Lavasoft y Comodo se suman al «escándalo Superfish»

Lenovo aún trata de controlar el daño causado por el «Superfishgate», pero desde el comienzo quedó en claro que el fabricante de ordenadores no era el único instalando software capaz de emitir certificados HTTPS falsos. Ahora, quienes se suman a la lista negra son Lavasoft y Comodo, dos compañías que ofrecen aplicaciones de seguridad. Lavasoft utiliza la misma tecnología de Superfish en uno de sus productos, y Comodo distribuye un programa con efectos más serios.

comodo-internet-security-13

En más de una ocasión nos hemos preguntado cómo es posible que compañías de tan alto perfil cometan errores de esta clase. Perjudicar la seguridad del usuario en favor de un billete extra puede destruir la reputación de una marca y afectar su valor de un día para el otro. Lenovo fue la única compañía que escapó a la caída en el mercado de PCs con sistemas sólidos y relativamente económicos, pero la preinstalación de Superfish en sus sistemas ha dejado una mancha bastante grande en su expediente. Tal y como lo había prometido, Lenovo publicó una herramienta automática que elimina a Superfish con un par de clics, y ahora deberán esperar a que los usuarios olviden el trago amargo. El problema es que Superfish ha expuesto una práctica nefasta, imitada por otras compañías que no necesariamente se dedican a la venta de ordenadores.

2015-03-02_090425

El primer caso es el de Lavasoft. Tal vez recuerden ese nombre gracias a su programa Ad-Aware, que con el paso del tiempo se vio rápidamente superado por alternativas mucho más livianas y eficientes. Lavasoft ofrece en forma gratuita a su Ad-Aware Web Companion, un complemento para los antivirus tradicionales que protege al navegador web preferido del usuario. En teoría suena bastante bien, pero Lavasoft decidió incorporar la tecnología de intercepción SSL desarrollada por Komodia, y que utiliza Superfish. En la otra acera aparece Comodo PrivDog, una aplicación que incrementa (en teoría) la privacidad del usuario. Si bien no usa el código de Komodia, lo que hace PrivDog es aún peor que Superfish, ya que reemplaza cada certificado con uno propio, aún si el certificado original era inválido.

Lavasoft y Comodo corrigieron ambas situaciones en sus productos, pero se necesitó un poco de exposición para que los engranajes comiencen a girar. Esto nos hace pensar que el «Superfishgate» será mucho más largo de lo que imaginamos, y cada pieza de software que esté relacionada con certificados probablemente termine bajo el microscopio de los expertos.