Por qué Java es ahora menos riesgoso para la seguridad en Windows, Mac y Linux

La mayoría de la gente sabe que Java es inseguro, pero ¿sigue siendo la pieza más peligrosa de software de escritorio? ¿Todavía puede causar problemas en Windows, macOS y Linux? Echemos un vistazo y descubramos.

La mayoría de la gente sabe que Java es inseguro, pero ¿sigue siendo la pieza más peligrosa de software de escritorio? ¿Todavía puede causar problemas en Windows, macOS y Linux? Echemos un vistazo y descubramos.
Anuncio

Java, que una vez fue un componente vital de la web, ha perdido popularidad en los últimos años. La mayoría de los navegadores modernos bloquean Java de forma predeterminada, y la mayoría de los usuarios domésticos ya no necesitan instalarlo.

Hace tiempo que escuchamos que Java es el software más inseguro para computadoras de escritorio, especialmente Windows. Pero, ¿esto sigue siendo cierto? Investiguemos y descubramos.

Los problemas históricos con Java

La razón principal por la que Java se ha convertido en un objetivo tan popular para los ataques es lo extendida que está. Debido a que Java fue diseñado para una compatibilidad máxima, se ejecuta en una gran cantidad de dispositivos. Además de computadoras, Java impulsa reproductores de Blu-ray, impresoras, sistemas de pago de estacionamiento, dispositivos de lotería y mucho más. Es lo opuesto a la seguridad a través de la oscuridad: una plataforma importante proporciona la mejor recompensa por un ataque.

Por supuesto, nos preocupa Java en el escritorio. Y ahí, la peor ofensa es que Java no se actualiza automáticamente. A diferencia de la mayoría de los otros programas modernos, Java simplemente le pide al usuario que instale las actualizaciones cuando estén disponibles. Peor aún, de forma predeterminada, Java solo busca actualizaciones una vez a la semana o incluso una vez al mes. Eso es peligroso para una aplicación con tantas vulnerabilidades de seguridad.

Muchas personas ven el mensaje de actualización e lo ignoran, lo que les lleva a ejecutar una versión obsoleta de Java. Y con las nuevas versiones que se ofrecen regularmente, incluso aquellos que instalan algunas actualizaciones pueden frustrarse e ignorar otras. En algunos casos, incluso cuando los usuarios instalan una nueva versión, también dejan la copia anterior de Java instalada. Esto amplía su vulnerabilidad al ataque.

Por supuesto, no podemos olvidarnos de la larga historia de Java de incluir la terrible Ask Toolbar. Cada vez que instalaba o actualizaba Java, tenía que recordar desmarcar una casilla o incluiría esa basura. Si bien no es un exploit, esto dejó un mal sabor en las bocas de los usuarios.

Java cumple hoy 22 años.

Deberíamos enviarle un pastel a Oracle con Ask Toolbar.

- Tim Barrett (@timbarrett) 24 de enero de 2018

Java moderno

Así que eso es lo que estaba mal con Java en el pasado, pero ¿qué hay de nuevo?

En octubre de 2017, Veracode descubrió que el 88 por ciento de las aplicaciones Java contienen al menos un componente vulnerable. A principios de 2016, Oracle anunció que incluso el instalador de Java era vulnerable. Si un atacante coloca un archivo DLL con un nombre específico en su carpeta de descargas, desencadenará una infección cuando ejecute el instalador de Java. Y en general, debido a la popularidad de Java, solo necesitaría visitar un sitio web comprometido que aprovechó su copia obsoleta de Java para infectarse.

Si bien esto significa que Java está lejos de ser seguro, también hay buenas noticias. A principios de 2016, Oracle anunció que planea desaprobar el plugin de navegador Java (que es la fuente de la mayoría de los problemas) en JDK 9, que está disponible ahora. Los navegadores modernos también han dejado atrás a Java. Chrome abandonó el soporte para Java a finales de 2015, y Firefox dejó de brindar soporte a principios de 2017. El navegador Edge de Microsoft, incluido con Windows 10, no admite Java en absoluto.

Actualizaciones de Java en Windows 10 son tan divertidas ahora porque Chrome, Firefox y Edge ya no lo usan

- Rob the Tech Guy (@TheTechGuyRob) 1 de febrero de 2018

Esto significa que si realmente necesita usar Java en un navegador, tendrá que seguir con Internet Explorer.

Las mayores vulnerabilidades

Dado que Java está cayendo en popularidad, ¿cuál es su lugar como el software de escritorio más inseguro?

Los datos más recientes de Flexera, del primer trimestre de 2017, revelan que el 7, 8% de los programas en una PC promedio han llegado al final de sus vidas. Clasifica los 10 programas más expuestos, en función de la cuota de mercado multiplicada por el porcentaje de usuarios que no están actualizados:

  1. iTunes 12.x
  2. Java 8.x
  3. VLC Media Player 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. Kindle para PC 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. uTorrent 3.x
  10. iCloud para Windows 6.x

Esta lista puede sorprenderte. Si bien Java no es el programa más arriesgado, sigue siendo el segundo. Otros programas que normalmente no asociamos con riesgos de seguridad, como VLC y Malwarebytes, también ocupan un lugar. Esto ilustra la importancia de mantener todo su software actualizado 4 Aplicaciones de Windows para mantenerse actualizado en todo momento 4 Aplicaciones de Windows para mantenerse actualizado en todo momento Mantener su software actualizado es una forma de evitar problemas con hackers y malware . Le mostramos cómo mantener actualizados Windows, navegadores, herramientas antivirus y otras aplicaciones. Lea más, no solo los populares.

Podemos ver más al examinar el informe de seguridad Q3 2017 de Avast. Enumera los 10 programas más desactualizados en las PC de sus usuarios:

  1. Java 6, 7 y 8
  2. Adobe AIR
  3. Adobe Shockwave
  4. Reproductor de multimedia VLC
  5. iTunes
  6. Firefox
  7. 7-Zip
  8. WinRAR
  9. Tiempo rapido
  10. Adobe Flash Player

seguridad de Java - lista de programas obsoletos

Cuando incluye las versiones anteriores, parece que Java sigue encabezando el software menos actualizado. Los complementos de Adobe también son grandes culpables, y vemos que iTunes y VLC también hicieron esta lista.

Por el contrario, según TechRadar, Chrome ocupa el primer puesto en aplicaciones actualizadas. Cuando se encuestó, el 88% de los usuarios que tenían Chrome tenía instalada la versión más reciente. Esto muestra cómo las actualizaciones automáticas silenciosas marcan una gran diferencia, en comparación con las molestas solicitudes de actualización utilizadas por Java y los tiempos de ejecución de Adobe.

No olvide las actualizaciones del sistema operativo también

Otro componente vital de la actualización para recordar son las actualizaciones del sistema operativo. Recuerde que los usuarios que tenían las actualizaciones automáticas instaladas se salvaron del terrible ataque de ransomware a mediados de 2017. El ataque Global Ransomware y cómo proteger sus datos El ataque global de Ransomware y cómo proteger sus datos Un ciberataque masivo ha afectado a las computadoras en todo el mundo. ¿Ha sido afectado por el ransomware auto-replicante altamente virulento? Si no, ¿cómo puede proteger sus datos sin pagar el rescate? Lee mas . Incluso si mantiene actualizado un software como Java, su computadora aún corre peligro si no instala las actualizaciones de Windows.

Windows 10 hace que estas actualizaciones automáticas sean fáciles Pros y contras de las actualizaciones forzadas en Windows 10 Pros y contras de las actualizaciones forzadas en Windows 10 Las actualizaciones cambiarán en Windows 10. Ahora mismo puede seleccionar y elegir. Windows 10, sin embargo, forzará las actualizaciones sobre usted. Tiene ventajas, como seguridad mejorada, pero también puede salir mal. Lo que es más ... Leer más, pero aquellos en Windows 7 podrían haberlos deshabilitado. Y aquellos que todavía usan Windows XP casi cuatro años después de su fin de vida corren un gran riesgo 7 Formas en que Windows 10 es más seguro que Windows XP 7 Formas en que Windows 10 es más seguro que Windows XP Incluso si no le gusta Windows 10, realmente debería haber migrado desde Windows XP por ahora. Le mostramos cómo el sistema operativo de 13 años ahora está plagado de problemas de seguridad. Lee mas .

¿Qué tan peligroso es Java, realmente?

Tomados todos juntos, ¿podemos decir que Java es el mayor riesgo de seguridad para los escritorios? Realmente no. En el lado negativo, la gente todavía continúa ejecutando versiones desactualizadas de Java aunque realmente no lo necesiten. Esto los abre a las vulnerabilidades de seguridad. Sin embargo, dado que la mayoría de los navegadores ya no son compatibles con Java, no están abiertos para atacar como lo fueron antes.

El vínculo débil en la seguridad de su computadora proviene del software más popular que no mantiene actualizado . Si tiene la última versión de Java pero todavía no ha desinstalado QuickTime para Windows, ese es un gran riesgo. Tener una versión obsoleta de Flash, Adobe Reader o iTunes podría abrirlo para atacar también.

estado de ánimo actual: denegar una actualización de software durante 18 meses y ahora la herramienta para descargar está desactualizada

- [agraciadas] polillas (@archaevist) 12 de febrero de 2018

Podemos deducir de los datos anteriores que los programas sin actualizaciones automáticas suelen ser los menos seguros. Por ejemplo, iTunes constantemente les pide a los usuarios que actualicen, lo cual es molesto. 7 Programadores de Stupid Things. Aquellos usuarios de Drive Crazy 7 Stupid Things. Los programadores hacen que los usuarios de Drive locas. Los programadores a menudo toman decisiones estúpidas que generan molestias para los usuarios. Aquí hay varios caprichos de diseño comunes que vuelven loco a la gente. Lee mas . Esto lleva a las personas a ignorar las actualizaciones y dejar una versión insegura instalada.

¿Qué hay de Mac y Linux?

Nos hemos centrado en Java para Windows más arriba, pero vale la pena mencionar rápidamente cómo esto afecta también a los usuarios de Mac y Linux.

Sorprendentemente, aunque Apple no permite que los complementos se ejecuten de manera predeterminada en Safari, el navegador aún admite los complementos anteriores como Java y Silverlight. Si bien debe desinstalar Java en su Mac a menos que lo necesite por una razón específica, Java no ha causado tantos problemas para los usuarios de Mac como lo ha hecho en Windows. Últimamente, la mayoría de los agujeros de seguridad en macOS han sido gracias a descuidos de la propia Apple.

Necesito instalar NetBeans para algo. La versión de Mac se envía como un paquete de instalador (!), Que era una bandera roja. Pero luego quería que instalara Java ...

Nop. No, no, no, no. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope

- nulldragon (@_nulldragon) 8 de febrero de 2018

Linux tampoco ha visto ninguna vulnerabilidad de Java única. Si necesita un navegador que admita Java en Linux, puede probar la versión ESR (Extended Support Release) de Firefox. Firefox proporciona esta versión para entornos de negocios; proporciona las últimas actualizaciones de seguridad pero espera más tiempo para implementar actualizaciones de funciones. La versión actual, 52, admite Java y otros complementos heredados estarán disponibles hasta algún momento en Q2 2018.

Un futuro sin complementos

La buena noticia es que no necesitas la mayoría de estos complementos potencialmente peligrosos y molestos. ¿Think Flash es el único complemento inseguro? Piense otra vez ¿Piensa que Flash es el único plugin inseguro? Think Again Flash no es el único complemento de navegador que presenta un riesgo para su privacidad y seguridad en línea. Aquí hay tres complementos más que probablemente haya instalado en su navegador, pero debería desinstalarlos hoy. Leer más instalado más. Muy pocos sitios web usan Java, y el programa principal para el que la gente mantuvo Java instalado-Minecraft-incluye una versión segura de Java ahora. Cómo instalar la versión completa de Minecraft en una PC Linux Cómo instalar la versión completa de Minecraft en Linux PC Minecraft es uno de los juegos más grandes del mundo y se ejecuta en prácticamente todas las plataformas. ¿Quieres que funcione en tu computadora Linux? Le mostraremos cómo. Lee mas . Otros complementos tampoco son necesarios. Microsoft dejó de usar Silverlight hace años, y sería muy difícil encontrar un sitio con contenido Shockwave.

Flash es la única excepción Die Flash Die: la historia actual de las empresas tecnológicas que intentan matar a Flash Die Die Flash: la historia actual de las empresas tecnológicas que intentan matar a Flash Flash ha estado disminuyendo durante mucho tiempo, pero ¿cuándo morirá? Lee mas . La mayoría de los navegadores aún lo admiten debido a su popularidad, pero Adobe lo eliminará en 2020. Hasta entonces, asegúrese de actualizar Flash en su PC. Chrome lo hace de forma automática, por lo que es posible que ni siquiera lo tengas instalado (lo cual es genial).

En resumen: Java sigue siendo inseguro pero plantea menos riesgos gracias a que los navegadores lo desactivan. Debe desinstalar los programas que no necesita (incluidos los complementos anteriores), mantener el software en su computadora actualizado Cómo asegurarse de que todos sus programas estén actualizados Cómo garantizar que todos sus programas permanezcan actualizados Mantenga su el software actualizado puede ser una tarea ardua, ¿por qué no dejar que FileHippo encuentre actualizaciones para todos sus programas obsoletos? Lea más y aplique las actualizaciones del sistema operativo. Si haces esto, serás rico.

¿Todavía tienes instalados Java y otros complementos heredados? Si es así, ¿para qué los necesitas? ¡Deja tus pensamientos en Java a continuación!

Crédito de la imagen: avemario / Depositphotos

In this article