Lenovo reconoce cargos por instalar software que comprometía la seguridad en línea

El gigante fabricante de computadoras chino Lenovo, reconoció haber preinstalado en algunos de sus portátiles software para mostrar anuncios que afectaba la seguridad en líena de los usuarios. Esto fue consecuencia de una demanda iniciada por la Comisión Federal de Comercio (FTC) y 32 fiscales de EEUU.

El software instalado a partir de agosto de 2014 en portátiles y conocido como VisualDiscovery, nterfería con la forma en que el navegador de un usuario interactuaba con los sitios web y creaba graves vulnerabilidades de seguridad.

Maureen K. Ohlhausen, presidenta interina de la FTC sostuvo que:

Maureen K. Ohlhausen, presidenta interina de la Comisión Federal de Comercio de EE.UU

“Lenovo comprometió la privacidad de los consumidores precargando software que podía acceder a la información confidencial de los consumidores sin previo aviso o consentimiento adecuado para su uso

Esta conducta es aún más grave porque el software comprometió las protecciones de seguridad en línea en las que los consumidores confían”,

Visual Discovery fue desarrollado por Superfish, Inc. para proporcionar anuncios emergentes de minoristas afiliados la empresa siempre que el cursor de un usuario se movía sobre un producto similar en un sitio web. Para esto utilizaba una modalidad conocida como “Man in the Middle” entre los navegadores de los consumidores y los sitios web que visitaron, incluso aunque estos estuvieran cifrados. Sin el conocimiento o consentimiento del consumidor, esta técnica de “Man in the Middle” le permitió a VisualDiscovery acceder a toda la información personal sensible que el consumidor transmitía a través de Internet, incluyendo credenciales de acceso, números de Seguro Social, información médica, e información financiera y de pago. Aunque que VisualDiscovery solo recopilaba y transmitía a los servidores de Superfish información más limitada, como los sitios web que el usuario navegaba y la dirección IP del consumidor Superfish podía cambiar esto para recopilar otro tipo de información.

Para empeorar el asunto, según los denunciantes, el software reemplazaba los certificados digitales de los sitios visitados por unos propios omitiendo verificar la autenticidad de esos sitios y utilizando la misma contraseña fácil de descifrar en todos los ordenadores portátiles afectados en lugar de utilizar contraseñas únicas para cada uno de ellos.

Estas vulnerabilidades impedían a los navegadores advertir a los usuarios cuando visitaban sitios web potencialmente falsificados o maliciosos con certificados digitales inválidos. Los posibles atacantes podrían interceptar las comunicaciones electrónicas de los usuarios tende portátiles afectados con cualquier sitio web, incluidas las instituciones financieras y los proveedores de servicios médicos, simplemente descifrando la contraseña preinstalada.

Lenovo no descubrió estas vulnerabilidades de seguridad porque no evaluó y abordó los riesgos de seguridad creados por el software de terceros que precargaba en sus portátiles.

La empresa dejó de enviar portátiles con VisualDiscovery preinstalado en febrero de 2015, aunque algunos ordenadores portátiles con el software continuaron a la venta en canales minoristas hasta junio de 2015.

Como parte del acuerdo Lenovo deberá abstenerse de modificar software para insertar publicidad o transmitir información a terceros. Obtener el consentimiento del usuario antes de instalar software propio que haga lo mismo e implementar un programa de seguridad auditado por terceros durante 20 años en todo el software incluido en sus equipos.

Por otro lado 32 fiscales hicieron un acuerdo por el cual la empresa deberá pagar $3.5 millones de dólares por violar las leyes de protección del consumidor.Este acuerdo no será válido hasta que lo apruebe el tribunal que entiende en la causa.

El procurador general de New Jersey, Christopher Porrino afirmó:
Independientemente del dispositivo del que estemos hablando las empresas que fabrican tecnología de consumo como computadoras personales y portátiles tienen el deber de no comprometer la información personal de los consumidores y tienen el deber de revelar la presencia de cualquier software preinstalado en el dispositivo.”

Acuerdo FTC
Acuerdo fiscales

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s