Un gran fracaso en la forma de fabricar computadoras de Lenovo subraya los riesgos de preinstalar sistemas de software en productos digitales.
Superfish, un programa de software que permite la inyección de anuncios en páginas web, hace que las computadoras Lenovo sean vulnerables a ataques maliciosos y espías.
Los fabricantes de computadoras tienen la costumbre de preconfigurar sus productos con ciertos programas de software para ayudar a los usuarios a operar la máquina en la puesta en marcha. Esta práctica es prueba suficiente de lo invasivos que pueden llegar a ser estos fabricantes, y Lenovo es uno de ellos.
Ahora, la práctica de fabricación entrometida ha fracasado, ya que una nueva investigación de seguridad descubrió que el software Superfish ha abierto las puertas para que los piratas informáticos exploten los anuncios al secuestrar los certificados de las páginas web para eludir el proceso de seguridad.
Para proporcionar un contexto de lo que sucede cuando navega, aquí hay una ilustración: La conexión a un sitio web requiere las etapas de cifrado y autenticación para asegurar el proceso. Cifrar los medios de comunicación para evitar que miradas indiscretas de terceros controlen su conexión. Esto bloqueará a los piratas informáticos en particular. La fase de autenticación confirma la identidad del sitio web que está visitando, por lo que puede estar seguro de que cuando está viendo, digamos TechWalls, hay garantía de que la página que está viendo es lo que dice ser. Se realiza a través de un certificado proporcionado por un proveedor de seguridad externo.
Elimine estos procesos y puede estar expuesto a secuestradores. Eso es exactamente lo que ha hecho Superfish. El programa de software trabaja para hacerse cargo del proceso de autenticación estándar y verificar la identidad de un sitio web sin realizar la verificación de seguridad real que de otra manera habría sido el caso con proveedores de autenticación sólidos.
Quizás, lo que Lenovo tiene en mente cuando preinstaló Superfish en sus computadoras portátiles es permitir anuncios en páginas web protegidas con el protocolo HTTPS.
Y para algunos expertos en informática, manipular Superfish es muy fácil. De hecho, ya existe una solución al programa de tal manera que cualquiera que lo conozca puede comprometer el software por sus actividades maliciosas. Esta es una buena noticia para los defensores de la suplantación de identidad (phishing), que ahora pueden engañar a los usuarios para que realicen su complicado negocio.
A partir de enero de 2015, Lenovo ha detenido la preinstalación del programa de software Superfish en las computadoras portátiles de la compañía en el nivel de producción, al menos, para que podamos estar seguros de la seguridad de las nuevas computadoras Lenovo. Sin embargo, las unidades enviadas de octubre a diciembre de 2014 se ven afectadas, por lo que debe utilizar la herramienta de eliminación oficial ahora mismo.
La falla muestra una falta de auditoría de seguridad seria por parte de Lenovo, y esto no augura nada bueno para sus millones de clientes.
