Pues sí, el Q3 de 2010 ha confirmado la tendencia que se viene viendo desde 2008. Java se ha convertido en uno de los principales objetivos de todas aquellas personas interesadas en usar tu equipo para enviar spam, realizar ataques de denegación de servicio o robar información personal tuya.

Desde 2007-2008 toda esta comunidad de hackers ha estado cambiando de un modo bastante claro los objetivos de sus exploits. Hasta esa fecha, eran principalmente Windows. Sin embargo, tras una década siendo continuamente machacada por virus, troyanos, gusanos y demás familia la empresa de Redmon ha mejorado considerablemente sus defensas, y ha establecido una política bastante efectiva de actualización de los equipos de los usuarios de su sistema operativo. A pesar de la mala fama acumulada a lo largo de los años (bien merecida en su día), Windows a día de hoy ha hecho sus deberes y la barrera para hackearlo ha incrementado considerablemente.

De ahí que en el entorno de 2007-2008 los hackers hayan comenzado a cambiar el objetivo de sus ataques. Ahora ya no van tanto por Windows, van por software que tienen instalados muchos usuarios. Adobe Reader y Acrobat, Winzip, Winrar, MSN,... y en general cualquier software que tenga una amplia base de usuarios, para incrementar la superficie de ataque del exploit.

Y esto incluye lamentablemente a Java. Java además tiene una desventaja cuando se le compara con todos estos productos. Java es algo que para el usuario final no suele tener una interfase directa, sino que está instalado en el equipo y ejecuta aplicaciones. No hay una "ventana de Java". Los usuarios finales no son conscientes muchas veces de que lo usan. No saben si lo tienen instalado o no. E incluso aunque les aparezca un mensaje en algún sitio diciendo que tienen que actualizar el "Java" no tienen ni idea qué demonios es "el Java ese". Por ello es fácil que ignoren el mensaje y no lo actualicen.

Esto, unido a que este año ha habido varios exploits bastante sonados para el JRE , ha hecho que en estos momentos Java sea uno de los principales vectores de ataque de equipos, incluso por encima de los productos de Adobe.

Microsoft recoge estadísticas tremendamente interesantes todos los meses del resultado de la ejecución de su MRT (Microsoft Removal Tool, un antivirus no residente que se actualiza todos los meses con Windows Update y se ejecuta la primera vez que reinicias el equipo después de realizar la actualización). Esta herramienta proporciona a Microsoft informes tremendamente detallados e interesantes sobre el número de equipos infectados en cada región del mundo y el tipo de infección. Aquí tenéis un ejemplo: un mapa donde en un código de color se muestra el número de malwares identificados por cada 1000 ejecuciones de la MRT (como veis, España es de los peores sitios).  Y aquí tenéis el último informe completo.

De los datos de la ejecución de la MRT se extrae que en el Q3 de 2010 hubo unos 6 millones y medio de ataques a PCs Windows a través de Java, 2 millones y medio de los cuales han tenido éxito.

Todo esto ha hecho que varios (1 y 2, entre otros) especialistas en seguridad estén recomendando a los usuarios que "si no necesitas Java desinstálalo".

Mi recomendación es diferente: actualiza tu Java. Absolutamente todos los exploits conocidos para Java en estos momentos, inclusive los que han hecho que Java lidere los exploits en el Q3 de 2010, están parcheados en la última update del JDK. Así que actualiza tu JRE/JDK.

La semana pasada nos enteramos de que Apple había "deprecado" su JDK, con un mensaje implícito de que ellos no van a crear un JDK 7 para Mac OS. Después nos enteramos de que además no tienen intención de aceptar aplicaciones basadas en Java en la OS App Store que anunciaron la semana pasada. Esta tienda, que se ha ganado ya bastantes críticas, es algo similar a la tienda de aplicaciones para el iPhone, sólo que en ella se venderán aplicaciones para Mac Os. Parece que están intentando llevar el modelo que les ha resultado tan bueno en terminales móviles al escritorio.

Entre las guías para aceptar aplicaciones en esa tienda se encuentra el que las aplicaciones no pueden usar ningún API deprecada de Mac OS, y se menciona explícitamente a Java como API deprecada y que, por tanto, no puede ser usada por las aplicaciones que se publiquen en la tienda.

A raíz de todo esto, se ha creado una petición de la comunidad Apple para que libere el código fuente de su JDK para facilitar la creación de una iniciativa de la comunidad para mantener el JDK para Mac OS. Sin duda, algo positivo. Uno de los problemas que veo en esto es que, desde mi punto de vista, la decisión de Apple de deprecar Java es una decisión de negocio. Quieren que los programadores elijan entre desarrollar para su plataforma, o para cualquier otra. Es un disparo bastante directo Android, que vende ya más terminales que iPhone en Estados Unidos. Por ello, no van a tener interés en ayudar a ninguna iniciativa que pretenda mantener Java en su plataforma.

Además, aunque esto se produzca y aunque la comunidad siga manteniendo el porte, quedan muchas dudas en el aire. ¿Permitirá Oracle que esta supuesta implementación de Java se certifique? Hasta ahora nunca se lo han permitido a Harmony.

Quizá sea el propio Oracle el que decida continuar con el desarrollo de Java para Mac, bien por su cuenta bien a partir del código de Apple. Sin embargo, Oracle no se caracteriza demasiado por su soporte para este tipo de plataformas. Su producto estrella, Oracle Database, no libera una versión para Mac desde finales del 2004. Y actualmente no existe ninguna versión de Oracle Database 11g para esta plataforma. Y por dar dato más, cuando en la JavaOne hablaron de JavaFX 2.0, no hablaron para nada de soporte para Mac.

No sé cómo veis vosotros en tema, pero creo que los programadores van a tener que elegir entre Java y Mac OS. En cualquier caso, no cabe duda de que el futuro de Java en Mac será más positivo si Apple libera su código, así que os animo a firmar esta petición.