Imagínate que compras un ordenador, lo sacas de la caja, entras a Internet y, de pronto, ves publicidad extraña. ¿Cómo? ¿El mismo día que lo estrenas ya estás infectado por un malware? Si tienes un ordenador Lenovo, puede que la culpa no sea tuya y sí de la propia marca: numerosos usuarios se están quejando de que la compañía incluye malware entre sus programas preinstalados de fábrica.
Al parecer, el problema se remonta a hace ya unos meses y desde la propia Lenovo han confirmado la inclusión de Superfish en sus equipos. Aunque desde finales de enero han decidido eliminarlos en las nuevas unidades, algunos de los PCs que ya están en el mercado todavía lo incluyen. ¿De qué amenazas para la seguridad estamos hablando? No sólo de una publicidad molesta, sino de algo potencialmente más grave: instala su propio certificado raíz que podría causar potenciales ataques man-in-the-middle cada vez que visitas un sitio seguro.
¿Qué es Superfish?
Pero vayamos por partes. En principio, Superfish inyecta publicidad de terceros en tu navegación. Imagínate que buscas algo en Google. Automáticamente, y en esa misma página, te aparece un módulo "Powered by VisualDiscovery" en el que incluyen anuncios. Esa publicidad, aunque se muestra en Google, no pertenece al buscador, sino que es Superfish el que está metiéndola forzosamente en las webs que visitas.
No sólo eso, sino que algunos usuarios se quejan de que alguna webs, al inyectarles código este malware, dejaban de verse correctamente. Otros incluso aseguran que reescribe algunos enlaces para incluir sus propios enlaces de afiliados y llevarse una comisión con cada venta. De hecho, en el pasado ya protagonizaron alguna que polémica después de que este malware se incluyera en algunas extensiones para Chrome sin previo aviso.
Según Lenovo, Superfish "es una tecnología que ayuda a los usuarios a descubrir nuevos productos visualmente" que "analiza las imágenes de la web y te ofrece resultados idénticos o similares con ofertas de productos que podrían tener un precio menor". Añaden, además, que no guarda un registro de lo que hace el usuario, sino que simplemente se basa en las imágenes y el contexto. En la realidad, esto es una forma complicada de decir que te meten anuncios lo quieras o no.
Más grave aún: el certificado raíz preinstalado
Sin embargo, existe otro problema con Superfish: te instala un certificado raíz. Esto, además de causar conflictos con otros certificados, abre la puerta a vulnerabilidades importantes y potenciales ataques man-in-the-middle, pudiendo interceptar e interferir en la conexión SSL/TLS a sitios web seguros. "He comprado un ordenador nuevo y cada conexión https:// que hago a cualquier sitio web, independientemente del navegador, está comprobada por un certificado raíz emitido por Superfish Inc.", se quejaba un usuario en diciembre.
Nuestro compañero Guillermo Julián, experto en seguridad informática, nos explica que básicamente "han montado un proxy para poder modificar las peticiones y mostrar sus anuncios. Y para que funcione con páginas HTTPS, han instalado su propio certificado raíz en los ordenadores de Lenovo con el que firman certificados falsos a páginas web como Google o Bank of America". Bajo estas líneas tenéis, cortesía del ingeniero de Google Chris Palmer, cómo el certificado Superfish Inc. firma la conexión al banco Bank of America:
Si alguien consiguiera la clave privada de dicho certificado, añade Guillermo, "podría emitir certificados falsos que los ordenadores Lenovo aceptarán sin problemas, es decir, que alguien podría hacer ataques MITM a usuarios de Lenovo con relativa facilidad". En resumen: "HTTPS tiene casi el mismo nivel de seguridad que HTTP ahora mismo para usuarios de Lenovo".
En cualquier caso, parece que este problema sólo afecta a ordenadores Lenovo con Windows, que son los que incluyen Superfish instalado de fábrica, y a los navegadores Internet Explorer y Chrome, ya que Firefox utiliza sus propios certificados. Desconocemos los modelos exactos de equipos que han llegado al mercado con este malware, pero como decíamos antes existen casos desde mediados del año pasado y hasta enero de este año Lenovo no confirmó que dejaría de incluir Superfish temporalmente en sus PC
Cómo detectar y eliminar Superfish
¿Cómo saber si tu ordenador Windows está infectado? Bueno, en primer lugar te saldrán anuncios extraños que se superponen sobre algunas páginas cuando navegas, pero la forma más eficaz de comprobarlo es ir al Administrador de Tareas, pestaña Servicios. Si allí te aparece un proceso que se llama VisualDiscovery, entonces tu equipo está infectado con el malware Superfish.
Si es tu caso, entonces es recomendable que te deshagas de este malware cuanto antes. Desde el Panel de control de tu PC puedes desinstalar Superfish (VisualDiscovery, WindowsShopper o la versión que tengas) seleccionando su nombre y haciendo click en desinstalar. Posteriormente, reinicia el PC. Si, además, el malware ha modificado alguno de los ajustes de tu navegador, como el buscador por defecto, lo mejor es que resetees su configuración.
Algunos usuarios aseguran que lógicamente, y siguiendo este proceso, todavía no se arregla la parte más preocupante de este malware: el certificado de Superfish. Debes borrar el certificado manualmente. Para ello debes acceder a Entidades emisoras de certificados raíz de confianza desde Internet Explorer (Herramientas >> Opciones de Internet >> Contenido >> Certificados) o Chrome (Avanzadas >> Seguridad >> Gestionar Certificados). Una vez allí, lo borras, cierras las ventanas y reinicias el navegador.
Si todo esto te parece demasiado elaborado, otra opción es realizar una instalación limpia de Windows (no restaurar de fábrica, claro, porque volverías a tener el mismo problema). Desde Lenovo dicen además que si, la primera vez que se te ejecuta Superfish no aceptas los términos de uso, éste se desactiva por defecto. Sin embargo, no hemos podido comprobar si esto es realmente así y si también se desactiva el certificado, lo que es poco probable.
De momento, desde Lenovo no han ofrecido más respuesta oficial que de la que nos hacíamos eco publicada a finales de enero, pero, dado que el asunto parece más grave de lo que por entonces ellos reconocían, no sería de extrañar que se pronunciasen en las próximas horas.
"Lenovo eliminó Superfish de los programas preinstalados de sus sistemas en enero de 2015. Al mismo tiempo, Superfish desactivó la activación en los equipos de Lenovo ya en el mercado. Superfish sólo fue preinstalado en algunos modelos concretos para uso particular. Lenovo está investigando con detalle todas y cualquier otra preocupación que pueda surgir respecto a Superfish".
"Superfish fue previamente incluido en algunas notebook de consumo que se enviaron en el periodo de tiempo comprendido entre septiembre y diciembre, para ayudar a los clientes a descubrir productos interesantes al realizar sus compras. Sin embargo, la retroalimentación de los usuarios no fue positiva, por lo que respondimos de manera rápida y contundente:
* Desde enero, Superfish ha inhabilitado por completo las interacciones desde el servidor en todos los productos, por lo que no se encuentra ya activo. Esto inhabilita Superfish para todos los productos en el mercado.
* Lenovo dejó de preinstalar el software en enero pasado.
* Lenovo no preinstalará el software en el futuro.
Hemos investigado a fondo esta tecnología y no encontramos evidencia sobre posibles problemas de seguridad. Sin embargo, sabemos que los usuarios reaccionaron a este tema con preocupación, por lo que hemos tomado acción directa para detener el envío de cualquier producto con dicho software. Seguiremos revisando minuciosamente lo que hacemos y cómo lo hacemos para asegurarnos de anteponer siempre las necesidades, experiencia y prioridades del usuario."
Imagen | Cory M. Grenier
Ver 41 comentarios