Java fue lanzado originalmente con el lema «escribir una vez, ejecutar en cualquier lugar», que estaba destinado a subrayar sus capacidades multiplataforma. Con el tiempo, Java se ha vuelto omnipresente en los puntos finales, por lo que «ejecutar en cualquier lugar» puede interpretarse como una referencia a su ubicuidad.
A pesar de que menos sitios web y aplicaciones web requieren Java para funcionar correctamente, la tecnología es omnipresente en prácticamente todos los sistemas del usuario final. Por esta razón, Java también se ha convertido en una plataforma altamente vulnerable al ataque.
En general, se recomienda que ejecute la última y la última versión de Java disponible, ya que ofrece un rendimiento óptimo, correcciones de vulnerabilidad y las funciones más recientes.
Además, ejecutar versiones anteriores de Java representa un riesgo de seguridad significativo para su computadora. Para evitar estos riesgos, Oracle sugiere que elimine todas las versiones anteriores de Java utilizando la herramienta de eliminación en su sitio web.
Tabla de Contenidos
Java
Originalmente conocido como Roble, Java es un lenguaje de programación desarrollado por James Gosling y otros en Sun Microsystems. Se presentó por primera vez al público en 1995 y se usa ampliamente para crear aplicaciones de Internet y otros programas de software. Hoy, Oracle es mantenido y propiedad de Java.
Cuando se usa en Internet, Java permite que los applets (componente de una aplicación) se descarguen y utilicen a través de un navegador, lo que permite que el navegador realice una función o característica que normalmente no está disponible.
Java también se usa como el lenguaje de programación para muchos programas de software, juegos y complementos. Algunos ejemplos de los programas más utilizados en Java o que usan Java incluyen Adobe Creative Suite, Eclipse, Lotus Notes, Minecraft, OpenOffice, Runescape y Vuze.
No, Java no es necesario y muchos expertos en seguridad sugieren desinstalar todas las versiones de Java. Java tiene una herramienta para este propósito. Por otro lado, todavía hay algunas aplicaciones que requieren Java para funcionar. Si elimina Java, estas aplicaciones dejarán de funcionar.
Puede desinstalar Java y luego volver a instalarlo si encuentra que alguna aplicación necesaria ya no funciona. Java no es un componente obligatorio para muchos usuarios de computadoras. Al considerar los exploits de seguridad recientes descubiertos en Java, y Oracle no se apresura a repararlos, algunos usuarios pueden optar por deshabilitar o desinstalar Java en sus computadoras.
Actualización de Java en juegos
Java, que una vez fue un componente vital de la web, ha perdido popularidad en los últimos años. La mayoría de los navegadores modernos bloquean Java de forma predeterminada, y la mayoría de los usuarios domésticos ya no necesitan instalarlo.
La razón por la que Java recibe actualizaciones frecuentes es porque los agujeros de seguridad siguen siendo descubiertos y luego parcheados. Si mantiene Java y deshabilita su función de actualización automática, deberá verificar las actualizaciones de forma manual y con frecuencia.
La actualización de Java es una de las cosas importantes que hay que hacer cuando se juega Minecraft, ya que algunos errores técnicos solo se pueden solucionar mediante la actualización de Java. La instalación de la última actualización de Java asegurará que Minecraft continúe funcionando de manera segura y eficiente.
A partir de la actualización 1.12, Minecraft requiere Java 8 o superior. Minecraft a veces puede bloquearse sin que lo ejecute una versión relativamente moderna de Java. Las actualizaciones de Java corrigen muchos problemas y errores, y generalmente provocan un aumento en el rendimiento.
Ejecutar un servidor requiere que su computadora tenga instalado Java en lugar del Java pre-instalado. Como el iniciador de Minecraft se incluye con Java, no es necesario instalarlo por separado a menos que esté utilizando un iniciador de terceros o desee utilizar una versión de Java diferente a la que se incluye de forma predeterminada.
Si tiene una máquina de 64 bits, se recomienda instalar la versión de 64 bits para obtener un rendimiento óptimo. No es necesario desinstalar todas las versiones de Java antes de intentar actualizar Java. Cuando instala la última versión, puede preguntar si desea desinstalar versiones anteriores o hacerlo automáticamente.
Algunos sistemas requieren privilegios de administrador para actualizar Java.
Cómo deshabilitar o desinstalar Java
Antes de deshabilitar o desinstalar Java, asegúrese de que esté realmente instalado y habilitado en su computadora.
Para cualquiera que use cualquier programa o sitio web que use Java y quiera protegerse de cualquier amenaza, recomendamos deshabilitar Java en su navegador. Para todos los demás usuarios que tienen instalado Java y no lo usan o lo quieren instalar, sugerimos desinstalar Java.
Desactivando Java
Deshabilitar Java en su navegador le permite mantener Java instalado en su computadora, pero evita que Java se ejecute en su navegador, que es donde Java es más vulnerable.
Usuarios de Internet Explorer
Abra Microsoft Internet Explorer. Haga clic en Herramientas, si no ve Herramientas, presione la tecla Alt. Haga clic en Administrar complementos. En la ventana Administrar complementos en «Oracle America, Inc.», haga clic en cada complemento de Java y luego haga clic en el botón Deshabilitar.
Después de que se haya deshabilitado todos los complementos de Java, cierre la ventana y reinicie el navegador. Visite la herramienta de información del sistema para asegurarse de que se haya deshabilitado.
Nota: si bien los pasos anteriores deshabilitarán muchas de las funciones de Java, desafortunadamente no deshabilitará completamente Java como pasos similares en navegadores alternativos.
Usuarios de Firefox
Abra Mozilla Firefox. Haga clic en Herramientas en la parte superior de la ventana, si no ve Herramientas, presione la tecla Alt. Dentro de Herramientas, haga clic en Complementos.
En el Administrador de complementos, haga clic en Complementos.
En los complementos, deshabilite todos los complementos de Java. Reinicia el navegador. Visite la herramienta de información del sistema para asegurarse de que se haya deshabilitado.
Usuarios de Chrome
Escriba chrome: // plugins en su omnibox (barra de direcciones). Haga clic en el enlace Deshabilitar en cualquier complemento de Java. Reinicia el navegador. Visite la herramienta de información del sistema para asegurarse de que se haya deshabilitado.
Desinstalando Java
En Windows, la desinstalación de Java es como cualquier otro programa, abra el Panel de control de Windows Agregar-Eliminar programas o Desinstalar un programa. Una vez abierto, seleccione cada Java que haya sido instalada en la computadora (casi siempre hay más de una y múltiples versiones) y luego haga clic en desinstalar.
Cómo reducir los riesgos relacionados con Java
Entonces, ¿qué se puede hacer para reducir la probabilidad de un ataque relacionado con Java? Primero, evalúe si Java es necesario para su organización. Muchos en la comunidad de seguridad instan a la eliminación generalizada y completa de Java de todos los endpoints (incluyen: PC, portátiles, tabletas, teléfonos inteligentes, unidades flash, unidades de almacenamiento externo, etc).
Sin embargo, esta opción a menudo es difícil de implementar en la práctica porque faltan herramientas para administrar Java en la empresa. Si se elige la eliminación, desarrolle un plan. Considere las herramientas que pueden bloquear la ejecución de software.
Use herramientas de administración de software para eliminar instancias de Java. Además, cierre el ciclo, es decir, audite el software en su empresa para confirmar la eliminación de Java. Finalmente, considere usar soluciones de seguridad de red como las que tienen visibilidad de capa 7 para buscar evidencia de Java basado en navegador.
Controle la instalación y el uso inesperados de Java en el entorno
Al usar datos NIST (Instituto Nacional de Estándares y Tecnología) para buscar información sobre vulnerabilidades, tenga en cuenta que el software y las vulnerabilidades pueden no registrarse siempre de manera consistente.
Por ejemplo, algunas vulnerabilidades se informan bajo el producto «Java«, mientras que otras (la mayoría de hecho) se informan bajo el producto «JRE». Durante los últimos 15 años más o menos, los administradores de las Tecnologías de Información han tenido la idea errónea de que la actualización de Java resolvería sus problemas de seguridad.
Se les ha dicho que para mejorar la seguridad, deben instalar de manera continua y agresiva las actualizaciones de Java en todos sus endpoints. Lamentablemente, instalar no es lo mismo que actualizar. Como resultado, la mayoría de las organizaciones tienen múltiples versiones de Java en sus endpoints, incluidas algunas que se lanzaron al mismo tiempo que Windows 95.
No solo Java está ampliamente instalado en la mayoría de las empresas, en la mayoría de los casos es altamente vulnerable. Java sigue siendo una tecnología necesaria para muchas empresas, pero su ubicuidad parece estar fuera de proporción con sus casos de uso de negocios actuales.
Los datos de Bit9 (empresa de soluciones de seguridad basadas en listas blancas de procesos) parecen mostrar las razones detrás del nuevo estado favorecido de Java entre los atacantes.
Hasta ahora, muchas empresas han sido lentas para responder adecuadamente a esta tendencia, a pesar de la evidencia de que hacerlo reduciría sustancialmente, para muchos, su exposición a los ataques exitosos más comunes de la actualidad.
Los recientes ataques de alto perfil continúan demostrando que las empresas deberían ver a Java como un importante riesgo de seguridad.
Las empresas pueden beneficiarse de una mejor caracterización y comprensión de las aplicaciones que se ejecutan en los endpoints en su entorno, para que puedan evaluar los riesgos para esos endpoints y priorizar de manera más efectiva los esfuerzos de remediación. En el futuro, la visibilidad y la protección en tiempo real para endpoints y servidores serán esenciales.
Harry Sverdlove, director de tecnología de Bit9, recurre a casi dos décadas de diseño y análisis de aplicaciones con empresas de Tecnologías de Información líderes en la industria para agregar una nueva capa de experiencia técnica y visión estratégica a la plataforma de seguridad basada en confianza de Bit9.
