El jueves, el mundo se enteró de que los atacantes estaban ingresando a las computadoras utilizando un agujero de seguridad previamente no documentado en Java, un programa que está instalado en cientos de millones de ordenadores en todo el mundo. Esta publicación tiene como objetivo responder algunas de las preguntas más frecuentes sobre la vulnerabilidad y describir pasos simples que los usuarios pueden tomar para protegerse.
Actualización, 13 de enero, 8:14 p. m. ET: Oracle acaba de lanzar un parche para corregir esta vulnerabilidad. Leer más aquí.
R: Java es un lenguaje de programación y una plataforma informática que impulsa programas que incluyen utilidades, juegos y aplicaciones comerciales. Según el fabricante de Java Corporación Oracle., Java se ejecuta en más de 850 millones de computadoras personales en todo el mundo y en miles de millones de dispositivos en todo el mundo, incluidos dispositivos móviles y de TV. Algunos sitios web lo requieren para ejecutar aplicaciones y juegos interactivos.
P: Entonces, ¿a qué se debe todo este alboroto?
R: Los investigadores han descubierto que los ciberdelincuentes están atacando un agujero de seguridad previamente desconocido en Java 7 que se puede usar para tomar el control de una computadora si un usuario visita un sitio web comprometido o malicioso.
P: Vaya. ¿Cómo protejo mi computadora?
R: La versión de Java que se ejecuta en la mayoría de las PC de consumo incluye un complemento de navegador. Según investigadores de Universidad de Carnegie mellon‘s certificado, desconectar el complemento de Java del navegador evita esencialmente la explotación de la vulnerabilidad. No hace mucho tiempo, desconectar Java del navegador no era sencillo, pero con el lanzamiento de la última versión de Java 7 — Actualización 10 — Oracle incluyó un método muy simple para eliminar Java del navegador. Puede encontrar sus instrucciones para hacer esto aquí.
P: ¿Cómo puedo saber si tengo Java instalado y, de ser así, qué versión?
R: La forma más sencilla es visitar este enlace y haga clic en el enlace «¿Tengo Java?», justo debajo del botón rojo grande «Descargar Java».
P: Estoy usando Java 6. ¿Eso significa que no tengo que preocuparme por esto?
R: Ha habido hallazgos contradictorios en este frente. La descripción de este error en el Base de datos de vulnerabilidad nacional (NVD), por ejemplo, afirma que la vulnerabilidad está presente en las versiones de Java que datan de varios años, incluidas las versiones 4 y 5. Analistas de la empresa de investigación de vulnerabilidades Inmunidad decir que el error podría afectar a Java 6 y posiblemente a versiones anteriores. Pero dormannun experto en seguridad que ha estado examinando esta falla de cerca para CERT, dijo que el aviso de NVD es incorrecto: CERT mantiene que esta vulnerabilidad proviene de un componente que Oracle introdujo con Java 7. Dormann apunta a un análisis técnico detallado de la falla de Java por Adán Gowdiak de Security Explorations, un equipo de investigación de seguridad que alertó al fabricante de Java Oracle sobre una gran cantidad de fallas en Java. Gowdiak dice que Oracle intentó corregir este defecto en particular en una actualización anterior, pero no lo solucionó por completo.
De cualquier manera, es importante no obsesionarse demasiado con las versiones afectadas, ya que esto podría convertirse en un objetivo móvil. Además, se descubre una nueva falla de día cero en Java varias veces al año. Es por eso que insté a los lectores a desinstalar Java por completo o desconectarlo del navegador sin importar la versión que esté usando.
P: Un sitio que uso a menudo requiere que el complemento de Java esté habilitado. ¿Qué tengo que hacer?
R: Puede cambiar a Java 6, pero esa no es una solución muy buena. Oracle dejará de admitir Java 6 a fines de febrero de 2013 y pronto hará la transición de los usuarios de Java 6 a Java 7 de todos modos. Si necesita Java para sitios web específicos, una mejor solución es adoptar un enfoque de dos navegadores. Si normalmente navega por la web con Firefox, por ejemplo, considere deshabilitar el complemento de Java en Firefox y luego usar un navegador alternativo (Chrome, IE9, Safari, etc.) con Java habilitado para navegar solo en los sitios que requieren ( sentar.
P: Estoy usando una Mac, así que debería estar bien, ¿verdad?
R: No exactamente. Los expertos han descubierto que esta falla en Java 7 puede explotarse para introducir malware en Mac y linux sistemas, además de las máquinas de Microsoft Windows. Java está hecho para ejecutar programas en múltiples plataformas, lo que lo hace especialmente peligroso cuando se descubren nuevas fallas. Por ejemplo, el gusano Flashback que infectó a más de 600.000 Mac se metió en los sistemas OS X a través de una falla de Java. Las instrucciones de Oracle incluyen consejo sobre cómo desconectar Java de Safari. Debo señalar que Apple no ha proporcionado una versión de Java para OS X más allá de la 6, pero los usuarios aún pueden descargar e instalar Java 7 en los sistemas Mac. Sin embargo, parece que en respuesta a esta amenaza, Apple ha tomado medidas para bloquear Java de ejecutarse en sistemas OS X.
P: No navego por sitios aleatorios ni visito sitios porno dudosos, así que no debería tener que preocuparme por esto, ¿correcto?
Un error. Esta vulnerabilidad está siendo explotada principalmente por paquetes de explotación, que son herramientas de software delictivo creadas para integrarse en sitios web de modo que cuando los visitantes llegan al sitio con complementos de navegador vulnerables u obsoletos (como este error de Java), el sitio puede instalar malware en forma silenciosa en el PC del visitante. Los paquetes de explotación se pueden combinar con la misma facilidad en sitios pornográficos que se pueden insertar en sitios web legítimos y pirateados. Todo lo que se necesita es que los atacantes puedan insertar una línea de código en un sitio web comprometido.
P: He leído en varios lugares que esta es la primera vez que el gobierno de EE. UU. ha instado a los usuarios de computadoras a que eliminen o eviten por completo el uso de una pieza de software en particular debido a una amenaza generalizada. ¿Es esto cierto?
R: No realmente. Durante situaciones anteriores de alerta máxima, el CERT ha aconsejado a los usuarios de Windows que evitar el uso de Internet Explorer. En este caso, CERT realmente no recomienda que los usuarios desinstalen Java: solo que los usuarios desconecten Java de su navegador web.
P: Estoy bastante seguro de que mi PC con Windows tiene Java instalado, pero parece que no puedo ubicar el Panel de control de Java desde el Menú de inicio de Windows o el Panel de control de Windows. ¿Lo que da?
R: Según Dormann de CERT, debido a lo que parece ser un posible error en el instalador de Java, es posible que falte el subprograma del Panel de control de Java en algunos sistemas Windows. En tales casos, el applet del Panel de control de Java puede iniciarse buscando y ejecutando javacpl.exe a mano. Es probable que este archivo se encuentre en C:Archivos de programaJavajre7bin o C:Archivos de programa (x86)Javajre7bin.
P: No puedo recordar la última vez que usé Java, y parece que ya ni siquiera necesito este programa. ¿Debería conservarlo?
R: Java no se usa tanto como antes, y la mayoría de los usuarios probablemente puedan arreglárselas sin tener el programa instalado. Durante mucho tiempo he recomendado que los usuarios eliminen Java a menos que tengan un uso específico para él. Si descubre más tarde que realmente necesita Java, es trivial y gratuito reinstalarlo.
P: Todo esto está bien y es un buen consejo para los consumidores, pero administro muchas PC en un entorno empresarial. ¿Hay alguna forma de implementar Java pero mantener el complemento desconectado del navegador?
R: CERT informa que los administradores de sistemas que deseen implementar Java 7 Update 10 o posterior con la función «Habilitar contenido de Java en el navegador» desactivada pueden invocar el instalador de Java con la opción de línea de comandos WEB_JAVA=0. Más detalles están disponibles en el Documentación de Java.
P: Bien, creo que estoy cubierto en Java. Pero, ¿qué pasa con Javascript?
R: Debido a la desafortunada similitud de sus nombres, muchas personas confunden Java con JavaScript. Pero estas son dos cosas completamente diferentes. La mayoría de los sitios web utilizan JavaScript, un poderoso lenguaje de secuencias de comandos que ayuda a que los sitios sean interactivos. Desafortunadamente, un gran porcentaje de los ataques basados en la web usan trucos de JavaScript para imponer software malicioso y exploits a los visitantes del sitio. Para protegerse, es sumamente importante contar con un método sencillo para seleccionar qué sitios deben permitirse ejecutar JavaScript en el navegador. Es cierto que permitir JavaScript de forma selectiva en sitios «seguros» conocidos no bloqueará todos los ataques de secuencias de comandos maliciosos: incluso los sitios legítimos a veces terminan ejecutando código malicioso cuando los estafadores descubren formas de colar anuncios falsos y contaminados en las principales redes publicitarias en línea. Pero deshabilitar JavaScript de forma predeterminada y habilitarlo de forma selectiva para sitios específicos sigue siendo una opción mucho más segura que permitir que todos los sitios ejecuten JavaScript sin restricciones todo el tiempo.
Firefox tiene muchas extensiones y complementos que hacen que navegar por la Web sea una experiencia más segura. Una extensión que he encontrado indispensable es Sin guión. Esta extensión le permite al usuario decidir a qué sitios se les debe permitir ejecutar JavaScript, incluido el contenido de Flash Player. Los usuarios pueden optar por permitir excepciones específicas de forma permanente o para una única sesión de navegación.
Chrome también incluye una funcionalidad similar de bloqueo de secuencias de comandos y Flash que parece diseñada para minimizar algunos de estos desafíos al proporcionar menos opciones. Si le dices a Chrome que bloquee JavaScript en todos los sitios de forma predeterminada, cuando navegas a un sitio que usa JavaScript, la esquina superior derecha del navegador muestra un cuadro con una «X» roja. Si hace clic en eso y selecciona «Permitir siempre JavaScript en [site name]” habilitará permanentemente JavaScript para ese sitio, pero no le da la opción de bloquear contenido JavaScript de terceros en el sitio como lo hace Noscript. En mis pruebas, tuve que actualizar manualmente la página antes de que Chrome permitiera la creación de secuencias de comandos en un sitio que acababa de incluir en la lista blanca. Además, hay un complemento muy útil para Chrome llamado NoScripts que funciona muy parecido a Noscript.
El bloqueo selectivo de secuencias de comandos puede tomar un tiempo para acostumbrarse. La mayoría de los complementos de bloqueo de secuencias de comandos desactivarán las secuencias de comandos de forma predeterminada en los sitios web que no haya agregado a su lista de confianza. En algunos casos, es posible que se necesiten varios intentos para que un sitio que haga un uso intensivo de Javascript se cargue correctamente.
Internet Explorer permite a los usuarios bloquear scripts, pero incluso la última versión de IE todavía no le da al usuario muchas opciones para manejar JavaScript. En IE9, puede seleccionar entre activar o desactivar JavaScript o pedirle que cargue JavaScript. Desactivar JavaScript no es una gran opción, pero dejarlo completamente abierto no es seguro. Elegir la opción «Preguntar» no hace más que mostrar incesantes avisos emergentes para permitir o rechazar scripts (vea el video a continuación). La falta de un enfoque más simple para el bloqueo de secuencias de comandos en IE es una de las principales razones por las que continúo orientando a los lectores hacia Firefox y Chrome.
Relacionado:
Sitio de Amnistía Internacional que sirve a Java Exploit – Krebs sobre la seguridad
¿No necesita Java? Desecharlo. – Krebs sobre seguridad
Windows 11: la guía definitiva de todo lo que necesita saber
