DiarioTi.com - el diario del profesional TI

Lunes 20 Nov 2017 | Año 14 | Edición 15
Menu
letter
    

    Lenovo enfrenta sanción simbólica por preinstalar adware intrusivo y peligroso en laptops

    Lenovo ha alcanzado un preacuerdo extrajudicial con la Comisión Federal de Comercio de Estados Unidos por distribuir, en 2014 y 2015, laptops con un agresivo adware que incluso instalaba su propio certificado SSL.

    Diario TI 07/09/17 10:19:44

    La Comisión Federal de Comercio de Estados Unidos (FTC), ha decidido prohibir al fabricante chino Lenovo “desinformar sobre la funcionalidad del software preinstalado en sus productos”. Asimismo, la entidad obliga a Lenovo obtener el consentimiento de sus usuarios antes de instalar adware en sus dispositivos.

    Adicionalmente, Lenovo deberá analizar la seguridad de todo el software preinstalado de fábrica en sus laptops, durante los próximos 20 años. Este programa será supervisado por la FTC mediante auditorías externas.

    “Más que un castigo, un chiste”
    La información ha sido referida por el sitio Bleeping Computer, a cuyo juicio la sanción adoptada por la FTC constituye un chiste al considerar la gravedad de la transgresión de Lenovo respecto de sus clientes. Específicamente, a partir de agosto de 2014 de Lenovo vendió entre 750.000 y 800.000 laptops que tenían instalado de fábrica un software denominado VisualDiscovery, desarrollado por la empresa Superfish, Inc.

    “VisualDiscovery estaba diseñado para generar ventanas emergentes cada vez que el usuario movía el ratón sobre productos electrónicos y otros artículos de consumo. Para hacer posible este comportamiento, el software utilizaba una técnica MitM, o Man-in-the-Middle, que interceptaba todo el tráfico de Internet del usuario”, escribe la publicación, agregando que “interceptar el tráfico HTTP es fácil, pero para hacer lo mismo con HTTPS, VisualDiscovery instalaba su propio certificado digital. El problema es que este certificado era el mismo en todos los dispositivos, aparte de no verificar la validez de los certificados SSL de los sitios interceptados”.

    En teoría, ambos flagrantes agujeros de seguridad hacían posible para actores malignos interceptar la técnica MitM insegura de VisualDiscovery y así acceder a todo el tráfico digital desde y hacia los laptos de Lenovo. Bleeping Computer asegura que “se detectaron ataques utilizando VisualDiscovery”, aunque sin proporcionar fuentes.

    Cuando la situación fue detectada, Lenovo se vio enfrentada a una serie de demandas colectivas, algunas de las cuales fueron resueltas por la vía extrajudicial. La empresa se disculpó públicamente, junto con rescindir el contrato con Superfish e iniciar procedimientos para desinstalar el software de las computadoras afectadas.

    Se inició entonces la tramitación del caso en la FTC, cuyas conclusiones preliminares fueron presentadas la víspera. En conformidad con la práctica estándar de la FTC para procesos emanados de demandas colectivas, se inicia ahora un proceso de audiencias, de 30 días de duración, que resultará en una conclusión definitiva por parte de la entidad estadounidense. En tal caso, se podría confirmar la medida, que Bleeping Computer califica de simple “tirón de orejas”, o decidirse sanciones reales.

    Fotografía (c) Concept Photo vía Shutterstock

    ASUS, sancionada con 20 años de supervisión obligatoria por apatía en seguridad de routers

        • Seleccione su país -+

          Diario TI utiliza una plataforma GeoIP que automáticamente intenta detectar el país desde donde usted se conecta, para así presentarle contenidos regionales. Sin embargo, si la detección automática no es posible, usted puede seleccionar manualmente su país.