Camiseta de Superfish

La empresa china Lenovo está hoy en el ojo del huracán debido al adware instalado por defecto en todos los ordenadores personales de la compañía pekinesa. Su presencia no es ninguna novedad, pero ahora también sabemos que permite recabar datos personales, además de mostrar anuncios indeseados en los resultados de búsqueda del usuario.

El adware en cuestión se llama Superfish y se activa cuando el usuario enciende su recién comprado Lenovo por primera vez. Lo que hasta ahora sabíamos que hacía este software era introducir anuncios de terceros cada vez que el usuario realiza una búsqueda en Google a través de su navegador web.

Las denuncias de clientes de Lenovo, bastante enfadados con la presencia del adware que provocaba ventanas emergentes indeseadas, además de otros comportamientos anómalos, llevan sucediéndose desde hace varios meses, pero no fue hasta este enero que la empresa china dio su versión de los hechos.

Lenovo defendió la presencia de Superfish, aduciendo que ayudaba a los usuarios a descubrir productos nuevos de manera visual, analizando imágenes en la web y ofreciendo productos idénticos o similares a precios más bajos. De todas maneras, aseguró que retiraría temporalmente este software, aunque de momento no parece haber cumplido con su promesa.

Hemos eliminado Superfish de nuestros ordenadores personales de manera temporal hasta que el propio Superfish no sea capaz de proporcionarnos con una versión que solvente estos problemas. Respecto a las unidades que ya se encuentran en el mercado, hemos pedido a la empresa que lance una actualización automática que solucione este asunto.

Un problema mucho más gordo que el simple hecho de mostrar anuncios

¿Tanto revuelo por un poco de publicidad en las búsquedas? El problema principal que se denuncia ahora no es el hecho de que Lenovo haya permitido que un adware muestre anuncios de terceros en los resultados de búsqueda, que ya de por sí es bastante grave, sino la amenaza de seguridad planteada por Superfish.

La cuestión es que Superfish instala su propio certificado autofirmado, fácilmente accesible por terceros, que le permite recabar datos del navegador, incluso de conexiones teóricamente encriptadas como, por ejemplo, webs bancarias. Esta técnica se conoce como un ataque man-in-the-middle, y en ella el certificado permite al software desencriptar solicitudes que deberían ser completamente seguras.

Obviamente se trata de un grave problema de seguridad que pone en peligro los datos personales de muchos usuarios. Algunos de ellos han intentado desinstalar el software pero, por lo visto, la eliminación de Superfish no logra deshacerse del certificado y, por lo tanto, la amenaza sigue latente.

Ahora habrá que esperar a ver cómo reaccionan los usuarios de ordenadores de la marca Lenovo. No es la primera vez que los productos de la marca china están bajo sospecha por ser demasiado vulnerables. Ya en el año 2013, el Reino Unido prohibió el uso de dispositivos Lenovo en todos sus agencias de seguridad nacional.

Fuente | The Next Web

Quinn Dombrowski editada con licencia CC 2.0

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?