Java, un lenguaje que retrocede de la mano del cibercrimen

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Con la divulgación de una nueva vulnerabilidad presente en Java Runtime Environment (JRE), y Oracle lanzando un parche fuera del cronograma habitual, cambiando el ritmo con el que se divulgan las vulnerabilidades, cada vez resulta más imposible continuar usando Java.

Aunque esta vulnerabilidad no afecta a ninguna de las versiones anteriores (v. 1.6), sin embargo, las versiones anteriores (v. 1.6) de JAVA son vulnerables a numerosos defectos y, para mitigar estos defectos, se pusieron a disposición actualizaciones de parches.

Todas las vulnerabilidades, que se han divulgado en el pasado, son capaces de permitir al atacante ejecutar una carga arbitraria de su elección. Para ejecutar este tipo de ataques, el atacante crea una página web que ejecutará un archivo JAVA (.jar) en la máquina de la víctima y esta .jar es la aplicación cuentagotas, que luego de la explotación descargará otros archivos ejecutables y los ejecutará en el servidor/máquina de la víctima.

Los cibercriminales aman Java, las oportunidades que se generan alrededor de este lenguaje, abren brechas de seguridad que son aprovechadas por actores maliciosos, que buscan vulnerar la seguridad del perímetro de muchas compañías.

Las compañías del segmento financiero y fundamentalmente las de salud, al igual que las encargadas de custodiar la sustentabilidad de la infraestructura crítica de cualquier nación de la tierra, miran cada día con mayor desconfianza a Java como lenguaje.

A esta problemática debemos sumar la cantidad de frameworks de desarrollo, que son mucho más lentos para reaccionar al cambio en un entorno muy dinámico que no para de cambiar.

No son pocas las técnicas que se han desarrollado y popularizado en el sub mundo ciber criminal, para vulnerar aplicaciones realizadas en Java y todos sus sub lenguajes para acceder a datos relevantes que puedan ser comercializados en el mercado negro.

Los cambios que ha impreso Oracle dentro de la comunidad, no han resultado positivos para adaptarse a los nuevos desafíos que plantea la ciberseguridad como disciplina necesaria para mantener la sustentabilidad de un negocio.

 

 

Luis V. Sintes Martinez Analista de Seguridad – Vintegris