El revuelo que se armó en los últimos días con Java y sus vulnerabilidades causó mucha confusión a tal punto que en blogs como nakedsecurity de Sophos publicaron un artículo titulado Java no es JavaScript – Dile a tus amigos, pues son cosas distintas y los usuarios no estaban seguros de qué debían desactivar en sus navegadores.
JavaScript es código que se ejecuta en el 99% de las páginas y es interpretado por defecto en todos los navegadores. Por otro lado Java es un complemento que se descarga desde java.com para ejecutar determinadas aplicaciones.
Frente a esto y como suele pasar los ciberdelincuentes no dejaron pasar la oportunidad. El equipo de Trend Micro detectó una web que propagaba una falsa actualización de Java para infectar, la página advertía que se requería actualizar Java y un applet malicioso javaupdate11.jar se intentaba ejecutar:
Si el usuario creía que era algo real terminaba instalando un Ransomware, es decir un tipo de malware que bloquea el equipo y solicita dinero (un rescate) para liberarlo.
Como se puede ver en la captura, el engaño requiere de la interacción del usuario para aceptar la ejecución de la aplicación javaupdate11. No es algo automático ni muy elaborado, de hecho hay programas (constructores) que hacen esto mejor con unos simples clics, pero por el contexto que mencionaba al principio la idea de simular una actualización de Java fue buena (aunque tampoco es la primera vez que lo hacen).
¿Cómo actualizar Java?
Seguramente alguna vez viste una advertencia como la siguiente indicando que hay una nueva versión disponible:
Esta advertencia es real aunque Java no se actualiza automáticamente, sólo verifica de forma periódica si hay nuevas actualizaciones para instalar. Por defecto lo hace cada mes, así que mejor cambiarlo para que lo haga todos los días.
Esto se puede configurar desde el Panel de control de Java:
En XP: inicio / Panel de control / Java
En 7 / 8: inicio / buscar «panel de control de java»
Además, se puede verificar la versión que se encuentra instalada ingresando en java.com/es/download/installed.jsp, también podemos actualizarla desde el propio panel de control.
¿Java es peligroso?
El problema es que hoy en día es el complemento más utilizado para infectar a los usuarios, durante 2012 el 50% de las infecciones con exploits web se realizaron por medio de Java. Esto sucede porque la mayoría de los usuarios no mantienen el complemento actualizado, de hecho muchos ni saben que lo tienen instalado.
Además le han descubierto muchas vulnerabilidades 0-day, es decir que incluso los que lo mantienen actualizado se encuentran en riesgo. Es por ello que todos los especialistas en seguridad están recomendando desactivarlo del navegador o directamente desinstalarlo si no se utiliza nunca.
Si eres de los usuarios que si o sí lo necesitan, puedes subirle el nivel de seguridad (si no quieres estar desactivándolo / activándolo a cada rato). Pero eso sí, ten cuidado con las ejecuciones que aceptas… si una aplicación se intenta ejecutar de forma inesperada o innecesaria, mejor no aceptarla.
Advertencia cuando una aplicación de Java se quiere ejecutar en el navegador:
Cada uno tendrá sus métodos pero lo que hay que entender es que desactivando Java del navegador hoy en día se está más seguro en internet.
Ver también: Firefox + NoScript, una forma segura de navegar por internet