En una declaración pública, la compañía indicó que ya no usará el software Superfish en sus computadores y que no encontró evidencia para las preocupaciones de seguridad
Lenovo salió al paso de la polémica surgida durante la noche, por el uso del programa Superfish, un software que venía preinstalado en computadores vendidos desde 2014 por la empresa y que, según denuncias, creaba importantes riesgos de seguridad a través del monitoreo de actividad online y el uso de certificados de seguridad falsos.
En una declaración publicada en su sitio web, Lenovo anunció que ya no tiene relación con Superfish (la empresa creadora del software del mismo nombre), por lo que ya no hay interacciones con sus servidores en productos Lenovo ya vendidos. También confirmó que ya no se instalará Superfish en más computadores nuevos (la medida fue anunciada en enero pero ahí era sólo algo temporal).
La empresa china también aclaró que Superfish sólo fue intsalado en equipos vendidos en una breve ventana de tiempo, entre septiembre y diciembre de 2014, "para ayudar a los clientes a descubrir productos interesantes mientras compraban. Sin embargo, la respuesta de los usuarios no fue positiva y hemos respondido rápida y decisivamente".
Lenovo aseguró haber investigado la tecnología, sin encontrar evidencia para justificar preocupaciones de seguridad. Además, indicó que "la tecnología de Superfish está puramente basada en contexto e imagen, no en conductas. No perfila ni monitorea el comportamiento del usuario. No graba información del usuario. No sabe quién es el usuario. Los usuarios no son seguidos. Cada sesión es independiente. Se le da una opción a los usuarios de elegir o no si usan el producto".
Adware peligroso
La situación fue informada por analistas a través de Twitter y recogida por medios especializados durante la noche, todos alertando de los problemas que presenta el uso de "Superfish", un programa reconocido como "adware" (programa dedicado a la muestra de publicidad) y que viene preinstalado en computadores Lenovo vendidos desde 2014.
Superfish es una compañía externa que creó este programa dedicado a ofrecer publicidad extra en navegadores como Chrome e Internet Explorer, en base a la navegación del usuario, usando un sistema propietario de búsqueda visual. El problema está en cómo obtiene esa información.
Según explica el analista de seguridad Marc Rogers en su sitio web, Superfish ataca conexiones legítimas, monitorea la actividad de los usuarios, recolecta información personal y la sube a sus servidores. Todo esto se hace usando un ataque "man in the middle" ("intermediario"), a través de la instalación de certificados de seguridad falsos, creados por Superfish, que permiten el acceso a los datos de navegación de los usuarios.
"La forma en la que Superfish parece trabajar significa que deben estar interceptando el tráfico para poder insertar los avisos. Esto equivale a una escucha telefónica", dijo Eric Rand, investigador de Brown Hat Security a Reuters.
La técnica usada potencialmente abre el camino a que hackers que logren obtener los datos de los certificados de Superfish puedan orquestar ataques contra computadores en los que éstos hayan sido instalados por el programa.
"Esto daña la reputación de Lenovo", declaró Robert Graham, CEO de la firma de seguridad estadounidense Errata Security a Reuters. "Demuestra una grave falla, que es que la compañía no sabe o no le importa lo que incluye en sus computadores".
Esta no es la primera vez que la compañía china, la fabricante de PCs más grande del mundo, sufre problemas por Superfish. En enero, en los foros de la compañía, el administrador Mark Hopkins respondió a los reclamos de la comunidad por la publicidad aparecida en los computadores, indicando que se removió el programa temporalmente de sus nuevos computadores y que se solicitó una actualización para solucionar el problema en aquellos que ya han sido vendidos.
Hasta ahora, la respuesta a la polémica de hoy ha sido la misma. En una declaración a Rory Cellan-Jones de la BBC, la empresa indicó que Superfish fue retirado de computadores nuevos, desactivado en equipos existentes y que además se está investigando la situación.
Según han publicado varios expertos y medios como The Next Web, desinstalar Superfish del computador no soluciona el problema, por lo que se recomienda eliminar el certificado de seguridad o hacer una instalación completa de Windows.