La empresa china Lenovo se ha dado a conocer como el mayor fabricante de PC del mundo. Ahora también se está haciendo famosa como la empresa informática que puede haber cometido la peor violación registrada de la privacidad y seguridad de sus propios clientes.
¿Crees que es una exageración? El experto en seguridad Marc Rogers califica las acciones de Lenovo de «increíblemente ignorantes e imprudentes» y «posiblemente lo peor que he visto hacer a un fabricante a su base de clientes»
Robert Graham, de Errata Security, informa de que el software que Lenovo preinstala en sus ordenadores los deja «abiertos a los hackers o a los espías al estilo de la NSA. Por ejemplo, puede espiar tus conexiones bancarias privadas». En Slate.com, el experto en software David Auerbach recomienda a los propietarios de los portátiles de Lenovo afectados que «no hagan otra cosa que borrar toda la máquina e instalar un Windows sencillo, no el Windows de Lenovo. Luego, cambien todas sus contraseñas».
El problema es un programa de una firma llamada Superfish, que Lenovo preinstaló en sus portátiles de consumo a partir de septiembre. La línea de portátiles para empresas ThinkPad, que Lenovo compró a IBM en 2005 al comienzo de su ascenso en la cuota de mercado de PC, no está afectada.
El programa Superfish se describe adecuadamente como «adware», o incluso «malware». En efecto, secuestra las búsquedas web de los usuarios para inyectar anuncios de sus propios socios publicitarios; un usuario que busque un producto para comprar, por ejemplo, verá de repente anuncios de un producto similar impulsados por Superfish. Lenovo considera que esto es una gran ayuda para los propietarios de sus ordenadores, diseñada para «ayudar a los clientes a descubrir productos similares a los que están viendo».
Pero como los expertos en seguridad empezaron a reconocer hace meses, el método de Superfish destruye las salvaguardas de seguridad del ordenador a través de lo que se conoce como un ataque «man in the middle». (Uno de los primeros en dar la voz de alarma fue un ingeniero de Google que se dio cuenta de que interfería con la página de su cuenta del Bank of America en su nuevo portátil Lenovo.)
Según enumera Rogers las infracciones, el programa «monitoriza la actividad del usuario. Recoge información personal y la sube a sus servidores. Inyecta publicidad en páginas legítimas. Muestra ventanas emergentes con software publicitario. Utiliza técnicas de ataque man-in-the-middle para abrir conexiones seguras».
Parte del problema es que el software utiliza una contraseña interna fácilmente descifrable que permite a los hackers invadir el ordenador, y es la misma contraseña para todos los ordenadores afectados. (Si te lo preguntas, es «komodia».) Como observó Graham, «puedo interceptar las comunicaciones cifradas de las víctimas de SuperFish (personas con portátiles Lenovo) mientras paso el rato cerca de ellos en un punto de acceso wi-fi de una cafetería.»
No hay mucho misterio en por qué Lenovo hizo esto. Al igual que otros fabricantes de PC hacen con otros socios, llegó a un acuerdo con Superfish, una empresa de software de terceros, para incluir su programa en los nuevos ordenadores. Normalmente, los incautos compradores de PCs «aceptan» el software cuando abren sus nuevos portátiles por primera vez haciendo clic en una serie de acuerdos de licencia, casi siempre sin leerlos. Sin que lo sepan, el software se introduce en sus sistemas y en sus vidas. ¿Quién se beneficia? Lenovo se lleva una comisión, y Superfish el negocio.
La costumbre de las empresas de consumo de meter productos, servicios o software no deseados a sus clientes tiene una larga y desacreditada historia. Los expertos en software comparan la maniobra de Lenovo con un famoso episodio de Sony, que en 2005 instaló un programa antipiratería en los ordenadores cuando los clientes los cargaban con ciertos CD de música de Sony. El programa, estúpidamente, expuso a esos usuarios a los hackers.
Cabe destacar que los propios responsables de Superfish han sido vistos con gran recelo por los expertos en seguridad informática. En una declaración a Forbes, Superfish dijo que «en ningún momento los consumidores fueron vulnerables» y afirmó que «no hubo ninguna mala acción por nuestra parte.» Pero parece obvio que esta era la compañía equivocada para que Lenovo se asociara; de hecho, Lenovo no debería cargar sus ordenadores con ningún programa de terceros.
La respuesta de Lenovo al revuelo ha sido lenta y en su mayor parte inadecuada. Después de que estallara la tormenta la semana pasada, la compañía dijo que dejaría de preinstalar el software culpable en sus ordenadores, y que «pasaría las próximas semanas profundizando en este asunto, aprendiendo lo que podemos hacer mejor.» En una entrevista con el Wall Street Journal, su director técnico, Peter Hortensius, tachó de «teóricas» las preocupaciones de los «chicos de seguridad». Dijo que «no tenemos ninguna idea de que haya ocurrido algo nefasto».
Pero publicó instrucciones detalladas para ayudar a los clientes a eliminar el software porque, dijo, «los comentarios de los usuarios no fueron positivos.» La complejidad del proceso de eliminación debería indicar la profundidad con la que el software Superfish se introdujo en los ordenadores de los usuarios. Una herramienta para determinar si su ordenador Lenovo está comprometido está aquí. Microsoft también ha publicado un parche para limpiar los ordenadores con Windows de la infección de Superfish.
En cuanto a Lenovo, aunque tenía alrededor del 18,8% del mercado mundial de PCs el año pasado, ciertamente ha manchado su futuro en la industria informática. Si una empresa tan prominente puede meter la pata de esta manera, ¿por qué debería alguien confiar en sus productos? Ya se ha presentado la primera demanda por este episodio. Habrá más, y debería haberlas.
Mantente al día con el Hub de Economía. Sigue a @hiltzikm en Twitter, consulta nuestra página de Facebook o envía un correo electrónico a [email protected].