Ayer saltaba la noticia bomba: algunos clientes de Lenovo acusaban al fabricante de incluir adware en algunos de sus portátiles. Pero no un adware cualquiera, sino uno que instalaba un certificado raíz falso y ponía en riesgo todas las comunicaciones cifradas del equipo. Desde Lenovo, en un principio, explicaban que era un software ideado para ayudar a los clientes y mostrarles ofertas, aunque ahora parecen haber cambiado de discurso y en su sitio web hacen referencia a Superfish como una vulnerabilidad alta.
Pero ¿cómo saber si estás afectado si tienes un equipo Lenovo? Ayer te explicábamos cómo detectarlo aunque alguien ha creado un sitio web que te avisa, con tan sólo visitarlo, de si estás infectado por Superfish. Desde Lenovo, además, han publicado una lista completa de equipos en los que Superfish solía instalarse de serie:
- G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
- U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
- Y Series: Y430P, Y40-70, Y50-70
- Z Series: Z40-75, Z50-75, Z40-70, Z50-70
- S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
- Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
- MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
- YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
- E Series: E10-30
En nuestro caso, tenemos en nuestro poder un Z50-75 y hemos podido confirmar que, efectivamente, viene con Superfish y su polémico y falso certificado raíz preinstalado de fábrica.
Certificado Superfish en un Z50-75 en poder de Xataka
Lenovo reconoce que Superfish se preinstaló en algunos equipos de esta lista desde septiembre a diciembre de 2014
El fabricante insiste en que dejaron de preinstalar Superfish el pasado mes de enero y han desactivado su activación para equipos que se hayan comprado con él instalado después de esa fecha. Sin embargo, y dado que este malware se incluyó en equipos que se fabricaron de septiembre a diciembre del año pasado, todavía puede estar operativo en equipos de la lista que se hayan activado durante ese periodo.
Eso sí: desde Lenovo aseguran que Superfish nunca fue instalado en portátiles ThinkPad ni en otros productos de la compañía, como smartphones u ordenadores de escritorio. Tampoco lo utilizaron en ordenadores destinados a empresas o servidores: tan sólo en portátiles destinados al mercado del consumo.
La clave privada del certificado ya ha sido descubierta
Desde ayer, el problema se ha agravado, ya que ya han conseguido extraer la contraseña que cifraba el certificado. ¿Qué significa esto? Guillermo Julián, nuestro editor experto en seguridad informática, nos lo explicaba ayer así: "Si alguien consigue la clave privada de dicho certificado, podría emitir certificados falsos que los ordenadores Lenovo aceptarán sin problemas, es decir, que alguien podría hacer ataques MITM a usuarios de Lenovo con relativa facilidad".
En definitiva: si eres uno de los afectados debes solucionar cuanto antes este problema. Eliminar Superfish desinstalándolo es un primer paso pero el más importante es deshacerte del certificado raíz emitido por Superfish Inc. tal y como te explicábamos ayer. O, si lo prefieres, Lenovo ha publicado en su sitio web una guía paso a paso con capturas del proceso.
En Xataka | Polémica con Lenovo y su malware instalado de fábrica en sus ordenadores: explicamos cómo eliminarlo
Ver 18 comentarios
18 comentarios
jomainbe
Desde el año 93 no he vuelto a comprar un equipo de marca. Las razones son obvias: me monto la máquina que yo quiero, con el sistema operativo que yo quiero y no el que me impone el fabricante, sin molesto crapware ni sorpresitas como la que nos ocupa. Además de eso me ahorro dinero y fomento la economía local, comprando los componentes (o el ordenador ya montado) en tiendas locales de mi ciudad ¡¡¡Haced lo mismo!!!
MIRo
Vamos a ver ... si te montas tu solito el PC, y la BIOS de la placa base tiene el troyano o el propio procesador Intel o AMD; estamos en las mismas.
georgered
El año pasado compré un Y50-70 por su excelente precio, creo que ese será mi último portátil lenovo. Prefiero pagar mas por otra marca pero saber que al menos no me le ponen este tipo de mie*da en el equipo.
alanitotkd
esto es un asco... acabo de descubrir que mi lap esta infectada con este malware...
despues de ser consumidor de lenovo ... ahora se ha ganado mi desprecio...
si alguien quiere interponer alguna demanda o algo legal ... es posible ???
graciadroid
Yo igual veo muy mal esto por parte de Lenovo, yo acabo de comprarme la semana pasada la Lenovo Y50-70 y efectivamente venia el superfish, pero ademas de eso me di cuenta que lenovo instala demasiada basura, desde english first, hasta un montón de cosas inservibles para la mayoría pienso yo, asi que igual mejor instale un un Windows mio desde cero, que ademas tengo que recalcar que la versión con la que viene de fabrica es la windows 8.1 single lenguaje que es la versión mas básica que no debería de venir en un equipo de este nivel ya que no se le saca todo el provecho, otra cosa es que no fue tan sencillo ya que las particiones con las que venían estaban como bloqueadas ya que venían en modo de partición GPT y lo que tienes que hacer es eliminar TODO para poder instalar tu windows, aclaro que aunque estoy muy contento con el equipo si es algo desagradable que de fabrica no venga ya bien para ocupar. Saludos.
algope
Tengo un G510 comprado hace un año y está limpio, no tenía nada instalado. No dejéis de revisar por si acaso. Muchas gracias por las advertencias!
lordstein
ayer estaba revisando un portátil lenovo g40-70 de 8 dias de comprado y tenia problemas con los puertos usb 3.o y es increíble la cantidad de software de lenovo que trae de fabrica a tal punto que se tarda cerca de un minuto en arrancar windows 8.1