Oracle abandonará (¡por fin!) el complemento de Java para navegadores

Ha costado años, pero parece que Oracle ha escuchado finalmente a los usuarios y a los expertos en seguridad y ha decidido tomar una decisión lógica: abandonar de una vez por todas el complemento Java para navegadores.

Aún falta más de un año para que este anuncio se convierta en realidad (marzo de 2017 concretamente), pero puede suponer un avance a la hora de mitigar los numerosos ataques que utilizan las vulnerabilidades en Java para infectar miles de sistemas a diario con versiones desactualizadas de este software.

Oracle lanza parche de emergencia para Java
Una larga historia de vulnerabilidades

A pesar de que, a día de hoy, las vulnerabilidades en Java siguen siendo un problema importante, los ataques que tenían como objetivo aprovecharse de los fallos de seguridad en Java fueron protagonistas durante buena parte de la primera mitad de esta década. Luego, los continuos problemas de seguridad en Flash tomaron el relevo hasta el día de hoy, pero eso no ha hecho que dejen de usarse los exploits de Java.

De hecho, desde la aparición de los kits de exploits y la consecuente automatización de todo el proceso de infección, los delincuentes comprobaron cómo tan solo tenían que infectar webs vulnerables y esperar a que los usuarios accediesen a ellas, bien porque se trataba de webs con bastantes visitas o dirigiéndolos a ellas a través de enlaces en mensajes de correo electrónico.

Esta automatización también provocó que delincuentes sin conocimientos de programación empezasen a propagar sus propias amenazas, las cuales habían comprado previamente en foros del mercado negro por una cantidad de dinero no muy elevada y que les reportaban unos beneficios más que interesantes.

¿Es posible vivir sin Java?

A los problemas derivados de los continuos fallos de seguridad en Java se unía el que muchos usuarios simplemente ignoraban los avisos de actualización del programa que se mostraban cuando había disponible una nueva versión. Es más, aun actualizando el programa, hasta no hace mucho la instalación de la última versión no garantizaba que se solucionasen las vulnerabilidades existentes, puesto que las versiones anteriores de Java permanecían instaladas en el sistema.

A día de hoy, la gran mayoría de ordenadores tiene instalado el complemento de Java en al menos un navegador. Esto hace que las víctimas potenciales se cuenten por millones en todo el mundo, muchas de las cuales ignoran que la aplicación vulnerable está instalada en su sistema salvo por alguna alerta ocasional avisando de la existencia de una nueva versión.<(/p>

Si el panorama es tan desolador, ¿es posible olvidarse de Java y desinstalarlo completamente del sistema? La respuesta es afirmativa. Salvo que tengamos que lidiar con la Administración Pública o con programas desarrollados en esta plataforma, podremos usar nuestro sistema sin problema alguno y, en el caso de necesitar Java por algún motivo, siempre podremos utilizar una máquina virtual que evite comprometer nuestro sistema.

Precisamente, la propia Oracle proporciona un software de virtualización gratuito que nos permite configurar una máquina virtual para navegar o ejecutar programas que requieran Java. Con tantas facilidades, resulta difícil encontrar un buen argumento para seguir usando Java y lo mismo podríamos decir para Adobe Flash ahora que por fin parece que HTML5 le ha ganado definitivamente la batalla.

Conclusión

Que Oracle se ponga las pilas y planee a medio plazo terminar con uno de los mayores problemas que han tenido los navegadores en los últimos años es, sin duda, una buena noticia. No obstante, esta decisión llega con bastante retraso, ya que, a pesar de estar instalado en un buen número de ordenadores en todo el mundo, Java ya no es tan usado como lo era hace unos años y han surgido otras alternativas más seguras.

Nuestra recomendación es que, si nos vemos obligados a utilizar Java, nos aseguremos de utilizar la versión más reciente y, en el caso de tener que usar una versión vulnerable, hacerlo desde un entorno controlado como una máquina virtual. En caso de no tener que usar este software, es un buen momento para plantearse si queremos seguir teniéndolo instalado en nuestro sistema.

Josep Albors

Apúntate a X1RedMasSegura edición Rooted Con 2016