Oracle actualiza Java pero no corrige los fallos de seguridad

El fabricante de software lanzó la actualización apenas unos días después de que el Departamento de Seguridad Nacional de EE.UU. instase a los usuarios de PC a que deshabilitasen el programa, debido a errores en el software que estaban siendo explotados por «hackers» para cometer delitos tales como robo de identidades y otros. El fracaso de Oracle para obtener rápidamente una solución para su software significa que los PC que ejecuten Java en sus navegadores siguen siendo vulnerables a día de hoy a los ataques cibernéticos.

Los «hackers» se están aprovechando de este fallo con la intención de robar números de tarjetas de crédito, credenciales bancarias y contraseñas, entre otros delitos informáticos. El investigador de Exploraciones de seguridad de Polonia, Adan Gowdiak, quien ha descubierto varios errores en el software durante el año pasado, dijo que la actualización de Oracle deja sin fijar varias fallos de seguridad críticos.

«No nos atrevemos a decir a los usuarios que es seguro habilitar Java de nuevo», dijo Gowdiak. Algunos consultores de seguridad están asesorando a las empresas para que eliminen Java de los navegadores, exceptuando aquellos casos que tienen una necesidad imperiosa de utilizar esta tecnología con fines comerciales.

El director de seguridad de Rapid7, HD Moore, cuya empresa ayuda a otras a identificar vulnerabilidades críticas de seguridad en sus redes dijo que podría llevar dos años a Oracle arreglar todos los errores de seguridad. «Lo más seguro que se puede hacer en este punto es suponer que Java siempre va a ser vulnerable. La gente realmente no necesita Java en su escritorio», dijo Moore. Una portavoz de Oracle no quiso hacer comentarios.

Oracle dijo en su blog de seguridad el pasado domingo que su actualización ha corregido dos vulnerabilidades en la versión de Java 7 para los navegadores web. También dijo que había cambiado la configuración de seguridad de Java al «nivel alto» por defecto, que hace más difícil a los programas sospechosos ejecutarse en un ordenador personal sin el conocimiento del usuario. Java es un lenguaje de programación que permite a los programadores escribir software utilizando un único conjunto de código que se ejecuta en prácticamente cualquier tipo de ordenador.

Esto incluye los que utilizan Windows de Microsoft, OS X de Apple y Linux, un sistema operativo ampliamente utilizado por las empresas. Una versión está instalada en los navegadores de Internet para acceder a contenidos web. Existen otras versiones separadas que se instalan directamente en los PC, servidores y otros dispositivos como teléfonos, cámaras web y reproductores de Blu-ray.

El Departamento de Seguridad Nacional de Estados Unidos y varios expertos en seguridad informática, dijeron el jueves que los «hackers» habían descubierto cómo explotar el «bug» en una versión de Java que se utiliza en los navegadores de internet. Estos aprovecharon el fallo para instalar software malicioso en los ordenadores.

De este modo, han podido cometer crímenes de robo de identidad en redes ad hoc que se utilizan para atacar sitios web. Oracle dijo que los fallos solo afectan a Java 7, la versión más reciente del programa, diseñado para funcionar en los navegadores. Java es tan ampliamente utilizado que el software se ha convertido en un objetivo prioritario para los piratas informáticos. El año pasado, Java superó a Adobe Reader como el programa con más ataques de software, de acuerdo con el fabricante de software de seguridad Kaspersky Lab.

Java fue responsable del 50% de todos los ataques cibernéticos año pasado en los que los «hackers» irrumpieron en varios ordenadores aprovechando los errores de software, según Kaspersky. Este tipo de ataques fueron seguido por Adobe Reader, que estuvo involucrado en el 28 por ciento de todos los incidentes. Microsoft Windows y el Explorador de internet participaron en un 3% de los incidentes, según el estudio.

El Departamento de Seguridad Nacional dijo que los atacantes pueden engañar a los objetivos que visiten sitios web maliciosos con un software capaz de explotar el «bug» en Java. También dijo que un atacante podría infectar un sitio web legítimo mediante la carga de software malicioso. Los expertos en seguridad han estado examinando la seguridad de Java desde que sucedió un susto de seguridad similar en agosto.

Mientras tanto, Microsoft dijo el pasado domingo que lanzará una actualización el lunes para arreglar un fallo previamente divulgado en las versiones 6, 7 y 8 de Internet Explorer. Este problema permitió a los «hackers» obtener el control remoto de los ordenadores de Microsoft. La compañía lanzó una solución temporal para evitar este tipo de ataques.