Anuncio

Java, una vez un componente vital de la web, ha perdido popularidad en los últimos años. La mayoría de los navegadores modernos bloquean Java de forma predeterminada, y la mayoría de los usuarios domésticos ya no necesitan instalarlo.

Hace mucho tiempo que escuchamos que Java es la pieza de software más insegura para computadoras de escritorio, especialmente Windows. Pero, ¿sigue siendo cierto? Investiguemos y descubramos.

Los problemas históricos con Java

La razón principal por la que Java se ha convertido en un objetivo tan popular para el ataque es lo extendido que está. Debido a que Java fue diseñado para una compatibilidad máxima, se ejecuta en una gran cantidad de dispositivos. Además de las computadoras, Java ofrece reproductores de Blu-ray, impresoras, sistemas de pago de estacionamiento, dispositivos de lotería y mucho más. Es lo contrario de seguridad a través de la oscuridad: una plataforma importante proporciona la mejor recompensa por un ataque.

Por supuesto, nos preocupa Java en el escritorio. Y allí, la peor ofensa es que Java no se actualiza automáticamente. A diferencia de la mayoría de los otros programas modernos, Java simplemente le pide al usuario que instale actualizaciones cuando estén disponibles. Peor aún, de manera predeterminada, Java solo busca actualizaciones una vez a la semana o incluso una vez al mes. Eso es peligroso para una aplicación con tantas vulnerabilidades de seguridad.

instagram viewer

Muchas personas ven el mensaje de actualización y lo ignoran, lo que hace que ejecuten una versión desactualizada de Java. Y con las nuevas versiones que se ofrecen regularmente, incluso aquellos que instalan algunas actualizaciones pueden frustrarse e ignorar otras. En algunos casos, incluso cuando los usuarios instalan una nueva versión, también dejan instalada la copia anterior de Java. Esto amplía su vulnerabilidad al ataque.

Por supuesto, no podemos olvidar la larga saga de Java de incluir la terrible barra de herramientas de Ask. Cada vez que instalaste o actualizaste Java, tenías que recordar desmarcar una casilla o incluiría ese pedazo de basura. Si bien no es una hazaña, esto dejó un mal sabor en la boca de los usuarios.

Java cumple 22 años hoy.

Deberíamos enviarle a Oracle un pastel con la barra de herramientas Ask.

- Tim Barrett (@timbarrett) 24 de enero de 2018

Java moderno

Entonces, eso era lo que estaba mal con Java en el pasado, pero ¿qué pasa recientemente?

En octubre de 2017, Veracode descubrió [Ya no está disponible] que el 88 por ciento de las aplicaciones Java contienen al menos un componente vulnerable. A principios de 2016, Oracle anunció que incluso el instalador de Java era vulnerable. Si un atacante coloca un archivo DLL con un nombre específico en su carpeta de Descargas, desencadenará una infección cuando ejecute el instalador de Java. Y en general, debido a la popularidad de Java, solo necesitaría visite un sitio web comprometido que aprovechó su copia desactualizada de Java para infectarse.

Si bien esto significa que Java está lejos de ser seguro, también hay buenas noticias. A principios de 2016, Anunció Oracle que planea desaprobar el complemento del navegador Java (que es la fuente de la mayoría de los problemas) en JDK 9, que está disponible ahora. Los navegadores modernos también han dejado atrás a Java. Chrome dejó de admitir Java a finales de 2015, y Firefox dejó de soportarlo a principios de 2017. El navegador Edge de Microsoft, incluido con Windows 10, no es compatible con Java en absoluto.

Esto significa que si realmente necesita usar Java en un navegador, deberá seguir con Internet Explorer.

Las mayores vulnerabilidades

Dado que Java está perdiendo popularidad, ¿qué ha ocupado su lugar como el software de escritorio más inseguro?

Los últimos datos de Flexera, del primer trimestre de 2017, revela que el 7.8% de los programas en la PC promedio han llegado al final de su vida. Clasifica los 10 programas más expuestos, según la cuota de mercado multiplicada por el porcentaje de usuarios que no tienen parches:

  1. iTunes 12.x
  2. Java 8.x
  3. VLC Media Player 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. Kindle para PC 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. uTorrent 3.x
  10. iCloud para Windows 6.x

Esta lista puede sorprenderte. Si bien Java no es el programa más arriesgado, sigue siendo el segundo. Otros programas que normalmente no asociamos con riesgos de seguridad, como VLC y Malwarebytes, también ocupan un lugar. Esto ilustra la importancia de mantener todo su software actualizado, no solo los populares.

Podemos ver más al examinar Informe de seguridad de Avast para el tercer trimestre de 2017. Enumera los 10 programas más desactualizados en las PC de sus usuarios:

  1. Java 6, 7 y 8
  2. Adobe AIR
  3. Adobe Shockwave
  4. Reproductor de multimedia VLC
  5. iTunes
  6. Firefox
  7. 7-Zip
  8. WinRAR
  9. Tiempo rapido
  10. Adobe Flash Player

Cuando incluye las versiones anteriores, parece que Java aún encabeza el software menos actualizado. Los complementos de Adobe también son grandes culpables, y vemos que iTunes y VLC también están en esta lista.

Por el contrario, de acuerdo con TechRadar, Chrome aparece en la parte superior para las aplicaciones actualizadas. Cuando se encuestó, el 88% de los usuarios que ejecutaban Chrome tenían instalada la última versión. Esto muestra cómo las actualizaciones automáticas silenciosas hacen una gran diferencia, en comparación con las molestas solicitudes de actualización utilizadas por los tiempos de ejecución de Java y Adobe.

No olvides las actualizaciones del sistema operativo también

Otro componente vital de la actualización para recordar son las actualizaciones del sistema operativo. Recuerde que los usuarios que tenían actualizaciones automáticas instaladas se salvaron de El terrible ataque de ransomware a mediados de 2017 El ataque global del ransomware y cómo proteger sus datosUn ciberataque masivo ha golpeado computadoras en todo el mundo. ¿Te ha afectado el altamente virulento ransomware autorreplicante? Si no, ¿cómo puede proteger sus datos sin pagar el rescate? Lee mas . Incluso si mantiene actualizado el software como Java, su computadora aún está en riesgo si no instala las actualizaciones de Windows.

Windows 10 facilita estas actualizaciones automáticas Pros y contras de las actualizaciones forzadas en Windows 10Las actualizaciones cambiarán en Windows 10. En este momento puedes elegir y elegir. Windows 10, sin embargo, forzará actualizaciones sobre usted. Tiene ventajas, como seguridad mejorada, pero también puede salir mal. Y lo que es más... Lee mas , pero aquellos en Windows 7 podrían haberlos deshabilitado. Y aquellos que todavía usan Windows XP casi cuatro años después de su fin de vida se están poniendo en mayor riesgo.

¿Qué tan peligroso es realmente Java?

En conjunto, ¿podemos decir que Java es el mayor riesgo de seguridad para los equipos de escritorio? Realmente no. En el lado negativo, las personas continúan ejecutando versiones obsoletas de Java a pesar de que realmente no lo necesitan. Esto los abre a vulnerabilidades de seguridad. Sin embargo, dado que la mayoría de los navegadores ya no son compatibles con Java, no están abiertos a atacar como solían ser.

El eslabón débil en la seguridad de su computadora proviene del software más popular que no mantiene actualizado. Si tiene la versión más reciente de Java pero aún no la tiene desinstaló el QuickTime no compatible para Windows, eso es un gran riesgo. Tener una versión desactualizada de Flash, Adobe Reader o iTunes también podría abrirlo para atacar.

estado de ánimo actual: negar una actualización de software durante 18 meses y ahora la herramienta para descargar está desactualizada

- polillas (@ 13_moths) 12 de febrero de 2018

Podemos deducir de los datos anteriores que los programas sin actualizaciones automáticas suelen ser los menos seguros. Por ejemplo, iTunes pide constantemente a los usuarios que actualicen, lo cual es molesto. Esto lleva a las personas a ignorar las actualizaciones y dejar instalada una versión insegura.

¿Qué pasa con Mac y Linux?

Nos hemos centrado en Java para Windows arriba, pero vale la pena mencionar rápidamente cómo esto también afecta a los usuarios de Mac y Linux.

Sorprendentemente, aunque Apple no permite que los complementos se ejecuten de manera predeterminada en Safari, el navegador aún admite los complementos antiguos como Java y Silverlight. Si bien debe desinstalar Java en su Mac a menos que lo necesite por un motivo específico, Java no ha causado tantos problemas a los usuarios de Mac como lo ha hecho en Windows. Últimamente, la mayoría de los agujeros de seguridad en macOS han sido gracias a los descuidos de Apple.

Necesito instalar NetBeans para algo. La versión para Mac se envía como un paquete de instalación (!), Que era una bandera roja. Pero luego quería que instalara Java ...

No No, no, no. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo.

- Cyberpunk 2077 apesta (@_nulldragon) 8 de febrero de 2018

Linux tampoco ha visto vulnerabilidades únicas de Java. Si necesita un navegador que admita Java en Linux, puede probar el Versión ESR (Extended Support Release) de Firefox. Firefox proporciona esta versión para entornos empresariales; proporciona las últimas actualizaciones de seguridad, pero espera más tiempo para implementar actualizaciones de funciones. La versión actual, 52, admite Java y otros complementos heredados estarán disponibles hasta algún momento en el segundo trimestre de 2018.

Un futuro sin complementos

La buena noticia es que no necesita la mayoría de estos complementos potencialmente peligrosos y molestos ¿Piensa que Flash es el único complemento inseguro? Piensa otra vezFlash no es el único complemento de navegador que presenta un riesgo para su privacidad y seguridad en línea. Aquí hay tres complementos más que probablemente haya instalado en su navegador, pero que debe desinstalar hoy. Lee mas instalado más. Muy pocos sitios web usan Java, y el principal programa para el que la gente mantuvo instalado Java —Minecraft—incluye una versión segura de Java ahora Cómo instalar la versión completa de Minecraft en una PC con LinuxMinecraft es uno de los juegos más grandes del mundo y se ejecuta en prácticamente todas las plataformas. ¿Quieres que funcione en tu computadora Linux? Te mostraremos cómo. Lee mas . Tampoco son necesarios otros complementos. Microsoft desaprobó Silverlight hace años, y sería difícil encontrar un sitio con contenido de Shockwave.

Flash es la única excepción Die Flash Die: la historia en curso de las empresas tecnológicas que intentan matar a FlashFlash ha estado en declive durante mucho tiempo, pero ¿cuándo va a morir? Lee mas . La mayoría de los navegadores aún lo admiten debido a su popularidad, pero Adobe lo matará en 2020. Hasta entonces, asegúrese de actualizar Flash en su PC. Chrome lo hace automáticamente, por lo que es posible que ya ni siquiera lo tengas instalado (lo cual es genial).

En resumen: Java sigue siendo inseguro pero presenta menos riesgos gracias a que los navegadores lo desactivan. Debe desinstalar los programas que no necesita (incluidos los complementos antiguos), mantener actualizado el software en su computadora y aplicar las actualizaciones del sistema operativo. Si haces esto, estarás bien.

Haber de imagen: avemario /Depositphotos

Ben es editor adjunto y gerente de publicación patrocinado en MakeUseOf. Él tiene un B.S. en Sistemas de Información Informática de Grove City College, donde se graduó Cum Laude y con honores en su especialidad. Le gusta ayudar a los demás y le apasionan los videojuegos como medio.