Cuando instalamos un antivirus en nuestro ordenador o teléfono móvil lo hacemos, en principio, para protegernos de las amenazas que nos acechan a través de internet. Sin embargo, parece que en esto de los antivirus, tampoco es oro todo lo que reluce. Por lo menos en el caso de Kaspersky, que se acaba de dar a conocer ahora.
Durante al menos cuatro años, los productos de antivirus de Kaspersky Lab han puesto en peligro la seguridad de los clientes que los tenían instalados. ¿Cómo? Pues según se acaba de publicar, a través de la inyección de un código identificador único en el HTML de cada una de las páginas web que visitaba el usuario. De este modo, cualquier sitio podría identificar a un usuario cuando usa el modo incógnito en un navegador o cuando cambian de navegador para usar Chrome, Firefox o Edge.
La información, publicada en c’t Magazine, revela que este código era un JavaScript inyectado por Kaspersky en cada página que visitaba el usuario. Este servía para introducir un código verde, que representaba un enlace seguro, devuelto en los resultados de búsqueda. Era el siguiente:
<script type=»text/javascript» src=»https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js» charset=»UTF-8″></script>
Un código con el que ser rastreado, incluso en modo incógnito
El responsable de este hallazgo es Ronald Eikenberg, quien encontró el famoso JavasScript inyectado por el antivirus que tenía instalado en su ordenador, de Kaspersky. Este había generado una etiqueta única – una especie de código con diferentes cifras y letras (concretamente 9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615) – que se inyectaba en cada una de las páginas que visitaba a través del navegador.
Esto sucedía, además, con cualquier navegador. Lo probó con Chrome, con Firefox, con Edge y con Opera. Y el resultado siempre era el mismo. De hecho, el código unipersonal se inyectaba en el html de las páginas aunque accediera desde el navegador en modo incógnito. Ese mismo código es el que podrían usar los responsables de cualquier sitio web si hubieran querido rastrearlo como usuario.
Kaspersky ha operado durante 4 años de este modo
Lo cierto es que esto no ha estado sucediendo un tiempo corto. Nada más lejos de la realidad. Kaspersky incorporó el famoso identificador en otoño de 2015 y tras la advertencia de Eikenberg a la propia compañía, esta dejó de usarlo. Ocurrió en junio de este año, de modo que Kaskpersy estuvo usándolo durante casi cuatro años y en todas las versiones de antivirus para Windows que la compañía ha puesto a disposición de los usuarios. También en las versiones que se pueden descargar de manera gratuita y que son Kaspersky Internet Security y Kaspersky Total Security.
El problema de seguridad ha sido identificado con el siguiente código CVE-2019-8286. Para los expertos, añadir un identificador único es una opción del todo innecesaria, aunque igualmente existen otros sistemas que pueden ayudar a la identificación del usuario, como por ejemplo las cookies y las direcciones IP. Sea como sea, no estamos ante una opción ideal para mantener la privacidad de los usuarios.
Por su parte, Kaspersky no ha tardado en ofrecer un comunicado en el que reconoce que se eliminaron los identificadores únicos, después de haber sido informados por el citado periodista, al que agradecen su trabajo. Consideran, sin embargo, que aunque los identificadores pueden servir para identificar a los usuarios, es poco probable que los cibercriminales lleven a cabo un seguimiento de estas características. En primer lugar porque es un procedimiento complejo y en segundo, porque resultaría poco rentable.
