Comparado con cosas peores de los últimos tiempos, el hallazgo de una vulnerabilidad en el software instalado por defecto en ciertos portátiles de Lenovo, puede parecer peccata minuta, pero de mi infancia salesiana creo recordar que también los pecados veniales requieren arrepentimiento y propósito de enmienda: no estoy seguro de que Lenovo haya cumplido de buena gana con este precepto. O quizá fuera una tormenta en un vaso de agua, que ya se ha disipado.

Los primeros indicios aparecieron en foros de usuarios de Lenovo en enero: Superfish, un programa de «descubrimiento visual» preinstalado en máquinas vendidas desde septiembre, resultó ser una amenaza potencial. En la práctica, no se han denunciado casos reales de sustracción de datos de usuarios, pero los expertos sostienen que es posible, sobre todo en conexiones wifi desde hoteles y cafeterías. A una pregunta sobre la disparidad de pareceres entre Lenovo y las empresas de seguridad, el CTO de Lenovo, Peter Hortensius, ha respondido: «no voy a polemizar con quienes trabajan con modelos teóricos, pero estoy de acuerdo en que es algo que no merecería estar en nuestros PC». Como líder mundial del mercado de PC «nuestra reputación está por encima de todo», concluye la frase.

El objetivo proclamado por Lenovo de la preinstalación de Superfish es «mejorar la experiencia de shopping de los consumidores». Es obligado creerle, porque la mínima comisión que la compañía recibe por instalar el adware no puede ser la causa de su adopción. Parece más bien un fallo de discernimiento, provocado por el deseo de diferenciar sus productos de los de la competencia, añadiendo por defecto aplicaciones de terceros.

Superfish ha sido desarrollado por una empresa californiana-israelí que tiene otras aplicaciones de reconocimiento de imágenes en buscadores móviles, es un software que se define como auxiliar de navegación. Cuando el usuario busca un producto, lanza una búsqueda de imágenes en la web para presentarle productos idénticos o similares que podría adquirir en más de 70.000 tiendas y compara para optimizar (sic) su decisión de compra», explica la documentación. Lenovo se defiende así: «no rastrea los datos de los usuarios ni vigila su comportamiento ni Lenovo acumula información alguna».

Como tecnología, Superfish no es nada excepcional, y representa una categoría muy usual, no peligrosa en sí misma pero casi siempre intrusiva: ¿quién no ha visto su PC invadido por una extensión del navegador o del buscador, que supuestamente optimiza su experiencia online?. Según los expertos de Microsoft que lo han analizado, el problema no está en el adware propiamente dicho sino en que genera automáticamente un certificado raíz que podría ser aprovechado por intrusos para acceder a los datos de navegación. Es lo que se conoce como ataque de intermediario [man-in-the-middle] que interfiere las conexiones seguras HTTPS. El certificado así creado se aloja profundamente en Windows, y un hacker podría – eventualmente – usarlo como firma SSL en otros sitios web ilegítimos, sin que el usuario se entere.

No ha ocurrido, sostiene Hortensius en su entrevista al Wall Street Journal. Pero podría ocurrir, motivo por el que el veterano CTO admite que «deberíamos haber sido más diligentes» antes de instalarlo. En todo caso, aclara, «los usuarios nos han hecho ver que no era útil, y dejamos de instalarlo en enero». Microsoft Defender y McAfee [ahora Intel Security] han sido los primeros en presentar herramientas para detectar y eliminar tanto la aplicación como el certificado generado por ella. Lenovo ha lanzado la suya el pasado fin de semana.

Corregida la torpeza, por tanto. Pero no creo que pueda decirse que muerto el perro se acabó la rabia. Ha sido un episodio desgraciado, que se inscribe entre otros – conocidos o por conocer – de creatividad irresponsable, en el mejor caso de ingenuidad, por parte de algún desarrollador. La revista Forbes, que hace dos años clasificó a Superfish en el puesto 64 de su ranking de «promesas empresariales americanas», ha descubierto ahora que Adi Pinhas, su fundador y CEO de la empresa, «tiene una larga historia de violaciones de la privacidad mediante la diseminación de adware, spyware, malware y crapware«. Qué miedo me dan los que me quieren ´optimizar`.