El ‘bloatware’ de los PC de Lenovo viene con un hueco de seguridad

Superfish
Los computadores de Lenovo tienen una brecha de seguridad

Superfish
Los computadores de Lenovo tienen una brecha de seguridad

Lenovo es la empresa más grande en el mercado de computadores personales. Por lo tanto, la siguiente noticia tiene que tener a muchas personas con los pelos de punta. Según The Next Web, varios usuarios han reportado que las máquinas de la compañía china vienen preinstaladas con un software llamado Superfish. En sí, no sería más que una de las malas prácticas que tienen todos los fabricantes de computadores personales de instalar programas indeseados de fábrica. Sin embargo, después de una inspección más a fondo, analistas de seguridad encontraron que Superfish crea certificados SSL cuando un sitio web pide este tipo de seguridad, lo que afecta la integridad de la comunicación entre el usuario y la página web. 

Si no entienden bien este concepto, para verificar la autenticidad de un sitio web (principalmente para evitar el phishing), las páginas de los bancos, de Amazon y demás que usan información personal, tienen un protocolo de seguridad conocido como SSL. Normalmente, una firma de confianza como Verisign o Microsoft hace la verificación y se activa el candado verde que vemos en en la barra de los navegadores.

Lo que hace Superfish es generar este certificado, lo que le da al usuario la falsa seguridad que está en el sitio web adecuado. Superfish en sí no es un malware ni un código malicioso. Es más, la compañía está enfocada en mercadeo y lo que hace es rastrear los comportamientos del usuario en internet para insertar anuncios en resultados de búsquedas y algunos sitios web de comercio electrónico.

El problema es que todos los certificados root –los que ‘muestran’ las páginas web para demostrar que son seguras– tiene la misma llave, y no una llave única por cada usuario. Esto abre la posibilidad que cualquier persona la descifre y pueda hacer un sitio malicioso que se haga pasar por un sitio seguro, capturando así la información del usuario. Es más, de acuerdo con Ars Technica, Rob Graham, CEO de Errata Security, logró descifrar la clave en menos de tres horas, lo que le da la posibilidad de ejecutar ataques de hombre en la mitad sobre los computadores que están corriendo Superfish.

Lo peor de todo es que la clave es la misma para todos los computadores de Lenovo, lo que quiere decir que teóricamente un atacante puede crear sitios web falsos y capturar información personal de cualquier persona que tenga una máquina con Superfish.

Pero los problemas con el adware no terminan ahí. De acuerdo con The Next Web, después de desinstalar el software, el certificado sigue dentro del sistema. En la página mencionada están las instrucciones para remover el certificado, aunque están en inglés.

Lenovo explica por medio de un comunicado de prensa que “Superfish venía preinstalado en un lote de computadores despachados en una pequeña ventana entre septiembre y diciembre para ayudar a los consumidores descubrir productos interesantes mientras compraban”. Después de la reacción negativa de sus clientes, la organización aseguró que los servidores de Superfish quedaron deshabilitados desde enero. Lenovo dejó de preinstalar el software y no lo volverá a usar en el futuro.

Aunque las preocupaciones de seguridad son grandes, este reciente episodio pone en entredicho las terribles políticas que tienen casi todos los fabricantes de preinstalar software en sus equipos. La mayoría de los usuarios nunca se darán cuenta, pero el bloatware ralentiza los equipos y buscan vender productos innecesarios. Superfish se pasa de la raya al recolectar información privada de los usuarios para insertar publicidad en los navegadores como Chrome e Internet Explorer. Según varios medios, Firefox no sufrió el problema ya que tiene su propia forma de verificar los certificados.

A pesar de las declaraciones de Lenovo y la facilidad de desintalar el adware, muchos usuarios comunes y corrientes seguramente no llegarán a quitar el certificado root, lo que deja a miles de personas abiertas a un ataque. Es más, de acuerdo con TechCrunch, los servicios de inteligencia de Inglaterra han prohibido el uso de los dispositivos de Lenovo para prevenir posibles huecos en la seguridad.

Imagen: Wikimedia Commons.

Mateo Santos

Mateo Santos

En vez de un tetero, nací con un Mac Classic en mi cuarto. Esa caja con pantalla en blanco y negro fue mi primera niñera. Por ahí, también rondaba un balón de fútbol y una camiseta de Millonarios. Desde ese día, sabía que la tecnología y el fútbol iban a ser mi estrella de Belén. El primer juego que tuve en mis manos fue Dark Castle, también en un Macintosh. No me gusta la música. Soy un amante escéptico de la tecnología. Hago parte del proyecto de ENTER.CO para llenar el vacío en información de tecnología que hay en América Latina, o como dirían los enterados, en LATAM. Me gradué de Administración de Empresas en los Andes y después hice una maestría en periodismo en la Universidad Europea de Madrid.

View all posts

28 comments

Archivos