Cómo solucionar el agujero de seguridad estilo Superfish de Dell

¿Os acordáis del escándalo de Superfish? El fabricante de ordenadores Lenovo vendió una serie de portátiles con una aplicación pre-instalada llamada Visual Discovery de la empresa Superfish.

Visual Discovery espiaba todo tu tráfico en Internet, analizaba las imágenes que veías para averiguar lo que te interesaba y ofrecerte publicidad relevante.

Algo similar a lo que hace Google y otros con texto (al analizar nuestras búsquedas, correo web, etc) solo que ellos usaban las imágenes.

Desafortunadamente, Superfish decidió que también era interesante el espiar nuestras conexiones seguras, lo que significaba:

• Interceptar las conexiones seguras de nuestro navegador
• Conectarse a webs cifradas en nuestro nombre (lo que se conoce como proxying).
• Descifrar el contenido recibido para analizarlo
• Volverlo a cifrar

Pero esto conlleva dos problemas:

• O la respuesta cifrada al navegador aparece como si fuera de Superfish, no de la web real que visitamos
• O Superfish pretende hacerse pasar por la web oficial, y la respuesta sin cifrar tiene un certificado digital sospechoso.

Por defecto, cualquiera de esos dos comportamientos conlleva un aviso sobre el certificado en el navegador para cada página cifrada.

Cómo funciona

La solución habitual es obligar a tu navegador a confiar en esos “falsos” certificados digitales de Superfish. Normalmente esto se hace añadiendo lo que se llama una “entidad de certificación de raíz de confianza” (trusted root certificate) al navegador o al sistema operativo, de manera que confiemos en una entidad intermedia para las tareas de cifrado.

El problema que existía con Superfish era que usaba las mismas credenciales para todos los certificados, no una distinta para cada certificado de cada ordenador, por lo que a un ciberdelincuente le sería muy fácil simular ese certificado de manera que el navegador creyera que visitaba una página segura cuando en realidad era una trampa.

Más certificados peligrosos

Ahora los portátiles que están en peligro son los de Dell. Parece ser que Dell ha emitido “dos certificaciones de raíz de confianza” que están siendo usadas por los ciberdelicuentes. Estas son:

• eDellRoot
• DSDTestProvider

Dell ha admitido el problema con la primera, ha explicado como eliminarla, y prometido una actualización de software que lo realice automáticamente.

Suponemos que el segundo certificado se puede eliminar con el mismo procedimiento, pero no disponemos de un portátil Dell para comprobarlo.

Irónicamente, Dell afirma que el certificado eDellRoot sirve para que el servicio al cliente de Dell identifique fácilmente nuestro ordenador, haciendo más sencillo y rápido su servicio pos-venta.

Qué hacer

Sigue las instrucciones de Dell y usa Windows Certificate Manager para eliminar los certificados arriba mencionados. No está de más conocer el funcionamiento de Windows Certificate Manager, por si este tipo de cosas vuelven a ocurrir.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: