Durante este año, Lenovo ha sido protagonista de muchas polémicas debido al caso conocido como Superfish. A principios de año salió a la luz que el fabricante chino estaba instalando en algunos de sus dispositivos software que estaba considerado como adware. No fue una, sino varias las ocasiones en las que la compañía fue pillada in fraganti incluyendo este tipo de software. El problema, además de que ese adware podía insertar publicidad no deseada en los equipos, podía instalar un certificado raíz, poniendo los dispositivos en riesgo ante vulnerabilidades, Ahora, otra gran empresa del sector parece que puede pasar por algo similar.

Dell se enfrenta a un grave problema con la seguridad de algunos de sus productos. Dos portátiles de la compañía tienen un certificado del estilo de Superfish: los modelos Inspiron 5000 XPS 15 y XPS 13. En ellos, se ha descubierto un certificado raíz de confianza instalado que no debería estar ahí. 

En el caso de Superfish, se sabía por qué estaba ahí:para inyectar publicidad. En el caso de Dell, no se sabe por qué.

Esta vez ha sido un usuario de Reddit y experto en programación, Joe Nord, quien detectó este certificado root preinstalado en uno de sus equipos. Este certificado, denominado “eDellRoot” puede dar por buenas conexiones cifradas sin que estas sean verificadas. En su blog, Joe Nord explica cómo encontró el certificado.

Certificado "eDellRoot" encontrado por Joe Nord

Certificado “eDellRoot” encontrado por Joe Nord

“Recientemente compré un Dell Inspiron 5000 series. Mientras lo configuraba, me sorprendió ver un certificado de raíz preinstalado en la máquina llamado “eDellRoot”. Me está costando dar con una buena razón por la que una corporación como Dell necesita un certificado como este en mi ordenador”, explica Nord en su blog.

Todavía no se sabe por qué Dell ha instalado este certificado en los equipos, y aunque de momento solo se ha detectado en estos dos modelos, es muy probable que esté instalado en toda la gama de portátiles XPS del fabricante. Por su parte, Dell ha afirmado que están trabajando en ello, como han explicado representantes de la compañía a The Verge, y han asegurado que la política de la compañía es garantizar la seguridad del usuario e instalar el mínimo software en los equipos.

“Me hizo pensar cosas similares a los errores cometidos por Lenovo este año con Superfish, lo que yo describí como un suicidio corporativo de Lenovo“, continúa Nord en su blog, donde explica el proceso completo que siguió para descubrir e investigar este certificado.

Los certificados son documentos que contienen datos de su titular y clave púbica, y firmados de forma electrónica por una autoridad de certificación.  Las autoridades de certificación o CA (Certification Authority) son entidades de confianza que se encargan de emitir y revocar en su caso los certificados digitales. Fábrica Nacional de Moneda y Timbre o Firma Profesional son algunas de las principales AC.

 

 

 

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

Deja un comentario