Llegamos a ustedes gracias a:



Reportajes y análisis

Privacidad vs. Seguridad: Colección de datos en Windows 10

[12/01/2017] Las agresivas capacidades de recopilación de datos de Windows 10 pueden afectar a los usuarios sobre espionaje corporativo, pero las empresas tienen un control que los usuarios de la edición de consumo no: Los administradores pueden decidir cuánta información se devuelve a Microsoft.

Pero las empresas deben pensar dos veces antes de apagar la telemetría de Windows para aumentar la privacidad corporativa. Eso es porque hacerlo puede disminuir la eficacia de las características de seguridad de Windows 10.

Microsoft no solo aspira grandes cantidades de datos porque puede. La compañía ha reiterado su postura de que Windows 10 no recoge los datos personales del usuario, sino datos anónimos de archivos que luego se utilizan para mejorar la experiencia general del usuario y la funcionalidad de Windows.

Con el cambio actual a Windows como servicio, Microsoft planea lanzar más actualizaciones al sistema operativo con más frecuencia, y utilizará datos de telemetría para entender cómo la gente realmente está usando Windows y sus aplicaciones. Microsoft puede usar la información para averiguar qué nuevas características son necesarias o priorizar cambios en los componentes existentes.

Para Microsoft, más datos significa más seguridad

Pero los datos de telemetría se utilizan para más que mejorar o evolucionar Windows. También hay un impacto real en la seguridad.

El conocimiento es poder, y en el caso de Windows 10, esos datos de uso permiten a Microsoft reforzar la protección contra amenazas, señala Rob Lefferts, director de administración de programas de Microsoft para Windows Enterprise y Security.

La información recopilada se utiliza para mejorar varios componentes de Windows Defender, como Application Guard y Advanced Threat Detection (estas dos funciones solo están disponibles para clientes con Windows 10 Enterprise con actualización de aniversario y Enterprise E5). Como herramienta de seguridad integrada de Windows 10, Windows Defender utiliza protección en tiempo real para analizar todo lo que se descarga o se ejecuta en la PC. La información de estas exploraciones se envía a Microsoft y se utiliza para mejorar la protección de todos los demás.

Por ejemplo, el protector de aplicaciones de Windows Defender para Microsoft Edge colocará el navegador Edge en una máquina virtual ligera para que sea más difícil salir del navegador y atacar el sistema operativo. Con la telemetría, Microsoft puede ver cuando las infecciones pasan las defensas de Application Guard y mejorar los controles de seguridad para reducir las recurrencias.

Microsoft también extrae señales de otras áreas del ecosistema de Windows, como Active Directory, con información del dispositivo Windows 10 para buscar patrones que puedan indicar un problema como infecciones de ransomware y otros ataques. Para detectar esos patrones, Microsoft necesita acceso a datos técnicos, tales como qué procesos están consumiendo los recursos del sistema, diagnósticos de hardware e información a nivel de archivo, como qué aplicaciones tenían qué archivos abiertos, anota Lefferts.

En conjunto, la información de hardware, detalles de aplicación y datos de controlador de dispositivo se pueden utilizar para identificar partes del sistema operativo que están expuestos y deben aislarse en contenedores virtuales.

Cómo afectan los niveles de telemetría de Windows 10 a la seguridad y la administración

Los administradores de TI pueden controlar qué telemetría se devuelve a Microsoft utilizando objetos de directiva de grupo, si están utilizando una versión empresarial de Windows 10 y una herramienta de administración de Microsoft, por supuesto. (Las versiones para consumidores de Windows no proporcionan esta capacidad, por lo que ahora hay bloqueadores de telemetría de terceros en el mercado, aunque no se puede bloquear toda la telemetría).

La opción Privacidad en Configuración permite a los administradores elegir uno de los tres niveles de telemetría: Básico, Mejorado y Completo. Windows 10 Home y Pro se establecen de forma predeterminada en Completo. Windows 10 Enterprise y Education se establecen de forma predeterminada en Mejorado. Pero hay un cuarto nivel denominado Seguridad, disponible solo en las ediciones Enterprise y Education de Windows 10 y solo a través de directivas de grupo (no a través de Configuración).

Disponible para administradores solamente, el nivel de Seguridad envía menos datos. El nivel de Seguridad envía menos telemetría a Microsoft que el nivel Básico. Además, recopila datos técnicos suficientes sobre la configuración del componente Connected User Experience y Telemetry de Windows, el MSRT (Herramienta de eliminación de software malintencionado por sus siglas en inglés) y Windows Defender para proteger Windows, Windows Server y System Center.

En el nivel de Seguridad, se envía a Microsoft solo la información del SO, el ID del dispositivo y la clase de dispositivo (servidor, escritorio, dispositivo móvil) junto con el informe MSRT que contiene información sobre la infección y la dirección IP. Windows Defender y System Center Endpoint Protection proporcionan información de diagnóstico, configuración de control de cuenta de usuario, configuración UEFI (Unifieid Extensible Firmware Interface) y direcciones IP. (Si no se envía esta última información, apague Windows Defender y utilice una herramienta de terceros).

Si el objetivo es que ningún dato se vaya a Microsoft, utilizar el nivel de Seguridad es la mejor opción. Pero tiene un gran inconveniente: Windows Update no funcionará, ya que la información de Windows Update -como saber si la instalación de la actualización tuvo éxito o no- no se recoge en el nivel de seguridad. MSRT tampoco se ejecutará si Windows Update no funciona.

Por lo tanto, requiere mucha implicación de TI para mantener los sistemas actualizados y seguros, si el nivel de telemetría se establece en Seguridad.

El nivel Básico es el mínimo que un usuario puede elegir dentro de Windows. Para la mayoría de los usuarios centrados en la privacidad, el nivel Básico es probablemente la mejor opción para limitar lo que se envía a Microsoft. El nivel Básico envía información de dispositivo como compatibilidad de aplicaciones e información de uso, además de la información enviada desde el nivel de Seguridad. Esto puede incluir el número de bloqueos y la cantidad de tiempo del procesador y la memoria de una aplicación utilizada a la vez. Los datos del sistema pueden ayudar a Microsoft a saber si un dispositivo cumple los requisitos mínimos para actualizarse a la siguiente versión.

Los datos del nivel Básico ayudan a identificar problemas que pueden ocurrir en una configuración particular de hardware o software. Los tipos de datos recogidos incluyen los atributos del dispositivo, como la resolución de la cámara, el tipo de pantalla y la capacidad de la batería; aplicaciones y versiones del sistema operativo; dispositivos de red, como el número de adaptadores de red; número IMEI (para dispositivos móviles) y red de operadores móviles; detalles de la arquitectura, como procesador, tipo de memoria y versiones de firmware; datos de almacenamiento, como número de unidades, tipo y tamaño; y soporte de virtualización.

El nivel Básico también recopila y transmite detalles de compatibilidad, como la forma en que funcionan los complementos con el navegador, cómo funcionan las aplicaciones con el sistema operativo y si los periféricos como impresoras y dispositivos de almacenamiento funcionan con la próxima versión del sistema operativo.

El nivel Mejorado ayuda a mejorar la experiencia del usuario. El nivel Mejorado, el valor predeterminado para Windows 10 Enterprise y Education, también envía datos sobre cómo se utilizan Windows, Windows Server, System Center y las aplicaciones; cómo se desempeñan; y su fiabilidad. Esto incluye eventos del sistema operativo, como los de redes, Hyper-V, Cortana, almacenamiento y sistema de archivos; eventos de la aplicación del sistema operativo, como los de Server Manager, Mail y Microsoft Edge; eventos específicos del dispositivo, como datos de Microsoft HoloLens; y todos los vertederos de choque.

Los datos recopilados desde el nivel Mejorado ayudan a Microsoft a mejorar la experiencia del usuario porque la empresa puede utilizar la información detallada para encontrar patrones y tendencias en el uso de las aplicaciones.

Mejorado es el nivel mínimo necesario para que Microsoft identifique y solucione los problemas de calidad de Windows 10, Windows Server y System Center.

El nivel Completo hace que su PC sea un libro abierto. El nivel Completo -el predeterminado para las versiones de consumidor de Windows- es el nivel de gratuidad que preocupa a la privacidad, ya que incluye datos técnicos significativos, que Microsoft afirma son "necesarios para identificar y ayudar a solucionar problemas".

En el nivel Completo, los dispositivos envían información relacionada con la fiabilidad, la capacidad de respuesta de la aplicación y el uso junto con todos los volcados de bloqueo.

La recopilación de datos ha cambiado en Windows

Los datos de telemetría no son nuevos para Windows 10. Microsoft usó telemetría en versiones anteriores de Windows y Windows Server para buscar firmas nuevas o nuevas de Windows Defender, verificar instalaciones de Windows Update y reunir información de confiabilidad a través del RAC (Componente de Análisis de Confiabilidad, por sus siglas en inglés) y Windows CEIP (Programa de Mejora de la Experiencia del Cliente, por sus siglas en inglés).

Lo que ha cambiado es que Windows 10 ha ampliado el ámbito para comprender mejor el tipo de hardware que se está utilizando, los diagnósticos básicos del sistema, los registros de la frecuencia con la que se utilizan las funciones, las aplicaciones instaladas, la forma en que los usuarios utilizan esas aplicaciones y los datos de fiabilidad desde controladores de dispositivo.

Microsoft señala que trata de evitar la recopilación de información personal, pero puede suceder. Por ejemplo, los volcados de bloqueo pueden contener el contenido de un documento que estaba en la memoria en el momento del bloqueo.

La noticia de que Microsoft incluiría contenido de inteligencia de amenazas como indicadores e informes de ataques pasados del producto iSight Intelligence de FireEye a la Protección Avanzada de Amenazas de Windows Defender, generó la preocupación de que FireEye obtuviera acceso a algunos de los datos de telemetría. Pero Microsoft dice que no es parte del acuerdo con FireEye.

El plan de Microsoft de poner la publicidad en las pantallas de bloqueo de los usuarios y en las pantallas de inicio -y bloquear a los administradores de TI para que no puedan deshabilitarlos- también ha alimentado las llamas del miedo a la seguridad. Después de todo, la publicidad similar de Google y Facebook depende en gran medida de la intensa recopilación de datos personales para orientar los anuncios.

Vale la pena señalar que Windows no está intencionadamente recopilando datos funcionales, como la ubicación del usuario cuando el usuario está viendo el clima local o noticias. La aplicación puede recopilar dichos datos, pero no el sistema operativo Windows 10 y, por lo tanto, la telemetría de Windows 10.

Por supuesto, Microsoft recopila información personal de sus propias aplicaciones. Cortana es un ejemplo, pero los usuarios pueden apagar Cortana completamente.

En general, las organizaciones de TI deben ser capaces de encontrar un nivel de telemetría con el que se sientan cómodos en términos de privacidad, sin sacrificar la seguridad principal de Windows. Pueden tener que pagar el precio de los costos más altos del administrador si utilizan el nivel más bajo de la telemetría (seguridad), pero solamente si eligen hacerlo.