¿Debería realmente eliminar Java de todas mis máquinas con Windows 7 que ejecutan MSE y Chrome?
Richard (vía Twitter)
Creo que todo el mundo debería desinstalar Java de todos sus PCs y Macs, y luego pensar cuidadosamente si necesitan volver a añadirlo. Si eres el típico usuario doméstico, probablemente puedas prescindir de él. Si eres un usuario de empresa, puede que no tengas otra opción. Muchas empresas han utilizado el lenguaje Java para desarrollar aplicaciones empresariales que se ejecutan en servidores, y este Java «del lado del servidor» es seguro. Es el Java del «lado del cliente» que se ejecuta a través de los complementos del navegador web el que no es seguro.
Nótese que Java no tiene nada que ver con JavaScript, que es otro lenguaje utilizado para desarrollar sitios web y aplicaciones. JavaScript fue desarrollado originalmente por una empresa diferente (Netscape) bajo un nombre diferente (LiveScript). El nombre se cambió por razones de marketing que desprestigiaron a las dos empresas implicadas, ninguna de las cuales sobrevivió.
Java ha sido noticia este año por algunas vulnerabilidades de «día cero» explotadas por creadores de malware. (Día cero significa que no hay parche para el agujero, por lo que los usuarios no pueden protegerse actualizando su software). Esto también ocurrió el pasado mes de agosto, y The Register publicó un artículo que decía Disable Java NOW, users told, as 0-day exploit hits web.
De hecho, Java se convirtió en el principal vehículo de los ataques de malware en el tercer trimestre de 2010, cuando se multiplicaron por 14, según el Security Intelligence Report Volume 10 de Microsoft (PDF). Las cosas empeoraron, y Kaspersky, una de las principales empresas de antivirus, bautizó 2012 como el año de las vulnerabilidades de Java. Dijo: «Los agujeros de seguridad de Java fueron responsables del 50% de los ataques. Los componentes de Windows e Internet Explorer solo fueron explotados en el 3% de los incidentes». Sí, es así de malo.
Por lo tanto, considero que Java es un riesgo de seguridad innecesario, y lo eliminé de nuestros ordenadores domésticos hace años. Había algunas cosas que ya no podía ejecutar, como KeepVid para descargar vídeos de YouTube y algunas pruebas de velocidad de ASDL, así que tuve que buscar alternativas. Te sugiero que hagas lo mismo. Vivir sin Java es un reto mucho menor que vivir sin Adobe Flash.
Todos los programas tienen errores y pueden tener agujeros de seguridad, así que ¿por qué el enfoque draconiano? Lamento decir que no tengo suficiente confianza en la capacidad de Oracle para solucionarlo. Oracle no escribió Java, sólo lo heredó cuando compró la fallida Sun Microsystems, y según The Register: «El fundador de Metasploit, HD Moore, advirtió que Oracle seguía teniendo una acumulación de fallos en Java que tardaría hasta dos años en parchear, incluso sin el descubrimiento de nuevos fallos»
Oracle es buena vendiendo productos de alto precio a grandes empresas, pero Java implica tratar con hasta mil millones de consumidores que no pagan. En mi opinión, la tardía respuesta de Oracle a la reciente «verdadera tormenta mediática» no hace los ruidos adecuados para proteger a los consumidores. Parece estar más preocupada por defender sus negocios lucrativos del lado del servidor y de Java incrustado.
Así que empiece por desactivar Java en todos sus navegadores. En Internet Explorer 8, por ejemplo, seleccione Herramientas y luego Administrar complementos, y en Google Chrome, escriba chrome://plugins en la barra de direcciones. El blog Naked Security de Sophos tiene instrucciones para los navegadores más populares.
También recomiendo desinstalar cualquier otra versión de Java que pueda encontrar a través del Panel de Control de Windows. Puede que encuentres tres o cuatro: en mi experiencia, las versiones antiguas de Java no siempre se eliminan. Después de eso, ejecuta el programa gratuito CCleaner para limpiar los bits que hayan quedado. (Si no tiene CCleaner, descárguelo de piriform.com, no de un sitio de estafa o de un anuncio de Google.)
A continuación, vaya al sitio web java.com y haga clic en el enlace que dice «¿Tengo Java?». La respuesta debería ser no.
Reinstalar Java
Si sabe que debe tener Java instalado, ahora puede hacer una instalación limpia de la última versión, ya sea Java 6 hasta la actualización 39, o Java 7 actualización 13. Java 6 está en vías de extinción y no se volverá a actualizar. Algunas empresas se han quedado con él, posiblemente debido a la terrible reputación de seguridad de Java 7, pero tiene la mayoría de las mismas vulnerabilidades. Los usuarios de Mac deben actualizar a la actualización 13 de Java 7 para Mac OS X.
Si no está seguro de necesitar Java, pruebe a utilizar su PC durante unas semanas para ver si puede prescindir de él. Recibirá una notificación de cualquier sitio web que necesite un complemento de navegador de Java. Sin embargo, debe instalarlo desde java.com, porque algunos programas maliciosos simulan ser la actualización 11 de Java.
Instale Java sólo en un navegador web, y utilice este navegador sólo para los sitios Java. Por ejemplo, si normalmente navega por la web con IE o Chrome, instale el complemento de Java en Firefox u Opera, o viceversa. Java está siendo atacado, y restringirlo a un solo navegador minimiza la «superficie de ataque».
Además, siempre que instale o actualice Java, hágalo con cuidado. Oracle puede intentar instalar otro software que definitivamente no quieres, como la barra de herramientas Ask. Ed Bott, de ZDNet, y Ben Edelman, de la Harvard Business School, han analizado el problema en A close look at how Oracle installs deceptive software with Java updates. Que no te pillen.
Java en Mac
Java es un sistema multiplataforma, por lo que las mismas vulnerabilidades pueden estar presentes en otros sistemas operativos además de Windows. Los usuarios de Apple también lo han sufrido. En 2010, por ejemplo, hubo una versión para Mac OS X del gusano Koobface. El año pasado, el troyano Mac Flashback llevó a más de 600.000 Macs infectados a una red de bots, incluyendo 274 en la ciudad natal de Apple, Cupertino.
Apple dejó de incluir Java por defecto en OS X 10.7 (Lion), y acaba de utilizar su software XProtect para bloquear las versiones actuales de Java hasta que fueran parcheadas. En efecto, trató a Java como malware. Esto protegía a los clientes, pero no todos estaban contentos. Después de que MacWorld UK informara de la noticia (Apple prohíbe Java en los Mac, las empresas que dependen de Java quedan desprovistas), la editora Karen Haslam bromeó en Twitter: «Desgraciadamente somos una de las empresas afectadas… ¡quizá Apple no quiere que salgamos en prensa!»
La revista InfoWorld se quejó de que el sabotaje de Apple a Java es un mal negocio de TI. Dado que Apple es una empresa de electrónica de consumo, no espero que le preocupen demasiado las TI corporativas.
Precauciones adicionales
Creo que todo el mundo debería ser libre de ejecutar el sistema operativo y las aplicaciones que quiera. Sin embargo, debería ser consciente de que ejecutar Java en el navegador conlleva un riesgo adicional y, por tanto, debería tomar precauciones adicionales.
(1) Ejecute siempre la última versión de Java y asegúrese de instalar todos los parches. Por el momento, esto puede significar la comprobación de las actualizaciones cada semana, o incluso cada día. Puedes hacerlo con el Personal Software Inspector de Secunia. (Yo no me fiaría del actualizador integrado de Java.)
(2) Realiza comprobaciones adicionales de malware utilizando un producto antivirus diferente al que ya tienes instalado, especialmente si es MSE (Microsoft Security Essentials). Dos buenos comprobadores independientes y gratuitos son Malwarebytes AntiMalware y Kaspersky Security Scan.
(3) Realiza copias de seguridad diarias y guarda un clon de tu disco duro. Los PC son baratos, pero los datos pueden ser insustituibles.