Java - Securing The Human

OUCH! | Enero 2013
E N E S T A E D I C I Ó N
• ¿Qué es Java?
• Riesgos de Java
• Mejores defensas
Java EDITOR INVITADO
El editor invitado para esta publicación es Arrigo Triulzi. Él
En este boletín vamos a explicar los peligros de tener Java
es consultor de seguridad independiente con más de 25
instalado en tu computadora y lo que puedes hacer para
años de experiencia en Ginebra, Suiza.
protegerte. Nota: Javascript y Java son dos cosas
totalmente diferentes. Este boletín solo aplica para Java.
RESUMEN
El término software se refiere a los programas o
aplicaciones que instalas y usas en tu computadora
¿CUÁLES SON LOS RIESGOS?
Los cibercriminales utilizan un método común para
diariamente. Algunos ejemplos pueden ser tu navegador
introducirse
web,
correo,
desarrollan programas especiales que aprovechan y
videojuegos y reproductores de películas. El problema con
explotan las debilidades en el software. Estas carencias
la mayoría de estos programas es que están escritos para
suelen ser específicas para cada equipo. Lo que significa
ejecutarse únicamente en computadoras específicas. Es
que las herramientas de hacking desarrolladas para atacar
decir, aquellos escritos para Windows pueden ejecutarse
equipos
solo en computadoras con sistemas operativos Microsoft
funcionan en equipos Mac y viceversa. Esto limita a
Windows, no funcionarían en una computadora Mac de
quienes pueden atacarte y la forma en que lo hacen.
procesador
de
palabras,
cliente
de
en
las
Windows
computadoras
solo
funcionan
de
en
los
usuarios,
Windows,
no
Apple. Lo mismo aplica en el software para Mac, que
trabaja exclusivamente en computadoras Apple.
Java funciona de otra forma porque está diseñado para
funcionar en casi cualquier computadora. Los criminales
Java es diferente, es un lenguaje de programación que
informáticos pueden crear una única herramienta de
permite a los programadores desarrollar aplicaciones que
ataque que pueda hackear casi cualquier computadora del
puedes ejecutar en diferentes sistemas operativos, tanto en
mundo, siempre y cuando tenga Java instalado. Esto hace
Microsoft como en Mac. Para permitir a los programas
que las debilidades de Java sean un blanco atractivo para
hechos en Java ejecutarse en tu computadora, necesitas
los atacantes, ya que pueden hackear más computadoras
tener Java instalado (usualmente es conocido como Entorno
con menor esfuerzo. Además, la complejidad de Java
de Ejecución de Java o Java Runtime Environment).
genera muchas debilidades. Por último, la mayoría de la
© The SANS Institute 2013
http://www.securingthehuman.org
OUCH! | Enero 2013
Java
gente
ni siquiera sabe lo que es Java o si lo tienen
instalado. Como resultado, Java se ha convertido en uno
de los blancos favoritos de los cibercriminales.
LA MEJOR DEFENSA
Básicamente, la mejor defensa es simple, si no estás
utilizando ningún programa o aplicación que requiera Java,
entonces no instales Java en tu computadora. Solo
instálalo si realmente lo necesitas. Si no estás seguro de
tener Java instalado, hay una forma sencilla de verificarlo,
solo tienes que ir a la página web de Java listada abajo
para comprobarlo. Asegúrate de solo revisar si tienes Java
instalado y no instalarlo realmente.
http://www.java.com/es/download/installed.jsp
Si descubres que tienes Java instalado, pero no lo
necesitas, desinstálalo de tu computadora.
SI ES NECESARIO
Si es absolutamente necesario tener Java instalado, hay
varias cosas que puedes hacer para protegerte.
Java es un software que
puede exponerte a muchos
riesgos, si no necesitas Java
considera no instalarlo. Si
realmente lo necesitas,
asegúrate de tener siempre la
última versión. versión y que Java está configurado para actualizarse
1. MANTENLO ACTUALIZADO:
automáticamente. Si no es así, asegúrate de actualizarla a
Asegúrate siempre de tener la última versión de Java
través del menú de Java.
instalada en tu computadora. Las versiones antiguas u
obsoletas
conocidas
de
que
Java
tienen
hacen
que
muchas
sea
vulnerabilidades
fácil
los
complejas. En un esfuerzo por proteger mejor a sus
ciberdelincuentes introducirse en tu equipo de cómputo.
usuarios, Apple administra y actualiza su propia liberación
Además, las versiones más recientes de Java podrían
de Java basada en Java 1.6. Siempre que mantengas
tener nuevas configuraciones de seguridad.
actualizado y vigente tu sistema operativo Mac, también se
Mantener Java actualizado en las computadoras con
mantendrá actualizada esta versión de Java. Los usuarios
Windows es relativamente simple. Para comprobar la
de Apple pueden actualizar sus equipos Mac a Java 1.7
versión de Java en tu equipo, haz clic en el icono de Java
descargando Java desde su sitio web, sin embargo, tú
en el panel de control, así confirmarás que tienes la última
tendrás que actualizar por ti mismo dicha versión.
© The SANS Institute 2013
para
Para las computadoras Mac las opciones de Java son más
http://www.securingthehuman.org
OUCH! | Enero 2013
Java Desinstalar Java en Windows:
2. DESACTIVA EL PLUGIN DEL
NAVEGADOR:
Una
de
las
maneras
utilizadas
comúnmente
http://preview.tinyurl.com/akc8dnt
Desinstalar Java 7 en Mac:
por
http://preview.tinyurl.com/ahwzze6
cibercriminales para hackear Java es a través de tu
navegador web. Si tienes instalado Java, tu navegador
Deshabilitar el Plugin de Java de tu navegador
tiene una opción llamada Plugin de Java, el cual permite
http://preview.tinyurl.com/bba4z9k
que el navegador use Java. Cuando se conecta a un sitio
Análisis del estado del navegador en inglés:
web malicioso, es posible hackear tu computadora a través
http://preview.tinyurl.com/26y9gb5
del plugin de Java. Sin embargo, muy pocos sitios web
Términos comunes de seguridad:
requieren Java para trabajar. Así que, en la mayoría de los
http://preview.tinyurl.com/6wkpae5
casos, puedes desactivar sin riesgo alguno el plugin para el
http://preview.tinyurl.com/bxaajzf
navegador. Cómo deshabilitar los plugins del navegador
depende de qué tipo de navegador utilices. La mayoría de
Tip del día en seguridad del instituto SANS:
los navegadores tienen preferencias u opciones de
http://preview.tinyurl.com/6s2wrkp
configuración en la que puedes deshabilitar el plugin. Las
Consejos de seguridad de UNAM-CERT:
versiones más recientes pueden deshabilitar el plugin
http://preview.tinyurl.com/8fpbhtw
desde panel de control de Java. Si encuentras un sitio web
que requiere Java para funcionar, puedes activar el Plugin
MÁS INFORMACIÓN
solo para ese sitio web y desactivarlo cuando hayas
Suscríbete al boletín mensual OUCH!, el boletín de
terminado.
consejos sobre seguridad. Accede a los archivos de
OUCH!
RECURSOS
y
aprende
más
acerca
de
las
soluciones
preventivas de seguridad que SANS tiene para ti.
Algunos de los enlaces mostrados a continuación se
Visítanos en http://www.securingthehuman.org
redujeron para mejorar la legibilidad a través del servicio
TinyURL. Con el fin de mitigar problemas de seguridad,
VERSIÓN EN ESPAÑOL
OUCH! siempre utiliza la característica de vista previa de
UNAM-CERT, Equipo de Respuesta a Incidentes en
TinyURL (preview), la cual muestra el enlace destino,
México reconocido ante FIRST, es una referencia en
solicitando tu permiso antes de abrirlo.
seguridad de la información en este país.
¿Qué es Java?
Sitio web http://www.seguridad.unam.mx
http://java.com/es/download/faq/whatis_java.xml
Síguelo en Twitter @unamcert OUCH! es publicado bajo el programa Securing The Human de SANS y es distribuido bajo la licencia Creative Commons BY-­‐NC-­‐ND 3.0. Se concede el permiso para distribuir este boletín siempre y cuando se referencie la fuente, la distribución no sea modificada ni usada con fines comerciales. Para traducción o más información, por favor contacte a: [email protected] Consejo Editorial: Bill Wyman, Walt Scrivens, Phil Hoffman, Lance Spitzner Versión en español a cargo de UNAM-­‐CERT: Sandra Atonal, Carlos Colio, Célica Martínez, Jazmín López, Andrea Méndez, Gustavo Villafán © The SANS Institute 2013
http://www.securingthehuman.org