Las empresas pueden utilizar las herramientas de gestión de riesgos de Microsoft Office para supervisar de forma encubierta las actividades de los empleados en los equipos del trabajo.
La compañía de software proporciona herramientas en su suite Office 365 que pueden usar los empleadores para leer los correos electrónicos del personal y controlar cuánto tiempo dedican a las llamadas y a cuántas reuniones asisten.
Las capacidades de vigilancia de la suite Office de Microsoft, que es ampliamente utilizada por empresas de todo el mundo, fueron reveladas en una disertación de un investigador del University College London (UCL).
La investigación muestra que las empresas continúan explotando las capacidades integradas en Office 365 para monitorear las computadoras del personal unos 18 meses después de que Microsoft tomó medidas para proteger la privacidad de los empleados.
La divulgación ha llevado a llamadas para que Microsoft cambie su software para alertar al personal cuando las empresas usan sus herramientas de productividad de Office 365 para monitorear a los empleados identificados.
Eliot Bendinelli, tecnólogo sénior del grupo de campaña Privacy International, que participó en la investigación, dijo que Microsoft debería ser más transparente sobre los datos que permite que las empresas recopilen.
“La capacidad de un empleador o un administrador de TI para leer todas las comunicaciones y documentos, y acceder a datos sobre las actividades en línea de los empleados sin su conocimiento, es una de las características más problemáticas de Office 365”, dijo a Computer Weekly.
microsoft introdujo medidas para proteger la privacidad de los empleados en Office 365 en 2020 siguiente crítica que su herramienta Productivity Score permitía a los gerentes monitorear a los empleados individuales.
“La capacidad de un empleador de leer todas las comunicaciones y documentos, y de acceder a datos sobre las actividades en línea de los empleados sin su conocimiento, es una de las características más problemáticas de Office 365”
Eliot Bendinelli, Privacidad Internacional
La empresa reemplazó sus informes con datos agregados que miden cuántos empleados enviaban correos electrónicos, colaboraban en documentos compartidos y participaban en chats grupales, de una manera que no era rastreable a usuarios individuales.
Pero la investigación realizada por el graduado en ciencias informáticas de la UCL Demetris Demetriades y Privacy International muestra que los empleadores aún pueden usar las funciones de Office 365 para monitorear a los empleados individuales.
Demetriades descubrió que los empleadores pueden usar las herramientas de gobierno y gestión de riesgos en Office 365 para ver el contenido de correos electrónicos o mensajes enviados por empleados específicos e identificar las actividades que los usuarios individuales han llevado a cabo usando su computadora de trabajo.
Los empleadores pueden utilizar las herramientas de “búsqueda de contenido” y “auditoría” de Microsoft para crear una imagen detallada de las actividades de los empleados, dijo a Computer Weekly.
“Cualquier interacción que se realice a través del correo electrónico comercial, las funciones de auditoría y búsqueda de contenido la identifican y la registran. Por ejemplo, registran la hora del correo electrónico, el destinatario y el contenido del correo electrónico. Si el correo electrónico contiene archivos adjuntos o una imagen, el empleador también puede verlo”, dijo.
Privacy International argumenta en un artículo sobre la investigación de Demetriades que estas herramientas se pueden utilizar para construir un perfil detallado de un empleado.
“Al combinar estas dos características integrales, los empleadores pueden dibujar una imagen bastante íntima de cada empleado, hasta el más mínimo detalle. Esto incluye no solo una lista de la mayoría de las acciones que realizan, sino también la posibilidad de acceder fácilmente a todo el contenido que se intercambia dentro de la organización y las comunicaciones externas a través del correo electrónico”, dijo.
Supervisión de jugadores del equipo
Los administradores de TI también pueden usar el centro de administración en el software de videoconferencia, mensajería y colaboración de Microsoft Teams para evaluar cuánto tiempo dedican los empleados a las llamadas, cuántos mensajes intercambian y en cuántas reuniones individuales participan.
El software registra qué dispositivos usan los empleados para asistir a cada reunión o enviar cada mensaje, lo que potencialmente permite a los empleadores hacer inferencias sobre los empleados.
Por ejemplo, los gerentes pueden suponer que un empleado que se une a una reunión temprano en la mañana desde su teléfono, en lugar de su computadora portátil, aún podría estar en la cama.
Microsoft proporciona a las empresas datos agregados que muestran cómo los empleados de la organización, o grupos individuales, utilizan las aplicaciones de Office 365. También les proporciona una puntuación de productividad que muestra qué tan bien los empleados utilizan las capacidades de Office 365 en comparación con empresas similares.
Para las organizaciones más pequeñas, estos datos aún se pueden usar para hacer inferencias sobre el desempeño de los empleados individuales, encontraron Demetriades y Privacy International.
Las herramientas de auditoría y búsqueda de contenido que ofrece Microsoft tienen usos legítimos, como permitir a los empleadores identificar incumplimientos de contratos laborales, incumplimientos de las políticas de la empresa sobre acoso y divulgación de secretos comerciales.
Pero Demetriades y Privacy International argumentan que no existen garantías para proteger a los empleados del mal uso de las herramientas de auditoría y que los usuarios de Office 365 no reciben ninguna advertencia si las empresas deciden habilitar esas herramientas.
“Esta falta de transparencia y limitaciones por parte de los empleados significa que potencialmente pueden ser mal utilizados y convertidos en una máquina de vigilancia sin el pleno conocimiento de los empleados”, afirman.
‘Seudonimizado por defecto’
Microsoft no contradijo la investigación de UCL, pero dijo en un comunicado a Computer Weekly que usa información enmascarada o “seudonimizada” sobre los usuarios de Office 365 “de forma predeterminada”.
“No creemos en el uso de la tecnología para espiar a empleados individuales. La mayoría de las herramientas de análisis de Microsoft 365 que brindan información sobre la adopción y el uso lo hacen a nivel agregado, en grupos u organizaciones enteras”.
portavoz de microsoft
La revelación de información identificable del usuario se trata como un evento registrado en el registro de auditoría del centro de cumplimiento de Microsoft 365, agregó la compañía.
“No creemos en el uso de la tecnología para espiar a empleados individuales. Los conocimientos basados en datos han sido durante mucho tiempo una parte fundamental de cómo los profesionales de TI implementan y administran soluciones, brindan servicios, cumplen con los requisitos reglamentarios y solucionan problemas en sus organizaciones”, dijo un portavoz.
“La mayoría de las herramientas de análisis de Microsoft 365 que brindan información sobre la adopción y el uso lo hacen a nivel agregado, en grupos u organizaciones enteras. Estas herramientas son una parte importante para ayudar a las organizaciones a funcionar de manera efectiva y aprovechar al máximo su inversión”, agregó el vocero.
Microsoft debería alertar a los empleados sobre la supervisión
Aunque Microsoft menciona en su política de privacidad que Office 365 puede ser utilizado por organizaciones para “acceder y procesar sus datos”, incluidos “los contenidos de sus comunicaciones y archivos”, es poco probable que los empleados lo noten, quienes pueden tener que dar su consentimiento para la software que utiliza su empresa.
Microsoft no limita la forma en que los empleadores pueden usar sus herramientas de “auditoría” y “búsqueda de contenido”, lo que significa que podrían hacer un mal uso de ellas para espiar a los empleados sin su consentimiento.
Si los empleadores no revelan qué capacidades de Office 365 están activadas, los empleados no tienen forma de saber “si todas sus acciones con Office 365 están siendo monitoreadas o incluso si alguien está leyendo sus comunicaciones”, argumentó el grupo de privacidad.
Captura de pantalla de la sección de política de privacidad de Microsoft
Demetriades dijo que Microsoft podría hacer más para evitar que los empleadores espíen a los empleados, como la introducción de un tablero dedicado accesible para todos los empleados que enumera qué aplicaciones de productividad se han habilitado o deshabilitado y qué datos recopila la organización y bajo qué circunstancias.
Microsoft también debería notificar a los usuarios de Office 365 cuando las empresas activan las funciones de “auditoría” y “búsqueda de contenido”, y si los administradores desactivan la opción de ocultar nombres de usuario en Office 365 para generar informes sobre personas nombradas, agregó.
“No digo que estas características deban eliminarse por completo, porque son buenas para la productividad, pero deben usarse para proporcionar información agregada”, dijo Demetriades.
Hay otras formas de ver si los empleados individuales están siendo productivos en lugar de usar estas métricas, agregó.
Los empleadores tienen responsabilidades legales
Según la ley de protección de datos del Reino Unido, los empleadores son responsables de garantizar que cumplen con la ley cuando usan software para monitorear a los empleados.
Las empresas deben asegurarse de que el monitoreo de los empleados en el trabajo sea proporcional y, si lo es, si pueden justificar la recopilación de datos sobre los empleados sin informarles primero, dijo el abogado de TI Dai Davies.
“El verdadero problema es que no hay una respuesta en blanco y negro. Lo que es proporcionado en una situación no lo es en otra”, dijo.
Por ejemplo, probablemente sea proporcionado y lícito que un minorista instale una cámara oculta donde haya motivos para sospechar que un miembro del personal está robando en una caja. Sin embargo, no sería proporcionado que una empresa registrara las pulsaciones de tecla realizadas por cada secretaria empleada por la organización para identificar a los mecanógrafos menos productivos.
“Monitorear a todos es mucho más problemático que monitorear a unas pocas personas. Uno de los problemas de Microsoft Office 365 es que permite monitorear a todos los empleados y, por lo tanto, es más difícil de justificar”, dijo Davis.
Dijo que Microsoft no había reconocido que los empleadores podían combinar los datos recopilados de Office 365 con otros datos que tienen sobre su personal.
Razones legítimas para monitorear a los empleados
David Wilson, CEO de Fosway Group, analista especializado en la industria de recursos humanos, dijo que había razones legítimas por las que las empresas querrían monitorear a los empleados.
Estos incluyen monitorear las aplicaciones del lugar de trabajo para identificar patrones de uso o monitorear el correo electrónico para identificar el robo de propiedad intelectual o el acoso en el lugar de trabajo.
“Es difícil argumentar que a una empresa no se le debe permitir acceder a los correos electrónicos del personal o al historial de navegación si existen razones legales o críticas para el negocio. El problema es más de gobernanza y de garantizar que no se abuse de las capacidades de monitoreo”
David Wilson, Grupo Fosway
“Es difícil argumentar que a una empresa no se le debe permitir acceder a los correos electrónicos del personal o al historial de navegación si existen razones legales o críticas para el negocio. El problema es más de gobernanza y de garantizar que no se abuse de las capacidades de monitoreo”, dijo.
Por ejemplo, las empresas farmacéuticas piden el consentimiento de los empleados para usar software para filtrar automáticamente sus correos electrónicos y redes sociales para ver si se mencionan empresas rivales para garantizar que los empleados no filtren accidentalmente información confidencial a un competidor.
El mismo software podría utilizarse para identificar a los empleadores que han solicitado puestos de trabajo en empresas competidoras.
Simulación de Office 365
Demetriades usó una versión de prueba de Office 365 para simular una red empresarial compuesta por dos usuarios y un administrador de sistemas como parte de su proyecto de investigación para una maestría en seguridad de la información en la UCL.
“Configuré una cuenta de administrador, que representaba al empleador, y agregué dos cuentas de usuario, que representaban a los empleados”, dijo a Computer Weekly. “Utilicé mi computadora portátil y mi teléfono, y registré a cada usuario en un dispositivo, e intenté interactuar con mensajes simples y organizar reuniones para recopilar datos. La plataforma rastreó los datos y comenzó a generar los gráficos y las métricas”.
Demetriades, un ingeniero de software, dijo que sería “muy fácil” para un empleador seleccionar y leer los correos electrónicos enviados por un empleado en particular.
Microsoft impulsó la privacidad de Office 365 en 2020
Microsoft anunció planes para eliminar los nombres de usuario de su herramienta Productivity Score en una publicación de blog en diciembre de 2020, en respuesta a las críticas de que los empleadores podrían hacer un mal uso de la función.
“Nadie en la organización podrá usar Productivity Score para acceder a datos sobre cómo un usuario individual usa aplicaciones y servicios en Microsoft 365”, dijo en la publicación.
La empresa también cambió la interfaz de su software para dejar en claro que el propósito de Productivity Score era monitorear la adopción de tecnología dentro de la organización en lugar de monitorear empleados individuales.
Pero la investigación de Demetriades muestra que los empleadores aún pueden usar Office 365 para monitorear las actividades de su personal.
Microsoft dijo en su declaración que había escenarios en los que los profesionales de TI necesitaban acceder a “información a nivel de usuario” para identificar y solucionar problemas o rastrear licencias de software.
“El acceso a estos informes está restringido a solo unos pocos roles centrados en TI. Además, Microsoft generalmente da el paso de ocultar la información de usuarios, grupos y sitios de forma predeterminada”, dijo un portavoz.
