentar sus ingresos.

En tecnología parece que lo único que cuenta es aumentar el valor para los accionistas. Y como en un mercado saturado como el de EE.UU. y Europa, si estas empresas no pueden vender más iPhones o más ordenadores con Windows, deben recurrir a la recopilación de datos y a los anuncios personalizados.

Red de socios en crecimiento

Por eso no es de extrañar que el nuevo Outlook para Windows comparta datos con cientos de terceros, tal y como recoge su política de privacidad.

Gracias al GDPR europeo, Microsoft no puede ocultar la información sobre su excesivo intercambio de datos a los usuarios europeos. Si se encuentra en la UE y utiliza el nuevo Outlook para Windows por primera vez en un PC nuevo, se le solicitará esta información a través de una petición de cookie:

Nosotros y 772 terceros procesamos datos para: almacenar y/o acceder a información en su dispositivo, desarrollar y mejorar productos, personalizar anuncios y contenidos, medir anuncios y contenidos, obtener información sobre la audiencia, obtener datos precisos de geolocalización e identificar usuarios mediante el escaneo de dispositivos. Algunos terceros pueden tratar sus datos sobre la base de su interés legítimo. Puede ejercer su derecho de consentimiento u oposición en cualquier momento seleccionando el enlace Gestionar preferencias que aparece a continuación, o a través de la configuración de Outlook. Al hacer clic en el botón Aceptar todo, acepta el uso de estas tecnologías y el tratamiento de sus datos para estos fines mientras utiliza Outlook.

Screenshot of Outlook's new cookie warning: We and 772 third parties process data to: store and/or access information on your device, develop and improve products, personalize ads... Screenshot of Outlook's new cookie warning: We and 772 third parties process data to: store and/or access information on your device, develop and improve products, personalize ads...

Cuando vea esta solicitud, es importante que no haga clic en ella rápidamente y pulse accidentalmente “Aceptar todo”. Si lo haces, permitirás que Microsoft comparta gran parte de tus datos personales con su creciente red de socios para diversos fines, algunos de los cuales podrían asustar a cualquier persona con inclinaciones hacia la privacidad. Si aceptas todo, estarás de acuerdo con el análisis y el seguimiento de datos, lo que incluye:

  • Mostrar anuncios personalizados
  • Obtener información sobre la audiencia
  • Almacenar sus datos de geolocalización
  • Acceder a los datos de su dispositivo
  • Identificarle a través del escaneo del dispositivo

Así que, de nuevo, cuando veas aparecer esta solicitud para permitir el intercambio de datos: ¡asegúrate de hacer clic en Rechazar todo!

En primer lugar, no querrás que Microsoft comparta tus datos personales sensibles con cientos de anunciantes y corredores de datos, y en segundo lugar, su red de socios está en constante crecimiento. El intercambio de datos de Microsoft con terceros parece ser un paso bastante lucrativo, ya que la advertencia sobre cookies se ha actualizado para compartir datos con “813 socios”. ¿Quién sabe cuántos socios más tendrán en sus manos tus datos en el futuro si das tu consentimiento para compartirlos?

Screenshot of Outlook's new cookie warning has updated to 813 partners Screenshot of Outlook's new cookie warning has updated to 813 partners

Unirse a los 5 principales anunciantes

Con este creciente intercambio de datos, una cosa se ha hecho evidente: Microsoft está en camino de convertirse en uno de los cinco principales anunciantes en línea.

Ya en 2022, el jefe de Microsoft Ads, Rob Wilk, declaró en una entrevista que el gigante tecnológico estadounidense planea duplicar sus ingresos publicitarios en 20.000 millones de dólares. Ahora, estamos viendo cómo este plan se pone en marcha.

Con el lanzamiento del nuevo Outlook para Windows en septiembre de 2023, Microsoft ha completado su último paso para unirse a los cinco principales anunciantes: Alphabet (Google), Meta (Facebook), Apple, Amazon, y ahora también Microsoft.

Incluso antes de que la gente en Reddit se han quejado de que Outlook disfraza los anuncios como mensajes de correo electrónico - al igual que Gmail ahora está mostrando anuncios directamente en su bandeja de entrada:

Screenshot from an Outlook inbox with ads disguised as emails. Screenshot from an Outlook inbox with ads disguised as emails.

Así que aunque esto no es nada nuevo, la máquina de anuncios crecerá aún más fuerte con el nuevo Outlook. Los anuncios que se muestran a los usuarios de Outlook son sobre los propios productos de Microsoft o sobre productos de terceros que Microsoft vende a sus socios.

Aunque Microsoft te deje usar Outlook gratis, te monetiza vendiendo tu tiempo y atención a terceros. Esto es similar a lo que hacen otros grandes servicios tecnológicos como Google y Facebook, pero con el nuevo Outlook el intercambio de datos explora dimensiones totalmente nuevas.

Además del intercambio de datos con terceros, que puedes rechazar activamente, el nuevo Outlook también compartirá datos confidenciales como contraseñas con sus servidores en la nube si utilizas la función de sincronización de Microsoft. Esto es aún más preocupante, ya que entraña un grave riesgo para la seguridad, que podría dar lugar a ataques de relleno de credenciales, ya que todas tus contraseñas se almacenarán en un servidor central: El de Microsoft.

Esta información ha sorprendido a los amantes de la seguridad, y eliminar cuentas de Outlook se ha convertido en una tendencia.

Pero antes de que decidas si puedes seguir confiando tu buzón personal a Microsoft, vamos a hacer una inmersión técnica en cómo Outlook comparte tus datos para entender qué está pasando exactamente.

Problema de seguridad: Cómo comparte datos el nuevo Outlook

El nuevo MS Outlook para Windows no es el cliente de correo electrónico local como lo conocíamos antes. La nueva versión actúa como una puerta de enlace al entorno de nube de Microsoft. Para que tus correos electrónicos de proveedores que no son propiedad de Microsoft se sincronicen con tus dispositivos, Microsoft solicitará y almacenará tus credenciales IMAP y SMTP para cada cuenta de correo electrónico en sus servidores.

Al añadir una cuenta al nuevo Outlook, los usuarios reciben una advertencia un tanto intimidatoria sobre la posibilidad de compartir su información. El mensaje dice que para conectar una cuenta IMAP, Outlook necesita sincronizar los correos electrónicos con la nube de Microsoft. Aunque los contactos y eventos de calendario existentes no se compartan con Microsoft, todas las nuevas adiciones que se hagan en Outlook se almacenarán también en la nube de Microsoft.

En detalle el mensaje que aparece en Outlook dice:

“¿Qué ocurre cuando sincronizo mi cuenta con la nube de Microsoft? Sincronizar su cuenta con la Nube de Microsoft significa que una copia de su correo electrónico, calendario y contactos se sincronizará entre su proveedor de correo electrónico y los centros de datos de Microsoft. Tener los datos de tu buzón en Microsoft Cloud te permite utilizar las nuevas características del cliente de Outlook (Nuevo Outlook para Windows, Outlook para i0S, Outlook para Android, Outlook.com o Outlook para Mac) con tu cuenta que no es de Microsoft, igual que con tus cuentas de Microsoft.”

Screenshot of the Outlook sync message warning people that data is shared with the Microsoft cloud. Screenshot of the Outlook sync message warning people that data is shared with the Microsoft cloud.

Según la advertencia, los datos compartidos pueden incluir incluso tus credenciales de acceso, como contraseñas, lo que pone las claves de tu vida digital a disposición del gigante tecnológico estadounidense. Con el nuevo Outlook, Microsoft se otorga excesivos poderes sobre todos los datos de tu correo electrónico que tengas conectado a través de IMAP. En cualquier momento, Microsoft puede escanear tu buzón y compartir datos sensibles con terceros, todo ello sin que tú lo sepas.

No sólo tus credenciales de inicio de sesión y tus correos electrónicos se comparten desde Outlook con los servidores de Microsoft, sino también los futuros contactos o eventos de calendario que puedas crear en la aplicación. Al iniciar sesión en el nuevo Outlook concedes a Microsoft acceso ilimitado a tu cuenta de correo electrónico.

Como afirman en XDA Developers El nuevo cliente Outlook ya no es un “cliente”, sino una envoltura alrededor de los servicios en la nube de Microsoft. Tus datos, incluidas tus contraseñas, ya no se almacenan localmente en el cliente de Outlook, sino que se almacenan en los servidores de Microsoft y se obtienen localmente.

¿Están cifrados los datos compartidos?

Como expertos en seguridad, esperaríamos que los datos compartidos estuvieran cifrados de extremo a extremo. Sin embargo, tal y como descubrieron los periodistas tecnológicos alemanes, este no es el caso del nuevo Outlook.

Aunque los datos se envían a los servidores de Microsoft con protección TLS, se envían en texto plano. La revista alemana de tecnología c’t de la editorial Heise realizó una prueba mientras configuraba una nueva conexión IMAP/SMTP y publicó la siguiente imagen aterradora de sus resultados:

Screenshot des Codes: Outlook teilt Ihre Daten unverschlüsselt mit der Microsoft-Cloud. Screenshot des Codes: Outlook teilt Ihre Daten unverschlüsselt mit der Microsoft-Cloud.

Captura de pantalla del código: Outlook comparte sus datos no cifrados con la nube de Microsoft.

El equipo de Heise.de se puso en contacto con Microsoft para que comentara el grave problema de seguridad del nuevo Outlook a la vista de estos resultados, pero no ha habido respuesta del campus de Redmond, WA.

Esto ha sido un verdadero shock para los expertos en TI de Heise. Si piensas lo mismo, puedes empezar a buscar un nuevo proveedor de correo electrónico consultando la comparativa de Outlook y Gmail o -aún mejor para tu privacidad y seguridad- la comparativa de Outlook vs Tuta Mail.

Por qué debería alarmarse

Más allá del hecho de que enviar contraseñas a un servidor central es una idea terrible y la peor seguridad posible, ¿qué amenazas puede suponer sincronizar todos tus correos electrónicos, eventos del calendario y contactos con los servidores de Microsoft?

En primer lugar, se trata de una cuestión de confianza. Microsoft es una empresa estadounidense y está sujeta a la jurisdicción de Estados Unidos. Se desconoce su grado de cooperación con las fuerzas de seguridad y los servicios de inteligencia, pero ya existen pruebas de que las grandes empresas tecnológicas están dispuestas a colaborar con las agencias gubernamentales. Esto es muy preocupante, ya que Estados Unidos forma parte de la Alianza de los Cinco Ojos.

En Estados Unidos se conocen varios escándalos en los que las grandes empresas tecnológicas han compartido datos sensibles de los usuarios de muy buena gana con las autoridades. Por ejemplo, en 2016 nos conmocionó la noticia de que Yahoo dio acceso a todas sus cuentas de correo electrónico a las autoridades estadounidenses, y a principios de la década de 2000 AT&T supuestamente construyó y operó una sala de interceptación de telecomunicaciones para la NSA en sus instalaciones conocida como Sala 641A.

Door of room 641A at AT&T Door of room 641A at AT&T Esta es la puerta de la sala 641A de AT&T donde la NSA interceptaba datos de comunicaciones.

No sabemos si Microsoft está actuando de manera similar, pero sin leyes de privacidad estrictas y cifrado de extremo a extremo nadie puede estar seguro de que los datos sensibles de los clientes estén a salvo en los servidores estadounidenses de Microsoft.

Más allá de la amenaza de la vigilancia estatal, tampoco sabemos hasta qué punto Microsoft puede estar trabajando con intermediarios de datos para recopilar y vender datos de los usuarios. Pero a juzgar por la nueva ventana emergente de la política de privacidad que se muestra a los clientes europeos en el nuevo Outlook para Windows, el intercambio de datos es amplio y crecerá aún más.

En los Estados Unidos de América, también merece la pena analizar la doctrina de terceros. La doctrina de terceros en los EE.UU. declara que si usted envía voluntariamente información a terceros, por ejemplo, proveedores de correo electrónico, no puede tener “ninguna expectativa razonable de privacidad” en esa información. Como en EE.UU. no existe una legislación similar al GDPR europeo -que garantiza a los europeos que sus datos personales deben ser protegidos por las empresas tecnológicas-, los datos que la gente comparte con Microsoft no están a salvo de las autoridades estadounidenses. Incluso pueden obtenerse sin una orden judicial u otro tipo de supervisión judicial.

Esto es inaceptable.

Qué significa esto para las empresas

Cada empresa tiene sus propios requisitos de uso y seguridad. ¿Qué significa el uso del nuevo Outlook para las empresas?

Es poco probable que todo el mundo se apresure a abandonar Microsoft Office en favor de una solución libre y de código abierto como LibreOffice. Algunas empresas, en particular las que manejan información sensible, deben considerar lo que estos cambios de Outlook de Microsoft significan para la privacidad de sus clientes.

Para las empresas y organizaciones que operan dentro de la UE, las leyes de privacidad GDPR tendrán que ser examinadas cuidadosamente para determinar si esta actualización es compatible con las normas de privacidad de la UE.

Para las prácticas médicas que operan dentro de los EE.UU., el cumplimiento de la HIPAA va a ser una preocupación importante. Al entregar sus datos de acceso al correo electrónico a Microsoft, está dando al gigante tecnológico un acceso potencial a información sensible sobre los pacientes.

El robo de propiedad intelectual (PI) también plantea una amenaza interesante: si el contenido que almacena en el entorno de nube de Microsoft incluye información sensible a la PI, su empresa tendrá que evaluar el riesgo que supone una violación o exposición de cualquiera de los datos de su empresa.

En resumen, debemos preguntarnos si los correos electrónicos de Outlook son privados y seguros. Microsoft hace alarde de varias funciones de cifrado para proteger sus correos electrónicos de Outlook, en particular para los clientes empresariales, pero con esta nueva actualización, Outlook ya no puede considerarse privado y seguro.

Recuerda siempre que un servidor en la nube no es más que el ordenador de otra persona. Si tus datos no están cifrados de forma segura de extremo a extremo en tránsito y en reposo, tampoco estarán seguros en ese servidor.

Activar la privacidad

¿Qué puede hacer el internauta medio ante estos cambios invasivos que afectan no sólo a su seguridad, sino también a su privacidad?

El primer paso sería dejar de elegir Outlook para uso personal. Hay multitud de soluciones de código abierto para proteger tus correos electrónicos, eventos del calendario y listas de contactos.

Tuta Mail proporciona todas estas características y más con cifrado completo de extremo a extremo de todos sus datos y nunca tenemos acceso a sus credenciales de inicio de sesión.

Tuta Mail le permite utilizar direcciones de correo electrónico ilimitadas con su propio dominio personalizado, mientras que Outlook ya no admite dominios personalizados para usuarios privados.

El siguiente paso sería plantear estas preocupaciones a tus amigos, compañeros de trabajo y a la consulta de tu médico. Haciendo correr la voz de que existen alternativas a las grandes tecnológicas que respetan la privacidad, todos podemos luchar para hacer de nuestro futuro digital un espacio más seguro y libre.

En Tuta nos comprometemos a construir una Internet mejor, en la que tu privacidad esté protegida por defecto.

Regístreseahora para obtener una cuenta de correo electrónico privada y segura.