Pues sí, el Q3 de 2010 ha confirmado la tendencia que se viene viendo desde 2008. Java se ha convertido en uno de los principales objetivos de todas aquellas personas interesadas en usar tu equipo para enviar spam, realizar ataques de denegación de servicio o robar información personal tuya.

Desde 2007-2008 toda esta comunidad de hackers ha estado cambiando de un modo bastante claro los objetivos de sus exploits. Hasta esa fecha, eran principalmente Windows. Sin embargo, tras una década siendo continuamente machacada por virus, troyanos, gusanos y demás familia la empresa de Redmon ha mejorado considerablemente sus defensas, y ha establecido una política bastante efectiva de actualización de los equipos de los usuarios de su sistema operativo. A pesar de la mala fama acumulada a lo largo de los años (bien merecida en su día), Windows a día de hoy ha hecho sus deberes y la barrera para hackearlo ha incrementado considerablemente.

De ahí que en el entorno de 2007-2008 los hackers hayan comenzado a cambiar el objetivo de sus ataques. Ahora ya no van tanto por Windows, van por software que tienen instalados muchos usuarios. Adobe Reader y Acrobat, Winzip, Winrar, MSN,... y en general cualquier software que tenga una amplia base de usuarios, para incrementar la superficie de ataque del exploit.

Y esto incluye lamentablemente a Java. Java además tiene una desventaja cuando se le compara con todos estos productos. Java es algo que para el usuario final no suele tener una interfase directa, sino que está instalado en el equipo y ejecuta aplicaciones. No hay una "ventana de Java". Los usuarios finales no son conscientes muchas veces de que lo usan. No saben si lo tienen instalado o no. E incluso aunque les aparezca un mensaje en algún sitio diciendo que tienen que actualizar el "Java" no tienen ni idea qué demonios es "el Java ese". Por ello es fácil que ignoren el mensaje y no lo actualicen.

Esto, unido a que este año ha habido varios exploits bastante sonados para el JRE , ha hecho que en estos momentos Java sea uno de los principales vectores de ataque de equipos, incluso por encima de los productos de Adobe.

Microsoft recoge estadísticas tremendamente interesantes todos los meses del resultado de la ejecución de su MRT (Microsoft Removal Tool, un antivirus no residente que se actualiza todos los meses con Windows Update y se ejecuta la primera vez que reinicias el equipo después de realizar la actualización). Esta herramienta proporciona a Microsoft informes tremendamente detallados e interesantes sobre el número de equipos infectados en cada región del mundo y el tipo de infección. Aquí tenéis un ejemplo: un mapa donde en un código de color se muestra el número de malwares identificados por cada 1000 ejecuciones de la MRT (como veis, España es de los peores sitios).  Y aquí tenéis el último informe completo.

De los datos de la ejecución de la MRT se extrae que en el Q3 de 2010 hubo unos 6 millones y medio de ataques a PCs Windows a través de Java, 2 millones y medio de los cuales han tenido éxito.

Todo esto ha hecho que varios (1 y 2, entre otros) especialistas en seguridad estén recomendando a los usuarios que "si no necesitas Java desinstálalo".

Mi recomendación es diferente: actualiza tu Java. Absolutamente todos los exploits conocidos para Java en estos momentos, inclusive los que han hecho que Java lidere los exploits en el Q3 de 2010, están parcheados en la última update del JDK. Así que actualiza tu JRE/JDK.