Imagínate que compras un ordenador, lo sacas de la caja, entras a Internet y, de pronto, ves publicidad extraña. ¿Cómo? ¿El mismo día que lo estrenas ya estás infectado por un malware? Si tienes un ordenador Lenovo, puede que la culpa no sea tuya y sí de la propia marca: numerosos usuarios se están quejando de que la compañía incluye malware entre sus programas preinstalados de fábrica.
Al parecer, el problema se remonta a hace ya unos meses y desde la propia Lenovo han confirmado la inclusión de Superfish en sus equipos. Aunque desde finales de enero han decidido eliminarlos en las nuevas unidades, algunos de los PCs que ya están en el mercado todavía lo incluyen. ¿De qué amenazas para la seguridad estamos hablando? No sólo de una publicidad molesta, sino de algo potencialmente más grave: instala su propio certificado raíz que podría causar potenciales ataques man-in-the-middle cada vez que visitas un sitio seguro.
¿Qué es Superfish?
Pero vayamos por partes. En principio, Superfish inyecta publicidad de terceros en tu navegación. Imagínate que buscas algo en Google. Automáticamente, y en esa misma página, te aparece un módulo "Powered by VisualDiscovery" en el que incluyen anuncios. Esa publicidad, aunque se muestra en Google, no pertenece al buscador, sino que es Superfish el que está metiéndola forzosamente en las webs que visitas.
No sólo eso, sino que algunos usuarios se quejan de que alguna webs, al inyectarles código este malware, dejaban de verse correctamente. Otros incluso aseguran que reescribe algunos enlaces para incluir sus propios enlaces de afiliados y llevarse una comisión con cada venta. De hecho, en el pasado ya protagonizaron alguna que polémica después de que este malware se incluyera en algunas extensiones para Chrome sin previo aviso.
Según Lenovo, Superfish "es una tecnología que ayuda a los usuarios a descubrir nuevos productos visualmente" que "analiza las imágenes de la web y te ofrece resultados idénticos o similares con ofertas de productos que podrían tener un precio menor". Añaden, además, que no guarda un registro de lo que hace el usuario, sino que simplemente se basa en las imágenes y el contexto. En la realidad, esto es una forma complicada de decir que te meten anuncios lo quieras o no.
Más grave aún: el certificado raíz preinstalado
Sin embargo, existe otro problema con Superfish: te instala un certificado raíz. Esto, además de causar conflictos con otros certificados, abre la puerta a vulnerabilidades importantes y potenciales ataques man-in-the-middle, pudiendo interceptar e interferir en la conexión SSL/TLS a sitios web seguros. "He comprado un ordenador nuevo y cada conexión https:// que hago a cualquier sitio web, independientemente del navegador, está comprobada por un certificado raíz emitido por Superfish Inc.", se quejaba un usuario en diciembre.
Nuestro compañero Guillermo Julián, experto en seguridad informática, nos explica que básicamente "han montado un proxy para poder modificar las peticiones y mostrar sus anuncios. Y para que funcione con páginas HTTPS, han instalado su propio certificado raíz en los ordenadores de Lenovo con el que firman certificados falsos a páginas web como Google o Bank of America". Bajo estas líneas tenéis, cortesía del ingeniero de Google Chris Palmer, cómo el certificado Superfish Inc. firma la conexión al banco Bank of America:
Si alguien consiguiera la clave privada de dicho certificado, añade Guillermo, "podría emitir certificados falsos que los ordenadores Lenovo aceptarán sin problemas, es decir, que alguien podría hacer ataques MITM a usuarios de Lenovo con relativa facilidad". En resumen: "HTTPS tiene casi el mismo nivel de seguridad que HTTP ahora mismo para usuarios de Lenovo".
"HTTPS tiene casi el mismo nivel de seguridad que HTTP ahora mismo para usuarios de Lenovo"
En cualquier caso, parece que este problema sólo afecta a ordenadores Lenovo con Windows, que son los que incluyen Superfish instalado de fábrica, y a los navegadores Internet Explorer y Chrome, ya que Firefox utiliza sus propios certificados. Desconocemos los modelos exactos de equipos que han llegado al mercado con este malware, pero como decíamos antes existen casos desde mediados del año pasado y hasta enero de este año Lenovo no confirmó que dejaría de incluir Superfish temporalmente en sus PC
Cómo detectar y eliminar Superfish
¿Cómo saber si tu ordenador Windows está infectado? Bueno, en primer lugar te saldrán anuncios extraños que se superponen sobre algunas páginas cuando navegas, pero la forma más eficaz de comprobarlo es ir al Administrador de Tareas, pestaña Servicios. Si allí te aparece un proceso que se llama VisualDiscovery, entonces tu equipo está infectado con el malware Superfish.
Si es tu caso, entonces es recomendable que te deshagas de este malware cuanto antes. Desde el Panel de control de tu PC puedes desinstalar Superfish (VisualDiscovery, WindowsShopper o la versión que tengas) seleccionando su nombre y haciendo click en desinstalar. Posteriormente, reinicia el PC. Si, además, el malware ha modificado alguno de los ajustes de tu navegador, como el buscador por defecto, lo mejor es que resetees su configuración.
Algunos usuarios aseguran que lógicamente, y siguiendo este proceso, todavía no se arregla la parte más preocupante de este malware: el certificado de Superfish. Debes borrar el certificado manualmente. Para ello debes acceder a Entidades emisoras de certificados raíz de confianza desde Internet Explorer (Herramientas >> Opciones de Internet >> Contenido >> Certificados) o Chrome (Avanzadas >> Seguridad >> Gestionar Certificados). Una vez allí, lo borras, cierras las ventanas y reinicias el navegador.
Lo más rápido y sencillo: hacer una instalación limpia de Windows
Si todo esto te parece demasiado elaborado, otra opción es realizar una instalación limpia de Windows (no restaurar de fábrica, claro, porque volverías a tener el mismo problema). Desde Lenovo dicen además que si, la primera vez que se te ejecuta Superfish no aceptas los términos de uso, éste se desactiva por defecto. Sin embargo, no hemos podido comprobar si esto es realmente así y si también se desactiva el certificado, lo que es poco probable.
De momento, desde Lenovo no han ofrecido más respuesta oficial que de la que nos hacíamos eco publicada a finales de enero, pero, dado que el asunto parece más grave de lo que por entonces ellos reconocían, no sería de extrañar que se pronunciasen en las próximas horas.
Imagen | Cory M. Grenier
Ver 40 comentarios