En 2014 , Lenovo comenzó a agrupar un programa de adware de terceros llamado “Superfish” en sus PCs de consumo. Ahora, casi tres años después, la empresa se enfrenta a las consecuencias. En la actualidad, Lenovo resolvió una demanda por la Comisión Federal de Comercio sobre el adware Superfish, acordando obtener consentimiento afirmativo para cualquier programa de adware futuro, así como controles de seguridad auditados de su software para los próximos 20 años.
Instalado en portátiles Lenovo entre septiembre de 2014 y enero de 2015, Superfish obtuvo acceso a certificados raíz, lo que le permitió insertar anuncios en páginas web incluso protegidas por HTTPS. Por desgracia, eso también significaba que los hackers podían forjar el certificado de Superfish para romper completamente las protecciones HTTPS, un ataque que ocurrió poco después de que el programa se hiciera público .
Según la acusación de la FTC, romper HTTPS presentaba un claro riesgo para los consumidores, pero debido a que se clasificó como una violación inicial, Lenovo no va a tener que pagar por poner a los clientes en riesgo. En su lugar, el acuerdo requiere que Lenovo dé aviso claro a los clientes de cualquier programa de recopilación de datos o de publicación de anuncios incluido en sus computadoras portátiles, y obtenga un consentimiento afirmativo antes de instalar el software. Lenovo también acordó llevar a cabo una revisión de seguridad continua de su software incluido, realizando auditorías regulares de terceros durante los próximos 20 años.
Lenovo no es la única empresa que utiliza un adware que rompe certificados. Unos meses después de que Superfish se hiciera público, un programa similar fue descubierto en dos modelos de portátiles Dell, aunque el software estaba menos extendido.
“Este caso envía un mensaje muy importante que todo el mundo en la cadena necesita prestar atención”, dijo la presidenta de la FTC, Maureen Ohlhausen, a periodistas en una llamada. “Si va a preinstalar este tipo de software, debe prestar atención a lo que está recogiendo y lo que está diciendo a los consumidores.”