Seguridad, Java y Banco Nacional: Algunas aclaraciones

Luego de leer el artículo de La Nación referente a la seguridad en Java y de cómo el Banco Nacional tiene un sistema de Internet Banking que obliga a usar applets (escritos en Java), logré conversar con el periodista encargado de la nota para aclarar algunos conceptos. Esta nota la escribo para ampliar al público dichas aclaraciones.

1. El peligro que mencionan las notas internacionales se refiere a una versión particular de Java, la 7 antes de su parche número 11. Otras versiones pueden tener otros fallos, pero es importante recalcarlo dado que no es Java en general que tiene ese problema.

2. El problema es muy simple. En Java se pueden hacer muchas cosas, entre ellas pequeños programas, que se ejecutan desde los navegadores internet, conocidos como Applets. Estos programas pueden venir firmados digitalmente (lo que le permite saber al usuario quién los escribió). La versión de Java 7 previa al parche 11 (anterior a 7.11), contiene un error que permite a un applet tener la potestad de ejecutar programas con un nivel de privilegios alto (como si fuera un super usuario), y por ende un atacante podría ejecutar cosas en la computadora de la víctima. Para que eso pueda ocurrir, el usuario debe entrar en una página que tenga un applet malicioso hecho a propósito para atacar a la víctima y permitir que éste se ejecute. Aclaremos los miedos basados en esta información.

3. No es cierto que con sólo tener Java en la computadora ya nos pueden atacar. El java se puede configurar para que no ejecute nada sin permiso, y entonces puedo navegar sin problemas y cuando algún applet quiera ejecutarse soy yo el que le da permiso o no (claro, darle permiso a cualquier applet es como dejar entrar a cualquiera a la casa, hay que tener cuidado).

4. No es cierto que por usar (o durante su uso) la aplicación de Banco Nacional se esté en peligro. El applet del Banco Nacional, a menos que sea cambiado por un hacker, no contiene código malicioso que ataque nuestros equipos. Y los hackers no pueden, mientras se tiene una sesión en el navegador con el banco, cambiar el applet. Lo que sí pueden hacer los hackers es engañar a la persona para que vaya a una página duplicada haciéndole creer que es la del banco y en esa página falsa poner un applet malicioso. Claro está, el hacker puede hacer esto mismo duplicando cualquier otra página, inclusive no bancarias. En este caso, el usuario debe tener cuidado de no caer en el engaño.

5. Otra cosa que puede hace un hacker es intentar violentar la seguridad del banco mismo y reemplazar el applet oficial con uno malicioso. Esto es muy difícil y si lo logra, se puede detectar por la firma del applet. Ahora, si el Banco no tiene su propio applet firmado digitalmente con un certificado respaldado por una autoridad certificadora reconocida, entonces es difícil para el usuario detectar si el applet es válido o no y es mejor no utilizarlo.

6. Cuando un applet no está firmado por una autoridad certificadora (sea que no esté firmado, el certificado esté vencido o haya sido “autofirmado”) el navegador usualmente preguntará antes de ejecutarlo. El consejo es entonces nunca permitir la ejecución de un applet con problemas de firmado. Aun si está firmado, es siempre bueno verificar quién está firmando y que lo que se firma sea legítimo.

7. Los applets están siendo usados en otras páginas en el país, no solo la del Banco Nacional.

8. Un usuario precavido podría apagar el java en el navegador siguiendo las instrucciones y en el momento que lo vaya a necesitar, activarlo solo para entrar el sitio que lo requiere. Luego lo desactivaría de nuevo.

9. En general, un usuario precavido no deberá entrar en sitios dudosos ni que ofrezcan software gratuito ni compartido, dado que muchos de esos ofrecimientos son caballos de troya. Si se entra a alguno de esos sitios, tratar de no aceptar nada, ni permitir ejecución de nada, no cerrar ningún popup que aparezca. Es mejor cerrar todo el navegador sin hacer click a nada, incluso si hay que apagar la computadora de golpe.

10. Finalmente, si aun a pesar de todos los cuidados, se sufre un ataque, los antivirus y detectores de malware entran a hacer su trabajo y pueden detectarlo. Claro está, es preferible prevenir un ataque que detectar uno en progreso. Lo importante es crear una cultura de concientización seguridad informática en el país, porque no son solo las instituciones sino también el usuario, los responsables de navegar seguros.

Espero estos consejos ayuden y que haya quedado claro el problema. Quedo a su disposición si tienen alguna consulta de este y otro tema sobre seguridad.

 

William Martínez Pomares