Lenovo deberá pagar 7.3 millones por instalar adware en miles de laptops

La empresa enfrentaba una demanda colectiva en la que se afirmaba que la privacidad de los usuarios se había visto comprometida

Lenovo, considerada como una empresa de tecnología y manufactura de equipos de cómputo confiables, acaparó la atención de la comunidad de la ciberseguridad en 2015, gracias a que especialistas en forense digital dieron a conocer que 750 mil computadoras portátiles fabricadas por la empresa tenían preinstalado en su sistema un adware llamado VisualDiscovery, desarrollado por la compañía Superfish.

Según expertos en forense digital del Instituto Internacional de Seguridad Cibernética, este adware desempeñaba un papel fundamental para comprometer las medidas de seguridad de uso en línea de las máquinas donde fue instalado, accediendo a información financiera del usuario y realizando variantes del ataque conocido como Man-in-the-Middle en conexiones privadas, gracias a lo cual un atacante podría haber conseguido acceso al sistema de la máquina para espiar las comunicaciones cifradas del usuario.

El Tribunal de Distrito de Estados Unidos del Distrito Norte de California otorgó la aprobación inicial del acuerdo el 21 de noviembre, cuatro meses después de que Lenovo y los consumidores se presentaran ante el tribunal para poner fin a la acción contra el software espía instalado en las laptops.

Después de la demanda colectiva, Lenovo llegó a un acuerdo para pagar 7.3 millones de dólares a los clientes que encontraron el adware preinstalado en sus dispositivos, lo que puso en riesgo su privacidad.

Durante el tiempo en el que esta práctica se hizo pública, Lenovo se dedicó a desmentir las acusaciones, así como afirmaba desconocer que algún tercero hubiera explotado alguna de sus aplicaciones. Además, la empresa afirma que desde 2015 había dejado de vender el software de Superfish con sus equipos.

“Si bien Lenovo nunca ha estado de acuerdo con las acusaciones contenidas en la demanda colectiva, la empresa se alegra de, finalmente, cerrar este caso que ha llevado más de dos años de procesos legales. Hasta la fecha Lenovo no tiene conocimiento de un solo caso en el que un tercero haya sido capaz de explotar una vulnerabilidad para obtener acceso a las comunicaciones del usuario”, menciona el comunicado de la empresa.

De vuelta en 2015, Robert Graham, especialista en forense digital, analizó el software SuperFish, relatando posteriormente sus hallazgos:

“El software SuperFish puede ser considerado malicioso en muchos sentidos. Está diseñado para interceptar cualquier tipo de conexión encriptada. Sin embargo, esto lo hace de una manera muy deficiente, dejando el sistema expuesto a los hackers o agencias de inteligencia del estilo de la NSA, que podrían espiar sus operaciones bancarias privadas”, afirmaba Graham.

En 2017, Lenovo acordó al con la Comisión Federal de Comercio, Connecticut y otros 31 estados pagar $3.5 millones de dólares debido a una polémica similar. La compañía también se había comprometido a cambiar la forma de comercializar sus equipos. Además, en un acuerdo adicional, la compañía pagó 3.5 millones adicionales a las autoridades estatales.

Fuente: http://noticiasseguridad.com/tecnologia/lenovo-debera-pagar-7-3-millones-por-instalar-adware-en-miles-de-laptops/