El pasado miércoles investigadores descubrieron que, desde mediados del 2014, los ordenadores de Lenovo venían con un software preinstalado de fábrica llamado Superfish Visual Discovery. Es un adware que injecta publicidad en sitios web, en los buscadores de Google Chrome e Internet Explorer, sin el consentimiento de los usuarios.

Ignorando lo molesto que es la publicidad forzada, Superfish por sí solo es inofensivo. El problema surge a raíz de la forma en la que logra injectarla. Para esto instala un certificado de raíz falso (técnicamente hablando, firmado por el mismo) que le permite interceptar el tráfico HTTPS a través de conexiones seguras en sitios web como Facebook o de entidades bancarias. Esto se conoce como un ataque man-in-the-middle.

La clave privada del certificado ya fue descifrada y es posible que terceros tengan acceso a ella, lo que les permitiría realizar ataques MITM con fines maliciosos, por lo que lo más recomendado es eliminar el software y el certificado lo antes posible. Estos son los modelos afectados:

G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30

Lenovo dejó de preinstalar Superfish en sus nuevos ordenadores desde enero, pero los que ya estaban en el mercado siguen vulnerables. Luego de desinstalar el software los usuarios pueden digitar certmgr.msc en la barra de búsqueda de Windows y eliminar el certificado manualmente.