Los ciberdelitos cambian: hola Flash ¡adiós Java!

Los hackers maliciosos, aquellos que desarrollan kits de exploit, diseñados para ayudar a los cibercriminales a irrumpir sin permiso en los sistemas informáticos de otros y esparcir el malware, están cada vez más a gusto con Flash. Sin embargo, Java ha dejado de ser una preferencia clara para ellos, como lo fuera en los últimos años.

Riesgos en Adobe Flash 

Esto es lo que se desprende del último informe del grupo NTT, titulado Informe Inteligencia de Amenazas Global. Este informe destaca que los malos se han pasado poco a poco desde Java a Flash en los últimos tiempos, ante la evidente caída en desgracia del primero.

Hola Flash ¡adiós Java!

Según el  informe del grupo NTT, todas las vulnerabilidades en el top 10 durante el año 2015 estaban diseñadas para explotar el reproductor adobe Flash. Recordemos que Adobe lleva años teniendo muchos dolores de cabeza, por los bajos niveles de seguridad que ofrece.

En contraste, Adobe Flash sólo tuvo una vulnerabilidad en el top 10 dos años antes, en 2013. Java absorbía entonces 8 de los 10 problemas de seguridad. Un gráfico nos muestra las tecnologías utilizadas por los kit de exploit con el paso de los años. Vemos que hay un ascenso dramático de los ciberataques hacia Flash, siendo la plataforma con más problemas en 2015.

Objetivos de los kit de Exploit

La aparición de nuevos exploits para Java, mientras tanto, prácticamente ha desaparecido. Por un lado debido al bajo uso, aunque por otro debemos destacar medidas de seguridad adicionales, como la no-aceptación automática de applets Java sin firmar desde 2014.

Muchas empresas están aprendiendo de los peligros que conlleva tener Flash en sus dispositivos, pero aún no están listos para deshacerse por completo de este software. Lo cierto es que deberían, pues la aparición de nuevas vulnerabilidades Flash ha aumentado en un 312% entre 2014 y 2015.

Vunlerabilidades en Adobe Flash

[pullquote]De hecho, un increíble 12% de los ataques exitosos tienen su base en vulnerabilidades que podrían haber sido corregidas hace 5 años, mientras un 5% de los casos tienen….¡hasta 10 años de antigüedad![/pullquote]

A pesar de los alarmantes datos, está claro que las preocupaciones de las empresas (a nivel de ciberseguridad) no terminan con instalar parches en aplicaciones como Flash. Según el informe de NTT Group, casi el 21% de las vulnerabilidades detectadas en redes corporativas tienen 3 años de antigüedad. Las empresas no están invirtiendo todo el esfuerzo necesario en mantener sus sistemas actualizados.

Con estadísticas como las que hoy se nos presentan, queda claro que los criminales aún tienen mucho terreno para campar a sus anchas y lanzar ciberataques a empresas en todo el mundo, incluso mucho tiempo después de que se hayan lanzado parches correctivos.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.