La reputación de Kaspersky sigue en picada. Luego de ser vetado por países como Holanda o Estados Unidos por cuestión de seguridad, el problema más reciente coloca a la empresa rusa en los reflectores, ya que una característica de su antivirus permite que los usuarios sean espiados.
Una investigación realizada por Ronald Eikenberg, un periodista especializado en seguridad de la revista C't, descubrió el modo en que diversas versiones del software de Kaspersky dejaron vulnerables a los usuarios para que terceros los espiaran.
El fallo data de 2015, cuando Kaspersky implementó una funcionalidad que avisa al usuario que los sitios son confiables. Lo que hace el software es que inyecta un código de JavaScript en todas las páginas que el usuario visita, no importando el navegador. Este código cuenta con un número que identifica al computador y que es leído por los sitios de internet.
El problema es que un sitio podría capturar fácilmente el código de identificación y almacenarlo, con el fin de espiar al usuario. La clave es única para cada computador y de acuerdo con Eikenberg, Kaspersky creó un mecanismo de seguimiento que deja atrás a las tradicionales cookies.
Las personas quedaron abiertas a ser espiadas incluso en modo incógnito, no importando si cambiaban de navegador ya que el código insertado por el antivirus funcionaba en cualquiera de estos, ofreciendo el mismo número de identificación en todos los casos.
El fallo estuvo presente en todo el software de Kaspersky desde 2015
El periodista indica que avisó a Kaspersky del fallo y les explicó los posibles escenarios en los que los usuarios podrían ser espiados. El mismo Eikenberg desarrolló una simple página capaz de leer y almacenar los números de identificación de cada computador. Ante esta situación, la empresa rusa corrigió la brecha con una actualización de software, aunque no del todo.
Kaspersky explicó que esta implementación estuvo presente en todas las versiones de software, incluyendo la de descarga gratuita, por lo que millones de usuarios quedaron expuestos. La solución propuesta por la compañía no es eliminar por completo este script, sino asignar un identificador único por versión de software y no de usuario.
Lo anterior significa que todos los que accedan con el antivirus gratuito serán rastreados con el mismo código, al igual que los que lo hacen con Total Security y otras variantes. El periodista de C't dice que esto no es una buena idea, ya que nuevamente, permitiría que agentes malintencionados aprovecharan la clave para distribuir malware que pudiera atacar a versiones específicas de cada software.
¿Cómo deshabilitar esta característica?
Esta funcionalidad es opcional y para deshabilitarla tendremos que abrir la configuración de Kaspersky, seleccionar Adicional en el menú lateral y dar clic en Red. Dentro de esta pantalla existe una opción llamada Inyectar secuencia de comandos en el tráfico web para interactuar con páginas web que debemos desactivar.
¿Qué dice Kaspersky?
A unas horas de la publicación, fuimos contactados por Kaskpersky, quienes emitieron la siguiente postura oficial:
Kaspersky ha cambiado el proceso de verificación de páginas web para la detección de actividades maliciosas eliminando el uso de identificadores únicos para las solicitudes del método GET. Este ajuste fue hecho después de que Ronald Eikenberg nos informó que el uso de identificadores únicos para las solicitudes GET potencialmente podría conducir a la revelación de información personal del usuario.
Después de una investigación interna, hemos concluido que tales escenarios de riesgo para la privacidad del usuario son teóricamente posibles, pero es poco probable que se lleven a la práctica debido a su complejidad y la baja rentabilidad para los ciberdelincuentes. No obstante, constantemente trabajamos para mejorar nuestras tecnologías y productos, lo que ha resultado en un cambio en este proceso.
Queremos agradecer a Ronald Eikenberg por informarnos sobre esto.