OUCH! | Enero 2013
EN ESTA
EDICIÓN
• ¿Qué es Java?
• Riesgos de Java
• Mejores defensas
Java
refiere a
término software se
EDITOR INVITADO
El editor invitado para esta publicación es Arrigo Triulzi. Él
es consultor de seguridad independiente con más de 25
años de experiencia en Ginebra, Suiza.
RESUMEN
El
los programas o
aplicaciones que instalas y usas en tu computadora
diariamente. Algunos ejemplos pueden ser tu navegador
web, procesador de palabras, cliente de correo,
videojuegos y reproductores de películas. El problema con
la mayoría de estos programas es que están escritos para
ejecutarse únicamente en computadoras específicas. Es
decir, aquellos escritos para Windows pueden ejecutarse
solo en computadoras con sistemas operativos Microsoft
Windows, no funcionarían en una computadora Mac de
Apple. Lo mismo aplica en el software para Mac, que
trabaja exclusivamente en computadoras Apple.
Java es diferente, es un lenguaje de programación que
permite a los programadores desarrollar aplicaciones que
puedes ejecutar en diferentes sistemas operativos, tanto en
Microsoft como en Mac. Para permitir a los programas
hechos en Java ejecutarse en tu computadora, necesitas
tener Java instalado (usualmente es conocido como Entorno
de Ejecución de Java o Java Runtime Environment).
las computadoras de
En este boletín vamos a explicar los peligros de tener Java
instalado en tu computadora y lo que puedes hacer para
protegerte. Nota: Javascript y Java son dos cosas
totalmente diferentes. Este boletín solo aplica para Java.
¿CUÁLES SON LOS RIESGOS?
Los cibercriminales utilizan un método común para
introducirse en
los usuarios,
desarrollan programas especiales que aprovechan y
explotan las debilidades en el software. Estas carencias
suelen ser específicas para cada equipo. Lo que significa
que las herramientas de hacking desarrolladas para atacar
equipos Windows solo
funcionan en Windows, no
funcionan en equipos Mac y viceversa. Esto limita a
quienes pueden atacarte y la forma en que lo hacen.
Java funciona de otra forma porque está diseñado para
funcionar en casi cualquier computadora. Los criminales
informáticos pueden crear una única herramienta de
ataque que pueda hackear casi cualquier computadora del
mundo, siempre y cuando tenga Java instalado. Esto hace
que las debilidades de Java sean un blanco atractivo para
los atacantes, ya que pueden hackear más computadoras
con menor esfuerzo. Además, la complejidad de Java
genera muchas debilidades. Por último, la mayoría de la
© T h e S A N S I n s t i t u t e 2 0 1 3
http://www.securingthehuman.org
OUCH! | Enero 2013
Java
gente ni siquiera sabe lo que es Java o si lo tienen
instalado. Como resultado, Java se ha convertido en uno
de los blancos favoritos de los cibercriminales.
LA MEJOR DEFENSA
Básicamente, la mejor defensa es simple, si no estás
utilizando ningún programa o aplicación que requiera Java,
entonces no
tu computadora. Solo
instálalo si realmente lo necesitas. Si no estás seguro de
tener Java instalado, hay una forma sencilla de verificarlo,
solo tienes que ir a la página web de Java listada abajo
para comprobarlo. Asegúrate de solo revisar si tienes Java
instalado y no instalarlo realmente.
instales Java en
http://www.java.com/es/download/installed.jsp
Si descubres que tienes Java instalado, pero no lo
necesitas, desinstálalo de tu computadora.
SI ES NECESARIO
Si es absolutamente necesario tener Java instalado, hay
varias cosas que puedes hacer para protegerte.
1. MANTENLO ACTUALIZADO:
Asegúrate siempre de tener la última versión de Java
instalada en tu computadora. Las versiones antiguas u
obsoletas de Java
tienen muchas vulnerabilidades
conocidas que hacen que
los
ciberdelincuentes introducirse en tu equipo de cómputo.
Además, las versiones más recientes de Java podrían
tener nuevas configuraciones de seguridad.
Mantener Java actualizado en las computadoras con
Windows es relativamente simple. Para comprobar la
versión de Java en tu equipo, haz clic en el icono de Java
en el panel de control, así confirmarás que tienes la última
fácil para
sea
Java es un software que
puede exponerte a muchos
riesgos, si no necesitas Java
considera no instalarlo. Si
realmente lo necesitas,
última versión.
asegúrate de tener siempre la
versión y que Java está configurado para actualizarse
automáticamente. Si no es así, asegúrate de actualizarla a
través del menú de Java.
Para las computadoras Mac las opciones de Java son más
complejas. En un esfuerzo por proteger mejor a sus
usuarios, Apple administra y actualiza su propia liberación
de Java basada en Java 1.6. Siempre que mantengas
actualizado y vigente tu sistema operativo Mac, también se
mantendrá actualizada esta versión de Java. Los usuarios
de Apple pueden actualizar sus equipos Mac a Java 1.7
descargando Java desde su sitio web, sin embargo, tú
tendrás que actualizar por ti mismo dicha versión.
© T h e S A N S I n s t i t u t e 2 0 1 3
http://www.securingthehuman.org
OUCH! | Enero 2013
Java
Desinstalar Java en Windows:
http://preview.tinyurl.com/akc8dnt
Desinstalar Java 7 en Mac:
http://preview.tinyurl.com/ahwzze6
Deshabilitar el Plugin de Java de tu navegador
http://preview.tinyurl.com/bba4z9k
Análisis del estado del navegador en inglés:
http://preview.tinyurl.com/26y9gb5
Términos comunes de seguridad:
http://preview.tinyurl.com/6wkpae5
http://preview.tinyurl.com/bxaajzf
Tip del día en seguridad del instituto SANS:
http://preview.tinyurl.com/6s2wrkp
2. DESACTIVA EL PLUGIN DEL
NAVEGADOR:
Una de
las maneras utilizadas comúnmente por
cibercriminales para hackear Java es a través de tu
navegador web. Si tienes instalado Java, tu navegador
tiene una opción llamada Plugin de Java, el cual permite
que el navegador use Java. Cuando se conecta a un sitio
web malicioso, es posible hackear tu computadora a través
del plugin de Java. Sin embargo, muy pocos sitios web
requieren Java para trabajar. Así que, en la mayoría de los
casos, puedes desactivar sin riesgo alguno el plugin para el
navegador. Cómo deshabilitar los plugins del navegador
depende de qué tipo de navegador utilices. La mayoría de
los navegadores
tienen preferencias u opciones de
configuración en la que puedes deshabilitar el plugin. Las
versiones más recientes pueden deshabilitar el plugin
desde panel de control de Java. Si encuentras un sitio web
que requiere Java para funcionar, puedes activar el Plugin
solo para ese sitio web y desactivarlo cuando hayas
terminado.
RECURSOS
Algunos de los enlaces mostrados a continuación se
redujeron para mejorar la legibilidad a través del servicio
TinyURL. Con el fin de mitigar problemas de seguridad,
OUCH! siempre utiliza la característica de vista previa de
TinyURL (preview), la cual muestra el enlace destino,
solicitando tu permiso antes de abrirlo.
¿Qué es Java?
http://java.com/es/download/faq/whatis_java.xml
Consejos de seguridad de UNAM-CERT:
http://preview.tinyurl.com/8fpbhtw
MÁS INFORMACIÓN
Suscríbete al boletín mensual OUCH!, el boletín de
consejos sobre seguridad. Accede a los archivos de
OUCH! y aprende más acerca de
las soluciones
preventivas de seguridad que SANS tiene para ti.
Visítanos en http://www.securingthehuman.org
VERSIÓN EN ESPAÑOL
UNAM-CERT, Equipo de Respuesta a
Incidentes en
México reconocido ante FIRST, es una referencia en
seguridad de la información en este país.
Sitio web http://www.seguridad.unam.mx
Síguelo en Twitter @unamcert
OUCH!
es
publicado
bajo
el
programa
Securing
The
Human
de
SANS
y
es
distribuido
bajo
la
licencia
Creative
Commons
BY-‐NC-‐ND
3.0.
Se
concede
el
permiso
para
distribuir
este
boletín
siempre
y
cuando
se
referencie
la
fuente,
la
distribución
no
sea
modificada
ni
usada
con
fines
comerciales.
Para
traducción
o
más
información,
por
favor
contacte
a:
[email protected]
Consejo
Editorial:
Bill
Wyman,
Walt
Scrivens,
Phil
Hoffman,
Lance
Spitzner
Versión
en
español
a
cargo
de
UNAM-‐CERT:
Sandra
Atonal,
Carlos
Colio,
Célica
Martínez,
Jazmín
López,
Andrea
Méndez,
Gustavo
Villafán
© T h e S A N S I n s t i t u t e 2 0 1 3
z
http://www.securingthehuman.org
Comentarios de: OUCH 2013 - Java (0)
No hay comentarios