Lenovo no será multada por preinstalar el adware Superfish

  • Actualidad

Por preinstalar un adware que ponía en peligro la seguridad de los equipos, Lenovo se compromete a no mentir sobre las características de aplicaciones presintaladas y a obtener el consentimiento de los usuarios antes de instalarlo.

Tras dos años de debate Lenovo llega a un acuerdo con la Federal Trade Commision (FTC) de Estados Unidos en torno a la decisión de la compañía de haber instalado un adware en sus ordenadores, comprometiendo la seguridad de dichas máquinas entre agosto de 2014 a primeros de 2015.

También puedes leer...

Informe global sobre Seguridad de la Información 2016-2017

Evolución de los ataques con exploits

GDPR: todas sus claves

Riesgos de IoT en las empresas

Desarrollo de estrategias de ciberseguridad nacional

El fabricante no tendrá que pagar ninguna multa. Se le prohíbe, eso sí, informar de forma errónea sobre las características de un software precargado que inyecte publicidad en sesiones de navegación o que envíe datos sensibles de los usuarios a terceros.

También se le exige a Lenovo que obtenga el consentimiento de los usuarios antes de activar cualquier software y que mantenga un programa de seguridad integral para aplicaciones –sujeto a auditorías de terceros, por un periodo de 20 años.

Hace tres años Lenovo instaló en sus ordenadores un bundle con software en el que iba incluido una versión de un adware personalizado para el fabricante que hacía que cuando los usuarios navegaban por Intenet y pasaban sobe una imagen se inyectara un pop-up con un producto similar vendido por alguno de los partners de Superfish.

Lo que desató el escándalo fue que esa versión personalizada del adware incluyera el módulo Komodia SSL, que permitía que el adware reemplazara los certificados digitales de las páginas web por las que se navegaba con un certificado auto firmado.

Los expertos de seguridad dijeron que la aplicación lanzaba ataques Man In the Middle en las sesiones de navegación de los usuarios, permitiendo que pudiera interceptarse información sensible. Además, al sustituir los certificados, Superfish exponía a los usuarios a páginas web maliciosas.

Tras las críticas Lenovo inició una política para limitar la cantidad de software preinstalado que carga en sus ordenadores, además de un proceso de revisión de privacidad y seguridad que fuera comprensible. Acciones que fueron, en realidad, lo que ahora le está exigiendo la FTC.