El director de la firma de seguridad Errata Security, Robert Graham, tardó sólo tres horas en romper la seguridad del Spyware de Lenovo, con lo que logró revisar el tráfico encriptado de otros usuarios en la misma conexión WiFi, en un café al que acudió, demostrando que todas las víctimas de esta práctica de Lenovo están en riesgo. 

Lenovo era una marca confiable 

Los computadores de la línea ThinkPad de Lenovo son famosos en todo el mundo, y fuera de él, pues no solo han tenido durante muchos años el índice más bajo de retornos por fallas, sino que a menudo son los elegidos para equipar la Estación Espacial Internacional. 

En enero de 2008, la empresa anunció el lanzamiento de su línea IdeaPad, con computadores más atractivos visualmente y diseños modernos, algunos híbridos entre Laptop y tableta. 

Desde entonces los modelos de Lenovo se han destacado por tener precios competitivos frente a los de otras empresas, y alta confiabilidad. 

Hasta mediados de 2014, cuando los compradores de Lenovo reportaron que sus máquinas tenían instalado desde fábrica una pieza de software llamada Superfish, que insertaba propagandas indeseadas en su navegador de Internet. 

Más grave todavía: Superfish, desarrollado por la empresa Visual Discovery, necesita revisar el tráfico de Internet de los usuarios de computadores Lenovo, para mostrarles publicidad relacionada con sus preferencias de navegación. Así que Superfish revisa el tráfico encriptado. 

¿Cómo saber si está afectado? 

Filipo Valsorda, desarrollador de software de seguridad, creó el sitio web Filippo.io/Badfish que le permite saber si su computador Lenovo está afectado por la falla de seguridad causada por Superfish. 

Pero, ¿en qué consiste exactamente este agujero de seguridad? 

Muy sencillo: para poder analizar las preferencias de navegación de los dueños de PC Lenovo, el software usa un certificado de seguridad falso. Y cualquier otra persona que tenga la clave de este certificado, puede revisar el tráfico. 

Robert Graham, director ejecutivo de Errata Security, tardó sólo tres horas en romper la contraseña, y hacerla pública, demostrando que todos los compradores de computadores Lenovo fabricados con Superfish insertado en su máquina están expuestos a que sus conexiones de Internet seguras sean espiadas por otros, especialmente en Internet Explorer y Google Chrome, pues Mozilla Firefox usa su propio certificado de seguridad. 

“Puedo interceptar comunicaciones encriptadas de víctimas de Superfish (personas con Laptops de Lenovo) cuando estoy cerca de ellos en un café con WiFi sin contraseña”, explica Graham. 

¿Cómo remover el Sypware de su máquina?

Si descubre que es uno de los afectados por la instalación de Superfish en su máquina, puede seguir las instrucciones compiladas y continuamente actualizadas por Valsorda para removerlo de su equipo, que se encuentran en Filippo.io/Badfish/removing.html.

La respuesta de Lenovo a la situación ha sido parcial: la empresa confirmó que instaló Superfish para mostrar publicidad a sus compradores, pero indicó que dejó de instalar el software desde diciembre de 2014, y que desactivó el funcionamiento del software en sus servidores.

Pero la empresa no hizo referencia a la falla de seguridad descubierta y publicada por el señor Graham de Errata Security, ni ha publicado instrucciones para corregir el error.

Otros programas, como el software de mensajería Slack, han presentado problemas debido a la acción de Superfish en los computadores que tienen el software, y algunas empresas que compraron ordenadores Lenovo masivamente se han visto afectadas.

El caso ha generado además discusiones interesantes, como por ejemplo si los desarrolladores de Superfish deberían enfrentar consecuencias legales por el software que crearon; la cuestión es muy dudosa, pues el software como tal no se propaga ni se instala sin autorización.

Los encargados de tomar la decisión en Lenovo, por otra parte, podrían ser quienes enfrentarán el peso de la ley. Y quizá deberían asumir las consecuencias de su decisión, y otros jugadores de la industria aprender de este error, cuya magnitud es bastante considerable. 

Declaración oficial de Lenovo sobre Superfish: