El Departamento de Seguridad Interna (Homeland Security) de Estados Unidos advertía que a pesar de las actualizaciones de la compañía Oracle en su aplicación (applet) de Java para navegadores, ésta todavía era un factor que podría afectar la seguridad de las computadoras de los usuarios, al dejar la puerta abierta para ataques cibernéticos, por lo que recomendaba su inhabilitación.
De hecho, desde 2015 la mayoría de los navegadores, incluidos Google Chrome, Firefox y Explorer, la deshabilitaron de origen. A pesar de ello, en México el Servicio de Administración Tributaria (SAT) utiliza esta tecnología que, de acuerdo con reportes mundiales de ciberseguridad, apunta a que es la favorita de cibercriminales. Cada que ingresamos al portal del SAT, enviamos una declaración o utilizamos las firmas electrónicas, autorizamos al SAT a que ingrese casi de manera irrestricta al contenido de nuestra computadora. Algo preocupante por las recientes denuncias de posible espionaje gubernamental y de ataques cibernéticos masivos.
Lo que vuelve potencialmente peligrosa a la aplicación de Java en el navegador, “además de las vulnerabilidades que tiene, es que existen algunas capacidades que pueden ser aprovechadas por atacantes para obtener control de nuestros computadores en forma remota. Cuando se corre la applet en un navegador es mucho lo que puedes hacer: puedes abrir programas, leer y escribir archivos, modificar archivos de Windows, todo desde una applet de Java”, explica John Shier, experto de seguridad en jefe de la empresa de ciberseguridad Sophos.
No obstante, la herramienta de la firma Oracle no es la única que el SAT nos obliga a usar cada que presentamos una declaración, a pesar de los riesgos de seguridad que implica. La otra es Silverlight de Microsoft, una aplicación para el navegador que utilizan algunas páginas de Internet con el fin de mostrar contenido multimedia, principalmente.
Ambas se basan en la arquitectura de plataforma cruzada NPAPI (Netscape Plugin Application Programming Interface), soportada durante más de 20 años por todos los principales exploradores web y que tiene su origen en el primer navegador web Netscape, hoy en desuso.
Microsoft anunció en 2012 el fin de la vida útil de Silverlight, aunque todavía lanza parches y reparaciones de errores. “Sin embargo, representa el mismo problema que Internet Explorer: el software desactualizado y sin parches implementados invita a los atacantes a que lo aprovechen fácilmente”, asegura el Informe Anual sobre Ciberseguridad 2017 de Cisco Systems.
ACTUALIZACIÓN URGENTE
La parte más vulnerable del sistema es el usuario final. Siempre es más fácil engañar a un ser humano que a una máquina. Por ello es importante dudar de cualquier invitación a seguir vínculos mediante correo u otro tipo de servicios de mensajería y mantener actualizado el software. De acuerdo con el reporte de ciberseguridad de Cisco: “Cuando los usuarios no acceden al software a menudo y, en consecuencia, no se enteran de la necesidad de implementar parches y actualizarlo, el software desactualizado les da tiempo y espacio a los atacantes para operar”.
Al respecto, Cisco realizó una investigación sobre Microsoft Silverlight, en la cual descubrieron que los usuarios tardan dos meses en instalar actualizaciones después de un lanzamiento. Pero en el caso de este software, llegaron a existir dos versiones nuevas en cinco semanas, lo que afectaba a los usuarios durante más de tres meses. Mientras que en el caso de Java, el estudio de Cisco muestra que la mayoría de los usuarios utiliza versiones entre una y tres veces más viejas en relación riesgo para contribuyentes Actualmente, el SAT usa esta tecnología pese a reportes mundiales de ciberseguridad que la señalan como favorita para los “hackers” con la más nueva, y eso que Oracle actualiza Java cada dos meses en promedio, mientras que otras empresas como Apple y Google actualizan sus sistemas cada mes.
El asunto se complica, pues según un reporte de Veracode la vulnerabilidad de Java más usada por los cibercriminales hasta la fecha se publicó en julio de 2013; sin embargo, la debilidad en cuestión no fue identificada y parchada sino hasta noviembre de 2015.
“Por lo que muchas organizaciones pueden no haber sabido que tenían un problema en el momento en que se evaluó el componente”.
Tanto John Shier, de Sophos, como Thiago Marques, de Kaspersky Lab, consideran que el riesgo que se corre actualmente al usar la aplicación de Java es innecesario, dado que hay otras herramientas.
“Hoy día HTML5 permite realizar las mismas funciones que Java o que Flash de manera más segura y de forma nativa en el navegador”, afirma Shier.
“No pretendo culpar al Gobierno Mexicano, sé que los gobiernos se mueven lentamente”, dice Shier. “Todos tienen sistemas atrasados, pero mi recomendación es que deberían pensar en abandonar Java para modernizarse, acota el especialista.
En cuanto a la gente, siempre les digo que no esperen a que las empresas se preocupen por su seguridad, sino que deben tomar la seguridad en sus propias manos”.
Así que mientras la administración pública no decida actualizar sus servicios informáticos con el propósito de mejorar la seguridad de los usuarios, vale la pena revisar la página de Java y leer la cláusula: “Se recomienda no ejecutar estos tipos de aplicaciones. Si aún así lo desea, hágalo sólo si entiende los riesgos que conlleva hacerlo”.