La Comisión Federal de Comercio de Estados Unidos (FTC), ha decidido prohibir al fabricante chino Lenovo “desinformar sobre la funcionalidad del software preinstalado en sus productos”. Asimismo, la entidad obliga a Lenovo obtener el consentimiento de sus usuarios antes de instalar adware en sus dispositivos.
Adicionalmente, Lenovo deberá analizar la seguridad de todo el software preinstalado de fábrica en sus laptops, durante los próximos 20 años. Este programa será supervisado por la FTC mediante auditorías externas.
“Más que un castigo, un chiste”
La información ha sido referida por el sitio Bleeping Computer, a cuyo juicio la sanción adoptada por la FTC constituye un chiste al considerar la gravedad de la transgresión de Lenovo respecto de sus clientes. Específicamente, a partir de agosto de 2014 de Lenovo vendió entre 750.000 y 800.000 laptops que tenían instalado de fábrica un software denominado VisualDiscovery, desarrollado por la empresa Superfish, Inc.
“VisualDiscovery estaba diseñado para generar ventanas emergentes cada vez que el usuario movía el ratón sobre productos electrónicos y otros artículos de consumo. Para hacer posible este comportamiento, el software utilizaba una técnica MitM, o Man-in-the-Middle, que interceptaba todo el tráfico de Internet del usuario”, escribe la publicación, agregando que “interceptar el tráfico HTTP es fácil, pero para hacer lo mismo con HTTPS, VisualDiscovery instalaba su propio certificado digital. El problema es que este certificado era el mismo en todos los dispositivos, aparte de no verificar la validez de los certificados SSL de los sitios interceptados”.
En teoría, ambos flagrantes agujeros de seguridad hacían posible para actores malignos interceptar la técnica MitM insegura de VisualDiscovery y así acceder a todo el tráfico digital desde y hacia los laptos de Lenovo. Bleeping Computer asegura que “se detectaron ataques utilizando VisualDiscovery”, aunque sin proporcionar fuentes.
Cuando la situación fue detectada, Lenovo se vio enfrentada a una serie de demandas colectivas, algunas de las cuales fueron resueltas por la vía extrajudicial. La empresa se disculpó públicamente, junto con rescindir el contrato con Superfish e iniciar procedimientos para desinstalar el software de las computadoras afectadas.
Se inició entonces la tramitación del caso en la FTC, cuyas conclusiones preliminares fueron presentadas la víspera. En conformidad con la práctica estándar de la FTC para procesos emanados de demandas colectivas, se inicia ahora un proceso de audiencias, de 30 días de duración, que resultará en una conclusión definitiva por parte de la entidad estadounidense. En tal caso, se podría confirmar la medida, que Bleeping Computer califica de simple “tirón de orejas”, o decidirse sanciones reales.
