Revista Cambio

Impuestos y ciberseguridad

Por David Santa Cruz

Y a en 2013, el Departamento de Seguridad Interna (Homeland Security, en inglés) de los Estados Unidos advertía que a pesar de las actualizaciones de la compañía Oracle de su aplicación (applet) de Java para navegadores web, esta todavía era un factor que podría afectar la seguridad de las computadoras de los usuarios al dejar la puerta abierta a ataques cibernéticos, por lo que recomendaba su inhabilitación. De hecho, desde 2015 la mayoría de los navegadores, incluidos Google Chrome, Firefox y Explorer, la deshabilitaron de origen.

A pesar de ello, en México el Servicio de Administración Tributaria (SAT) utiliza hasta la fecha esta tecnología que, de acuerdo con la mayoría de los reportes mundiales de ciberseguridad, apunta a que es la favorita de los cibercriminales. Cada que ingresamos al portal del SAT, envíamos una declaración o utilizamos las firmas electrónicas, le autorizamos al SAT que ingrese casi de manera irrestricta al contenido de nuestra computadora. Algo preocupante en el contexto de las recientes denuncias de posible espionaje gubernamental y de ataques cibernéticos masivos.

Lo que vuelve potencialmente peligrosa a la aplicación en el navegador de Java “además de las vulnerabilidades que tiene es que existen algunas capacidades. Cuando se corre el applet en un navegador, es mucho lo que puedes hacer (de manera remota), puedes abrir programas, leer y escribir archivos, modificar archivos del sistema Windows desde un applet de Java”, explica en exclusiva para Cambio John Shier, experto de seguridad en jefe de la empresa de ciberseguridad Sophos.

No obstante, la herramienta que produce la firma Oracle no es la única que el SAT nos obliga a usar cada que presentamos una declaración, a pesar de los riesgos de seguridad que implica. La otra es Silverligth de Microsoft, una aplicación para el navegador que utilizan algunas páginas de Internet a fin de mostrar contenido multimedia, principalmente. Ambas se basan en la arquitectura de plataforma cruzada NPAPI (Netscape Plugin Application Programming Interface), soportada durante más de diez años por todos los principales exploradores web y que tiene su origen en el primer navegador web comercial Netscape, hoy en desuso.

Microsoft anunció en 2012 el fin de la vida útil de Silverligth, aunque todavía lanza parches y reparaciones de errores. “Sin embargo, representa el mismo problema que Internet Explorer: el software desactualizado y sin parches implementados invita a los atacantes a que lo aprovechen fácilmente”, asegura el Informe Anual sobre Ciberseguridad 2017 del gigante de las tecnologías de la información Cisco.

¿QUÉ ES JAVA?

Vamos por partes. Cuando hablamos de Java debemos analizar dos puntos: el primero es el lenguaje de programación; y el segundo, la máquina virtual (applet) que debemos instalar en el equipo con el propósito de que se ejeuten los códigos en Java, le aclara a Cambio Thiago Marques, analista de seguridad de Kaspersky Lab en América Latina.

“Sobre el primer punto, Java ofrece muchos recursos que evitan fallas normalmente generadas por errores en la escritura del código, haciendo que pueda ser considerado un lenguaje con conceptos de seguridad. Por otro lado, si analizamos el Java Virtual Machine (JVM) –el software necesario para que un equipo sea capaz de ejecutar los códigos hechos en Java– podemos decir que es un riesgo innecesario, principalmente para usuarios hogareños donde siempre se puede elegir una opción en la cual Java no es necesario”, dice Thiago Marques.

Incluso la propia Oracle –creadora y distribuidora de Java– advierte en la página del producto que a partir de la actualización 51 de la versión 7, Java no permite a los usuarios ejecutar aplicaciones que no estén firmadas, autofirmadas (no firmadas por una autoridad de confianza) o a las que les falten los atributos de permisos, lo anterior debido a que representa riesgos para los usuarios.

En otras palabras, una vez que autorizamos el uso de la JVM y nos abre las ventanas emergentes (pop-ups) sólo nos queda confiar en la buena voluntad de la empresa, persona o gobierno que esté del otro lado de nuestra computadora. ¿Tú confías? Un consejo de John Shier, de Sophos, es usar un navegador diferente para Java al que se usa regularmente; esto es, si usas Chrome en las operaciones bancarias, cuando entres al SAT usa Firefox o Safari de manera exclusiva y bloquea totalmente Java en el navegador principal. Incluso un especialista en ciberfraudes (hacker) que pidió anonimato recomienda usar una computadora vieja –donde no se tenga información sensible–, a fin de usar la aplicación del SAT u otras similares y así prevenir espionaje o robo de información.

—¿Existe alguna forma de protegernos de una intromisión de Java? –se le cuestiona a Shier, quien tras un largo silencio responde:

—Sí, sólo no uses Java. Lamentablemente es la única forma.

No es una exageración el reporte del estado del software 2016 de la compañía de seguridad informática Veracode: “Alrededor del 97 % de las aplicaciones Java tiene al menos una vulnerabilidad conocida”.

Lamentablemente, Oracle en México declinó hacer cualquier comentario al respecto para este reportaje, por no tener voceros disponibles.

ACTUALIZACIÓN URGENTE

La parte más vulnerable del sistema es el usuario final. Siempre es más fácil engañar a un ser humano que a una máquina, por ello es importante dudar de cualquier petición de seguir links enviados mediante correo u otro tipo de servicios de mensajería y mantener actualizado el software. De acuerdo con el reporte de ciberseguridad de Cisco: “Cuando los usuarios no acceden al software a menudo y, en consecuencia, no se enteran de la necesidad de implementar parches y actualizarlo, el software ignorado les da tiempo y espacio a los atacantes para operar”.

Al respecto, Cisco realizó una investigación sobre Microsoft Silverlight, en la cual descubrieron que los usuarios tardan dos meses en instalar actualizaciones después de un lanzamiento. Pero en el caso de este software, llegaron a existir dos versiones nuevas en cinco semanas, lo que afectaba a los usuarios durante más de tres meses. Mientras que en el caso de Java, el estudio de Cisco muestra que la mayoría de los usuarios utiliza versiones entre una y tres veces más viejas en relación a la más nueva, y eso que Oracle actualiza Java cada dos meses en promedio, mientras que otros sistemas como Apple y Google actualizan cada mes.

El asunto se complica, pues según el reporte de Veracode la vulnerabilidad de Java más usada por los cibercriminales hasta la fecha, se publicó en julio de 2013, sin embargo, la vulnerabilidad en cuestión no fue identificada y remendada sino hasta noviembre de 2015. “Por lo que muchas organizaciones pueden no haber sabido que tenían un problema en el momento en que se evaluó el componente”, y tampoco los usuarios.

Tanto John Shier, de Sophos, como Thiago Marques, de Kaspersky, consideran que el riesgo que se corre hoy día al usar la aplicación de Java es innecesario dado que hay otras herramientas. “Hoy día HTML5 permite realiza las mismas funciones que Java o que Flash de manera más segura y de forma nativa en el navegador”, afirma Shier.

“No pretendo culpar al gobierno mexicano, sé que los gobiernos se mueven lento”, dice Shier. “Todos tienen sistemas atrasados, pero mi recomendación es que deberían pensar en abandonar Java para modernizarse –continúa el especialista–. En cuanto a la gente siempre les digo que no esperen que las empresas se preocupen por su seguridad, sino que deben tomar la seguridad en sus propias manos”.

Así que mientras la administración pública no decida actualizar sus servicios informáticos con el propósito de mejorar la seguridad de sus usuarios, vale la pena revisar la página de Java y leer la cláusula en la cual si el propio sistema de seguridad de Java o del navegador la bloquea: “Se recomienda no ejecutar estos tipos de aplicaciones. Si aun así desea ejecutarlas, hágalo sólo si entiende los riesgos que conlleva hacerlo”.