martes, 31 de octubre de 2017

Las aplicaciones Java, caladero de problemas de seguridad por doquier

La mayoría de las empresas utilizan componentes de Java sobre los que ya se conocen vulnerabilidades de seguridad. Para ser más exactos, ocho de cada diez apps Java están en peligro.
13.000 millones de dispositivos y 10 millones de desarrolladores en todo el mundo convierten a Java en uno de los lenguajes de programación más usados en todo el mundo. Sin embargo, sobre esta plataforma existen numerosas dudas de seguridad, especialmente tras los centenares de fallos de extrema gravedad que Java sufrió hace un par de cursos.

Lo cierto es que estas preocupaciones no son infundadas, al menos si nos atenemos a un reciente estudio presentado por la filial de CA Technologies, Veracode. En él se indica que un 88% de las aplicaciones Java contiene al menos un componente vulnerable que lo hace susceptible de sufrir un ataque generalizado. Esto se debe en parte a que menos del 28% de las compañías realizan regularmente un análisis de composición para conocer qué componentes forman parte de sus aplicaciones, con lo que no saben a ciencia cierta si tienen elementos peligrosos o seguros en su interior.
El estudio muestra en ese sentido que el 53,3% de las aplicaciones Java están basadas en una versión vulnerable de componentes de las Commons Collections.A día de hoy, el número de aplicaciones que utilizan versiones vulnerables es el mismo que había en 2016, lo cual demuestra la poca concienciación existente en el tema. ¿Cuál es la causa? Según los expertos, el uso de esta clase de tecnologías es una práctica común ya que permite a los desarrolladores reutilizar código funcional y acelerar así la entrega de software.
Un problema con ramificaciones todavía más profundas si tenemos en cuenta que muchas organizaciones dan prioridad a solventar las vulnerabilidades más peligrosas, pero aún tienen dificultades para remediar eficientemente los problemas de software. Incluso los defectos más graves requieren mucho tiempo para ser resueltos (sólo el 22% de los defectos de alta gravedad se parchearon en 30 días o menos) y la mayoría de los atacantes aprovechan las vulnerabilidades a los pocos días de su descubrimiento, por lo que hay mucho margen de tiempo para potencialmente infiltrarse en una red empresarial.