Últimamente en el portal hemos tenido bastantes discusiones sobre si realmente Java tiene un problema de seguridad (1, 2, 3) y cuánta gente se infecta a través de Java. Según las estimaciones de Kaspersky, Java es responsable del 50% de todas las infecciones de equipos en 2012; este dato me parece tremendamente exagerado. Aunque sólo sea porque hay demasiadas vulnerabilidades para que una sola de ellas acapare la mitad de los ataques.
Así que he decidido volver a buscar datos y actualizar el artículo "Java sigue siendo líder en vulnerabilidades" que escribí hace poco más de un año, y he buscado datos en la fuente más fiable que conozco, al menos en lo que infecciones para PCs Windows se refiere: los Microsoft Security Intelligence Report
Primero, las buenas noticias: Java ya no es el vector de ataque líder en infecciones de equipos, al menos no en PCs Windows. Las fantásticas aplicaciones HTML 5 están consiguiendo que las infecciones a través de HTML/JavaScript hayan crecido espectacularmente, especialmente a lo largo de 2011, y a mediados de este año han superado al número de infecciones causadas por Java. Ahora las malas noticias: las infecciones a través de Java siguen creciendo considerablemente. Aquí tenéis un gráfico resumiendo la evolución de las infecciones:
Este gráfico forma parte del "Microsoft Security Intelligence Report v 13", que contiene datos hasta el segundo trimestre de 2012. Microsoft no ha hecho públicos los datos del tercer y cuarto trimestres de 2013 (que formarán parte de la versión 14 del informe).
Los datos de esa gráfica surgen de los datos que la MRT (Microsoft Removal Tool) envía cada mes a los servidores de Microsoft. La MRT es un antivirus no residente que se actualiza en nuestros equipos cada mes a través de la actualización de Windows Update y que se ejecuta en el siguiente arranque realizado por el equipo después de la actualización. Si encuentra alguna infección, además de eliminarla notifica a Microsoft.
Aquí tenéis un gráfico con la evolución de los malwaremás populares, junto con la vulnerabilidad en la que se basan:
Y este gráfico muestra la evolución de infecciones debidas a los agujeros de seguridad responsables de más infecciones dentro de la plataforma Java:
Será discutible si desde un punto de vista teórico Java tiene o no un problema de seguridad. Desde un punto de vista práctico sí que lo tiene. Y si no que se lo digan a los aproximadamente 15 millones de equipos que se infectaron a través de Java en el período analizado por este informe.