Lo que oculta el nuevo Windows Update

Hace poco tiempo, una conocida publicación alemana (http://www.tecchannel.de), revelaba que cada vez que un usuario de Windows XP se conecta a Windows Update para la actualización automática del software, también envía al sitio de Microsoft, una lista de programas (según Microsoft, solo de los elementos instalados del sistema operativo), junto a la configuración del hardware usado.

La prueba realizada por la publicación, hacía uso de una función indocumentada de las APIs (Application Program Interface), un conjunto de rutinas utilizadas para solicitar y efectuar servicios ejecutados directamente por el sistema operativo. Con esa función, se lograban capturar los datos transmitidos hacia Microsoft durante una conexión a Windows Update, lo que por lo menos demostraba que la empresa podría identificar específicamente dicha máquina si quisiera hacerlo.

Según TecChannel, esta información se envía encriptada, pero la función API mencionada permite la captura de estos datos en un formato de texto plano, un punto antes de realizarse la encriptación.

Según se informa ahora en Spywareinfo.com, Microsoft ha admitido que ello realmente ocurre, aunque la empresa insiste en que lo hace sin violar su declaración de privacidad.

Chris Cannon, director de la división de servidores de Microsoft, afirma que para proporcionar la actualización necesaria es necesario tener algún conocimiento del hardware utilizado. Esto también incluye saber si el software es legítimo o no. Pero esta información no es utilizada ni almacenada, para ningún otro cometido. Tampoco se obtiene ningún otro tipo de información que identifique en forma individual al usuario.

Para Mike Healan, de Spywareinfo, esto es una tontería (y tal vez tenga razón). Durante años Windows Update manejó las actualizaciones del producto sin necesidad de enviar ninguna lista del software o hardware instalado en nuestras computadoras. Muchos expertos comprobaron en su momento que ello realmente era así, a pesar de los viejos rumores de que Microsoft podía saber lo que teníamos instalado en nuestro PC, rumores que conozco desde que instalé Windows 95 y mi primera conexión doméstica a Internet.

Hasta Windows Me al menos, la lista del software actualizado, y que se necesitaba o que no, se hacía en la propia computadora, y ningún dato sobre esto era enviado a Microsoft.

Pero parece que desde Windows XP, esto ya no es así. Aunque no debería sorprendernos si recordamos algunos antecedentes.

En febrero de 2002, Microsoft modificó su declaración de privacidad sobre su producto Media Player, debido a que se había revelado que dicho software, cada vez que un CD es ejecutado, descarga el nombre del disco y los títulos de cada canción desde un sitio Web licenciado por la compañía. Esta información es guardada en un pequeño archivo en cada computadora. Y como parte de la descarga de información acerca de las canciones y las películas desde un sitio Web, el programa también transmite un número identificador único para cada usuario de esa computadora.

Esto genera al menos la posibilidad que los hábitos de los usuarios sean rastreados y vendidos con propósitos comerciales. Microsoft asegura que nada de esto se vende o se comparte con terceros, y ningún dato que pudiera poseer información personalizada identificable en forma individual, es reunida en sus servidores. También es cierto que nunca hubo ninguna evidencia de que ello no se cumpliera.

Aunque no puedo evitar la sensación de que estas declaraciones siempre están al borde de algo, opino que todavía podremos creer lo que Microsoft dice sobre no violar su declaración de privacidad. Tal vez sencillamente porque mentir sobre ello puede costarle muchos millones.

Tal vez más de los 200 que recientemente prometió pagar, mediante un acuerdo extrajudicial, a un grupo de consumidores que lo acusaban ante los tribunales de monopolista y de vender su software por encima de su precio. En febrero de 2003, un acuerdo similar en California, compensó a los consumidores descontentos nada menos que con 1.100 millones de dólares.

Mentir descaradamente sobre su declaración de privacidad puede costarle muchos más millones (y la perdida total de la ya tan castigada confianza hacia sus productos).

Y lo que no dudo, es que cosas como éstas, van a dar más argumentos a los que critican su nuevo modelo de seguridad, denominada NGSCB (enscub), ex Palladium, tal como expresábamos en nuestro pasado artículo "Temores sobre el nuevo modelo de seguridad de Microsoft", http://www.vsantivirus.com/17-04-03.htm.  

Las nuevas características agregadas a Windows Update por Microsoft, pueden ser un arma de doble filo, tanto para nosotros los usuarios, como para la propia compañía.

Por Jose Luis Lopez
Fuente : VSAntivirus