Analistas: PC de Lenovo enviadas con software que debilita la seguridad

ACTUALIZADO a las 11:58 a.m. PT con comentarios de Lenovo.

Algunas computadoras portátiles de Lenovo incluyen un software que, según los analistas de seguridad, puede hacer que los usuarios sean vulnerables a los ataques.

Superfish es el llamado software publicitario que genera anuncios en la pantalla de un usuario. Está diseñado para identificar los productos que los usuarios están buscando en la Web y luego publicar anuncios de esos artículos. Pero los expertos en seguridad dicen que lo hace, en parte, al romper el cifrado utilizado para ocultar datos cuando los usuarios visitan sitios web supuestamente seguros.

El investigador de seguridad británico Graham Cluley dice que efectivamente equivale a un hack de "hombre en el medio", que intercepta lo que deberían ser comunicaciones seguras, "todo para que puedan mostrar algunos anuncios irritantes".

"Puedes apostar que es malo", escribió Cluley en una publicación del blog. "Si tienes Superfish en tu computadora, realmente no puedes confiar más en las conexiones seguras de los sitios".

Lenovo dice que Superfish está deshabilitado

No estaba claro el jueves qué modelos de computadoras Lenovo podrían verse afectados. La compañía dijo que "algunos productos para portátiles de consumo" enviados entre septiembre y diciembre tenían instalado Superfish.

Lenovo dijo que eliminó Superfish de las computadoras nuevas en enero, que no se incluirá en ninguna computadora nueva y que Superfish ha deshabilitado el software, por lo que ya no se ejecutará, incluso cuando esté instalado.

Sin embargo, la compañía sostiene que Superfish no representa la amenaza que algunos dicen que hace.

"Hemos investigado a fondo esta tecnología y no encontramos ninguna evidencia que justifique los problemas de seguridad", dijo Lenovo el jueves en un comunicado. "Pero sabemos que los usuarios reaccionaron ante este problema con preocupación, por lo que hemos tomado medidas directas para detener el envío de productos con este software".

"Continuaremos revisando lo que hacemos y cómo lo hacemos para asegurarnos de poner en primer lugar las necesidades, la experiencia y las prioridades de nuestros usuarios".

Algunas computadoras claramente lo han hecho en tiendas con versiones activas del software.

ArsTechnica informó el jueves que un investigador de seguridad compró un Lenovo Yoga 2 Pro por $ 600 en un Best Buy del área de San Francisco y "confirmó rápidamente" que se había instalado Superfish.

Cluley escribe eso, porque Superfish reemplaza el certificado de seguridad de los sitios web por uno propio. sería "fácil para otro actor hostil aprovechar esto y comprometer aún más las conexiones del usuario".

Deshacerse del software

Eliminar por completo el software de una computadora ya comprada parece ser una propuesta difícil. Además de desinstalar el software, Cluley dice que los usuarios deben eliminar lo que se denomina un "certificado raíz".

Microsoft, cuyo sistema operativo Windows se ejecuta en las computadoras de Lenovo, ha publicado una guía paso a paso sobre cómo hacerlo. También ha creado una lista de los certificados raíz de confianza en diferentes versiones de Windows, para que los usuarios puedan ver si se ha agregado algo más sin su conocimiento.

El enfoque más simple, aunque drástico, es limpiar el disco duro de una computadora e instalar una nueva versión de Windows u otro sistema operativo.

"Es una respuesta brutal, pero probablemente es la única en la que puedes confiar completamente ahora", escribió Cluly. "A la comunidad de seguridad le tomó más de seis meses darse cuenta de lo que Lenovo estaba haciendo en sus PC, quién sabe si está haciendo algo más confuso".

Imagen a través de iStock