Superfish, si te compras un Lenovo te están espiando

0

Superfish

Tenemos polémica servida, pues el conocido fabricante de hardware y dispositivos informáticos Lenovo (parte de IBM) ha sido pillado “in fraganti” insertando adware en sus propios equipos para, de esta forma, controlar los movimientos de sus compradores.

¿Qué es Superfish?

Se ha descubierto que Lenovo ha estado suministrando, durante cerca de un año, ordenadores de sobremesa y portátiles con un software preinstalado que puede comprometer nuestra seguridad y privacidad.

El software encuestión se denomina Superfish, y lo que hace es insertar anuncios en las páginas web y resultados de búsqueda de Google.

En Enero, un administrador del foro de Lenovo respondió a quejas de un cliente sobre el mencionado software Superfish, describiendo su funcionamiento como:

Para ser claro, Superfish viene con productos de consumo de Lenovo y es una tecnología que ayuda a buscar y descubrir productos de forma visual. La tecnología analiza en tiempo real las imágenes de la web y presenta idénticos productos con diferentes ofertas, que podrían hacer aparecer precios más bajos, ayudando al usuario a saber mediante la imagen qué objeto aparece o como se describe en un motor de búsqueda común.

¿Hablamos de Adware?

PUP significa Potentially Unwanted Application (aplicación potencialmente no deseada)

Si, concretamente de una PUP como poco, pero existen otros problemas de gravedad superior asociados a Superfish.

¿Qué otros problemas?

Superfish instala un certificado raíz autofirmado que puede interceptar el tráfico cifrado por HTTPS para cada web que visitemos. En otras palabras, el tráfico que hasta ahora considerábamos seguro, ya no lo es. De esa forma consiguen “inflarnos a anuncios”.

Man-in-the-Middle

De hecho, esto puede calificarse como todo un ataque MiTM, ya que todo el tráfico que sale de nuestro portátil está siendo escuchado por un tercero no autorizado. Esto permite a ese tercero escuchar nuestras búsquedas y movimientos y, obviamente, debilitar la seguridad de nuestra red hasta el punto que le sea provechoso.

Cada cosa en su lugar

Veamos, aquí no se trata de culpar a Lenovo de querer espiarnos como haría la NSA, cosa que no creemos que resulte provechosa para ellos, que solo quieren colocar ciertos anuncios para monetizarlos. El problema es que están cruzando una línea moral (todo vale) y además este tipo de práctica podría ser utilizada por un hacker ajeno para poder infiltrarse en estos equipos.

Superfish, ejemplo de suplantación de certificado

Todo esto es grave. Si tenéis Superfish en vuestro equipo Lenovo, no podréis volver a confiar en ninguna sesión de navegación hasta haberlo eliminado.

Una pesadilla para el consumidor

Algunas pinceladas sobre el comportamiento de Superfish:

  1. Reemplaza los certificados legítimos de sitios con el suyo propio para así comprometer las conexiones e instalar anuncios.
  2. El usuario no tendrá constancia en ningún momento de esto.
  3. Ya que Superfish utiliza el mismo certificado raiz en cada sitio web, sería fácil para un hacker usarlo en su favor para causar verdadero daño.
  4. Este adware emplea certificados pobres de tipo SHA1, que ya ha sido sobradamente reemplazado por SHA256. SHA1 es descifrable con un hardware modesto hoy en día.
  5. Peor aún, utilizan claves RSA de 1024 bit!

¿Cómo acaba esta historia?

Pues, de momento, Lenovo ha confirmado que detiene la incorporación de Superfish en sus próximos equipos a la venta. La cosa lleva unos días subiendo de tono y la compañía ha tenido que ceder.

¿Qué hacer?

  • Podéis encontrar Superfish en el Panel de Control/Agregar o quitar un programa, como toda la vida.
  • Sin embargo, su desinstalación no elimina el Certificado Raíz puesto por el programa en el sistema. Para poder eliminarlo, seguid esta guía de Microsoft.
  • Si habéis comprado o váis a comprar un PC Lenovo próxiamente, mi consejo personal es formatear bien el disco antes de seguir usándolo. Nunca se sabe :)
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR