¿Podría utilizarse un bug en los productos de Kaspersky para espiar?

Toda la verdad acerca del bug descubierto recientemente (y solucionado) en los productos para consumidor de Kaspersky.

Puede que hayas escuchado que Kaspersky espía a sus clientes o ayuda a otros a espiarlos. Ya hemos respondido a estas alegaciones en otras ocasiones, pero ahora nos tenemos que enfrentar a un nuevo caso que afirma que Kaspersky ha expuesto a sus usuarios al seguimiento entre sitios. Te lo contamos todo en esta breve entrada.

¿Qué ha pasado?

El periodista Ronald Eikenberg de la revista c’t informó de que los productos para consumidores de Kaspersky utilizaban identificadores únicos en scripts cuando los usuarios visitaban sitios en Internet y que estos podrían estar utilizándose para identificar a los usuarios.

El problema (conocido como CVE-2019-8286) afectó a Kaspersky Internet Security 2019, Kaspersky Total Security 2019, Kaspersky Anti-Virus 2019, Kaspersky Small Office Security 6 y Kaspersky Free Antivirus 2019, además de las versiones anteriores de estos paquetes de software. Eikenberg se puso en contacto con nosotros y nos aseguramos de solucionar el problema. El parche correspondiente para cada uno de los productos se publicó en junio y un gran número de usuarios ya han actualizado el producto.

¿Cuál era el problema?

En resumen, en casi todas las páginas que carga un usuario de productos para consumidor de Kaspersky se adjunta un código que, entre otras cosas, contiene 32 caracteres y es exclusivo del usuario, además, este código le seguirá acompañando en todas estas páginas web.

De esta forma, los propietarios de los sitios que almacenan estas páginas podrían controlar si un usuario en específico de los productos de Kaspersky ha visitado alguno de sus sitios y, quizás, si ha vuelto a visitarlo después. No obstante, para que este seguimiento funcione (incluso en el modo incógnito), es necesario un intercambio de información entre sitios.

¿Se ha solucionado?

Sí, para ello lanzamos un parche el 7 de junio del 2019 que se envió de forma automática a los usuarios de todos los productos afectados. Por tanto, no tienes que hacer nada, siempre y cuando tu ordenador se haya conectado a Internet desde entonces y hayas consentido la actualización del producto.

Todos los productos para consumidor de Kaspersky que se hayan actualizado conceden a todos los usuarios el mismo conjunto de identificadores, es decir, solo pueden revelar el tipo de producto utilizado (ya sea Kaspersky Anti-Virus, Kaspersky Internet Security o cualquier otro). No son exclusivos de una persona en particular, por lo que no pueden utilizarse para el seguimiento.

¿Cuál ha sido la causa?

Para detectar scripts potencialmente maliciosos en páginas web antes de que comiencen a ejecutarse, los productos de Kaspersky inyectan un código de JavaScript en la página durante el proceso de carga. Pero esta función no se encuentra solo en los productos de Kaspersky, sino que forma parte del funcionamiento habitual de los antivirus para web. El código de JavaScript incluía este identificador que antes era único, pero ahora ha cambiado y es el mismo para todos los usuarios.

¿Por qué no es un problema grave?

A veces los medios de comunicación magnifican los problemas para llamar la atención y eso precisamente es lo que sucedió en este caso en concreto. Aunque, en teoría, este problema puede llegar a tener consecuencias reales; a continuación, os presentamos tres de ellas.

La primera es la que ya hemos comentado: los vendedores podrían haber utilizado estos identificadores para rastrear a los usuarios que visitaban sus sitios web, pero los perfiles elaborados serían muy escasos. Es mucho más fácil confiar en los sistemas de publicidad reales como los de Facebook o Google para rastrear usuarios, además, estos sistemas ofrecen más información. De hecho, eso es lo que hacen la mayoría de los propietarios de sitios web, por lo que no tienen que utilizar estos identificadores de las soluciones de seguridad para ese propósito.

La segunda es que un ciberdelincuente podría haber extraído esas direcciones y elaborado un malware que tuviera como objetivo solo a los usuarios de productos de Kaspersky y lo hubiera expandido entre ellos. Lo mismo ocurre con cada programa que cambia el código de la página web del lado del usuario. Esta situación es muy poco probable, pues el atacante no solo tendría que elaborar el malware, sino también enviarlo y ejecutarlo. Para ello habría que atraer al usuario a un sitio web malicioso, pero nuestro antivirus web y antiphishing lo mantendría alejado de este tipo de sitios.

La tercera: se podría utilizar con propósitos de phishing una base de datos con los visitantes del sitio web. Esa sería la consecuencia más razonable. Pero, de nuevo, no sería la mejor opción para el ciberdelincuente, que preferiría utilizar información que se haya hecho pública o filtraciones recientes, algo mucho más sencillo.

En cualquier caso, nadie ha percibido ningún tipo de actividad maliciosa que utilice estos identificadores únicos. Y ahora que el problema ya se ha solucionado, es tarde para los ciberdelincuentes.

Por tanto, podemos afirmar que la acusación “Kaspersky permite el espionaje” resulta exagerada. Un bug podría haber permitido a terceros rastrear a los usuarios de una forma muy limitada, pero ya está solucionado.

¿Qué debo hacer?

Es simple, deja que la solución de seguridad se actualice por sí misma; de hecho, te lo recomendamos de forma habitual.

  • Comprueba que tu solución de seguridad de Kaspersky esté actualizada. Seguramente lo esté, pero si no, te recomendamos que la actualices para que pueda protegerte correctamente. Para la actualización del producto, haz clic en su icono en el área de notificaciones y selecciona Actualizar en menú. Los usuarios los productos de Kaspersky del 2020 también tendrán que hacerlo; las versiones anteriores necesitarán el parche para solucionar el problema.
  • Si te sigue preocupando que los sitios web sepan que utilizas una solución de Kaspersky, desactiva la inyección del script. Para ello, ve a Configuración y Configuración de red. Desactiva la opción Inyectar el script en el tráfico web para interactuar con las páginas web en Procesamiento del tráfico. No obstante, ten en cuenta que con ello el nivel de protección disminuye, por lo que no lo recomendamos.
Consejos