Si ha actualizado la versión de Java en su computadora y Oracle, que adquirió el desarrollador de Java Sun Microsystems, le dijo que su PC estaría a salvo, es posible que haya sido estafado.
Oracle resolvió la afirmación de la Comisión Federal de Comercio de los Estados Unidos de que la compañía engañó a los clientes con información de que las actualizaciones de Java también traían características de seguridad a sus PC. El acuerdo requiere que Oracle notifique a los usuarios cuando su versión de Java SE instalada en sus computadoras no esté actualizada.
No obstante, es cierto que la actualización a la última versión del software proporciona un mayor nivel de protección. Sin embargo, el caso de Oracle es bastante diferente. La compañía no les dijo a sus clientes que las versiones más antiguas (y por lo tanto vulnerables) de Java SE permanecerían en la PC cuando hubiera varias versiones de Java instaladas en el sistema.
Eso significa que las versiones anteriores aún están al acecho en los rincones menos visibles de la computadora, mientras que los piratas informáticos solo esperan el momento adecuado para lanzar sus ataques. Java tiene un historial notorio de atraer a una banda de piratas informáticos, en gran parte debido a la amplia aplicación del software, desde máquinas industriales hasta PC. Además, Java ha estado plagado de muchos errores, que los atacantes suelen explotar.
A los expertos en seguridad no les faltaron las advertencias sobre las implicaciones de las versiones obsoletas de Java. El software antiguo, según las leyes de la informática, abre nuevos mundos de vulnerabilidades que expondrán a empresas y consumidores a ataques, tanto simples como sofisticados. Si puede recordar, en la historia reciente, el gobierno de los Estados Unidos solicitó a los usuarios que deshabilitaran el software Java instalado en sus navegadores debido a una vulnerabilidad de día cero.
Como se indica en el acuerdo de Oracle con la FTC, la compañía no aclaró la forma correcta de desinstalar las versiones obsoletas de Java cuando la compañía lanzó actualizaciones para el software en agosto del año anterior. La FTC también alegó que Oracle conocía una actualización vulnerable en 2011, pero optó por permanecer en silencio en lugar de advertir a sus usuarios sobre la situación.
Para ser justos, a Oracle no le faltan recordatorios sobre las versiones anteriores de Java que permanecen en el navegador y los riesgos de seguridad que representan mientras no se eliminan. Pero los avisos publicados en el sitio web de Oracle no explicaron que las actualizaciones de software no eliminan automáticamente las versiones anteriores del software de Java.
La FTC ahora requiere que Oracle advierta a los usuarios si su versión de Java SE está desactualizada y les informe sobre los riesgos de seguridad de no desinstalar manualmente la versión anterior del software de sus PC.
