Java es un lenguaje de programación que hace placentero usar sitios en Internet. Tanto deleite ofrece, que lo usan miles de millones de computadoras y dispositivos móviles en todo el planeta.
Por desgracia, esta satisfacción masiva es un puerto para los piratas informáticos que históricamente han quebrado los cerrojos en esta plataforma informática para meter sus ataques por las puertas que le van abriendo.
Varias alertas de últimas semanas reflejan que los hackers, aparte de las puertas, se están metiendo hasta por las ventanas del Java, hoy propiedad de Oracle .
Hace dos semanas, la compañía liberó un parche de software para eliminar vulnerabilidades críticas del Java; no obstante, el Equipo de Respuesta a Emergencias Informáticas del Gobierno de EE. UU. ( CERT, por sus siglas en inglés ) aún mantiene su alerta para los usuarios.
No solo eso: tal es el riesgo que el CERT sugiere mejor desactivar del navegador de Internet el plug-in o complemento que permite la operación del Java.
Estos consejos, ni son nuevos, ni desconocidos en el marco de una alerta informática, lo excepcional es que la advertencia del CERT persista después de liberado el parche para corregir el problema. El CERT, sin embargo, parece acertar en sus corazonadas.
El 13 de enero, Oracle liberó el parche N.°11 para reforzar la última versión del programa, el Java 7. La buena nueva se volvió mal augurio ese mismo día.
Adam Gowdiak, experto sobre seguridad en Java que ha descubierto cantidad de portillos al Java en el último año, denunció que el parche de Oracle dejó intactas varias fallas críticas para la seguridad de los usuarios.
Gowdiak, quien trabaja para Security Explorations, agregó a la agencia de noticias Reuters que “no se atrevería a decir a los usuarios que es seguro habilitar Java de nuevo”. Ante el análisis de Gowdiak, Oracle calló.
Clientes bancarios expuestos. Así, el peligro de que alguien penetre la computadora mientras Java esté activo es latente. Los clientes del Banco Nacional Costa Rica ejemplifican esto a la perfección.
Cualquier usuario de la sucursal electrónica de ese banco solo puede acceder a sus cuentas mediante una aplicación en Java.
Incluso, quien use la aplicación del banco para smartphones (que no usan Java), debe ingresar al menos una vez a la plataforma tradicional para registrarse y continuar desde el programa móvil.
Este diario preguntó a la entidad por qué usa Java como parte del sistema de ingreso si ya han sido comprobados, aparte del actual, otros problemas de seguridad.
Cilliam Cuadra, de la Unidad de Seguridad Informática del Banco Nacional, respondió por correo: “como cualquier producto de desarrollo comercial o freeware, está sujeto a la existencia de situaciones relacionadas con investigación constante de todos los sectores.
”En particular, la amenaza CVE-2013-0422, la cual ha sido dada a conocer abiertamente antes de la existencia de una solución por parte de Oracle, es un problema ético que es normal en el campo de la seguridad para productos de utilización masiva”.
La Nación también consultó si no había otra forma de ingreso para los más de 216.000 clientes que, en un día regular, ingresan a la página transaccional del banco según sus cifras oficiales.
Sin citar dicha alternativa, Cuadra dijo que “la actualización de Java, en combinación con los controles adicionales que proveemos en la aplicación, permiten un ingreso seguro al BNCR”.
Aún así, la computadora de ese cliente bancario estará expuesta.
“Potencialmente, quien entre a una página con Java estaría exponiendo el acceso a su información en la computadora si en ese lapso algún delincuente cibernético, con una nueva forma de penetrar el Java, se le ocurre atacar”, sentenció Alonso Ramírez gerente de Seguridad Informática del grupo de consultoría y asesoría financiera Deloitte.
Ramírez añadió que teléfonos inteligentes o tabletas corren el mismo riesgo. Ramírez acierta. Después de todo, Java es un placer, y un riesgo, en cualquier aparato que ingrese a la web.