Windows AI Recall: Nueva vulnerabilidad TotalRecall Reloaded expone datos

La ciberseguridad es, a menudo, una carrera de obstáculos donde el defensor construye muros más altos solo para que el atacante encuentre una grieta en los cimientos. El 30 de abril de 2026, esta realidad quedó grabada en la historia de la informática moderna cuando el investigador Alexander Hagenah presentó su herramienta más disruptiva hasta la fecha: TotalRecall Reloaded. Esta utilidad no solo es un recordatorio de la persistencia de las amenazas, sino una demostración técnica de cómo la arquitectura de Windows AI Recall, a pesar de sus múltiples capas de blindaje, posee un “talón de Aquiles” crítico en la gestión de sus procesos de renderizado.

La ilusión de la fortaleza: ¿Qué es Windows AI Recall?

Para entender la magnitud del hallazgo de Hagenah, es imperativo recordar el accidentado camino de Windows AI Recall. Originalmente concebida como una “memoria fotográfica” para PCs, la función capturaba capturas de pantalla cada pocos segundos, permitiendo a los usuarios buscar cualquier actividad pasada mediante lenguaje natural. Tras un desastroso lanzamiento inicial en 2024 que reveló que los datos se almacenaban en texto plano, Microsoft retiró la función para someterla a un rediseño total.

La versión relanzada en 2025 prometía una seguridad impenetrable basada en cuatro pilares fundamentales:

• Enclaves de Seguridad Basados en Virtualización (VBS): Los datos sensibles se procesan en un entorno aislado (VTL1) protegido por el hipervisor de Windows, fuera del alcance del kernel estándar.
• Cifrado AES-256-GCM: La base de datos SQLite y las capturas de pantalla están cifradas con algoritmos de grado militar.
• Autenticación mediante Windows Hello: El acceso a los datos requiere una validación biométrica obligatoria para asegurar la presencia física del usuario.
• Procesos Protegidos (PPL): El host principal que gestiona las llaves está diseñado para resistir la inspección de memoria, incluso por parte de administradores locales.

Sin embargo, TotalRecall Reloaded ha demostrado que, aunque la caja fuerte sea de titanio, la “camioneta de reparto” que entrega el contenido al usuario sigue siendo de madera.

TotalRecall Reloaded: El asalto a la “última milla” de los datos

El exploit descubierto por Hagenah no intenta romper el cifrado AES-256-GCM, lo cual sería computacionalmente inviable en el tiempo de vida de un sistema operativo. En su lugar, el ataque se centra en el flujo de datos después de que el usuario ha abierto la “puerta” mediante Windows Hello. El investigador identificó un componente específico llamado AIXHost.exe, el proceso encargado de renderizar la interfaz de usuario de Recall y mostrar la línea de tiempo.

El papel crítico de AIXHost.exe

A diferencia del servicio principal que gestiona el enclave, AIXHost.exe opera fuera de las protecciones más estrictas de Windows. Según el análisis técnico de Hagenah, este proceso carece de:

1. Aislamiento en AppContainer: No está confinado en un sandbox que limite su interacción con otros procesos del mismo usuario.
2. Protección PPL (Protected Process Light): No tiene las restricciones de integridad que impiden que otros procesos lean su memoria o inyecten código.
3. Validación Estricta de Integridad de Código: Permite que hilos de ejecución externos interactúen con sus funciones de renderizado.

Windows AI Recall confía plenamente en la sesión autenticada. Una vez que el usuario pone su huella digital o rostro frente a la cámara, el sistema descifra los datos en el enclave y los envía a AIXHost.exe para su visualización. Es precisamente en este punto de tránsito donde TotalRecall Reloaded actúa.

Anatomía técnica del exploit

El funcionamiento de TotalRecall Reloaded es elegante en su simplicidad y devastador en su ejecución. El ataque se divide en fases técnicas que aprovechan las funciones legítimas del sistema operativo para evadir la detección.

Inyección de código y secuestro de sesión

Utilizando APIs estándar de Windows como CreateToolhelp32Snapshot y WriteProcessMemory, la herramienta localiza el proceso AIXHost.exe e inyecta una DLL maliciosa. Debido a que el ataque se ejecuta bajo los privilegios del usuario actual, no se requiere acceso de administrador para realizar esta inyección. El malware simplemente espera en segundo plano hasta que el usuario activa legítimamente Windows AI Recall.

Extracción en tiempo real

Cuando el usuario se autentica con Windows Hello, el enclave libera el flujo de datos cifrados hacia el proceso de renderizado. En ese instante, los objetos COM (Component Object Model) que contienen las capturas de pantalla, el texto procesado por OCR y los metadatos de las aplicaciones, fluyen a través de la memoria de AIXHost.exe. La carga útil de TotalRecall Reloaded intercepta estos objetos antes de que lleguen a la pantalla, permitiendo al atacante:

• Exportar capturas de pantalla: Guardar imágenes de alta resolución de lo que el usuario está viendo en su línea de tiempo.
• Drenar el OCR: Extraer todo el texto reconocido, que a menudo incluye contraseñas visibles en pantalla, estados bancarios y conversaciones privadas.
• Persistencia de acceso: Hagenah descubrió que al parchear la función DiscardDataAccess dentro del proceso, el estado de “autenticado” puede mantenerse indefinidamente, permitiendo la extracción continua sin solicitar nuevamente Windows Hello.

Como bien lo describió el propio Hagenah en su informe: “La puerta de la bóveda es de titanio, pero la pared de al lado es de yeso”. El atacante no necesita la llave de la bóveda si puede atrapar el contenido mientras sale por la puerta abierta.

¿Por qué Windows AI Recall no detecta esta actividad?

El problema fundamental reside en que, para el sistema operativo, la actividad de TotalRecall Reloaded parece legítima. Al operar dentro del mismo contexto de seguridad que el usuario autenticado y utilizar las mismas interfaces COM que la interfaz de usuario oficial, las herramientas de seguridad tradicionales (EDR) tienen dificultades para distinguir entre una solicitud de renderizado genuina y una extracción maliciosa.

Implicaciones para la protección de datos empresariales

Para los defensores de la ciberseguridad, el descubrimiento del bypass en Windows AI Recall cambia drásticamente el modelo de amenazas. Ya no basta con asegurar que los datos estén “encriptados en reposo” (at-rest) o que el acceso esté protegido por biometría. El riesgo ahora se desplaza a los datos “en uso” (in-use).

El desafío de los Insider Threats

Un empleado con intenciones maliciosas o un malware que haya logrado persistencia en una estación de trabajo puede utilizar técnicas similares a las de TotalRecall Reloaded para realizar espionaje corporativo a una escala sin precedentes. Windows AI Recall centraliza toda la actividad del usuario en un solo lugar; un atacante ya no necesita buscar archivos específicos, solo necesita “cabalgar” sobre la sesión de Recall para obtener una crónica completa de la propiedad intelectual de la empresa.

La respuesta de Microsoft: ¿Vulnerabilidad o diseño?

En declaraciones tras la publicación del exploit, portavoces de Microsoft han sugerido que el comportamiento demostrado por Hagenah opera dentro del diseño documentado de seguridad de Windows AI Recall. Según su postura, si un atacante ya tiene acceso al contexto del usuario y el usuario ha autenticado físicamente la sesión, el sistema está funcionando como se esperaba. Sin embargo, esta lógica ignora la realidad de los ataques de “ride-along” (viaje acompañado), donde el malware se aprovecha de una acción legítima del usuario para actuar de forma invisible.

Hacia un nuevo paradigma de monitoreo conductual

La lección más valiosa que nos deja TotalRecall Reloaded en este 2026 es que los enclaves y el cifrado local son insuficientes si no se complementan con un monitoreo conductual robusto en tiempo real. Para mitigar estos riesgos, las organizaciones deben considerar:

• Detección de inyección de procesos: Monitorear rigurosamente cualquier intento de inyección de código en procesos críticos relacionados con la IA como AIXHost.exe y aihost.exe.
• Auditoría de llamadas COM: Implementar telemetría que detecte patrones inusuales de acceso a las interfaces de datos de Recall, especialmente aquellas que solicitan grandes volúmenes de metadatos en intervalos cortos.
• Políticas de Zero Trust aplicadas a procesos: No asumir que un proceso es seguro solo porque corre bajo la identidad del usuario. Es necesario aplicar principios de aislamiento incluso dentro de la sesión activa.

Conclusión: El futuro de la IA y la privacidad

Windows AI Recall representa una de las herramientas de productividad más potentes jamás creadas, pero también una de las superficies de ataque más densas. La investigación de Alexander Hagenah ha puesto de manifiesto que la complejidad de la IA integrada en el sistema operativo requiere un nivel de seguridad que vaya más allá del cifrado estático. Mientras los atacantes sigan encontrando formas de “viajar” junto a las sesiones legítimas de los usuarios, la promesa de una memoria digital privada seguirá siendo un ideal difícil de alcanzar sin una vigilancia constante y una arquitectura de software verdaderamente endurecida en todos sus extremos.