He pasado la mayor parte del último mes realizando un pequeño experimento para ver cuánto echaría de menos el inseguro y defectuoso software Flash Player de Adobe si lo eliminara por completo de mis sistemas. Resulta que no tanto.
Los plugins de los navegadores son los objetivos favoritos del malware y de los malhechores porque generalmente están llenos de agujeros de seguridad no parcheados o no documentados que los ciberdelincuentes pueden utilizar para hacerse con el control total de los sistemas vulnerables. El plugin de Flash Player es un ejemplo estelar de ello: Es uno de los plugins de navegador más utilizados, y requiere parches mensuales (si no con más frecuencia).
Tampoco es raro que Adobe publique correcciones de emergencia para el software con el fin de parchear fallos que los malos empezaron a explotar antes incluso de que Adobe conociera los errores. Esto ocurrió recientemente en febrero de 2015, y dos veces el mes anterior. Adobe también envió correcciones de Flash fuera de banda en diciembre y noviembre de 2014.
Actualización, 11:30 a.m. ET: Curiosamente, Adobe acaba de publicar un parche fuera de banda para corregir un fallo de día cero en Flash.
Historia original:
Hace tiempo, el plugin Java de Oracle era el objetivo favorito de los kits de explotación, herramientas de software hechas para ser cosidas en sitios hackeados o maliciosos e imponer a los navegadores visitantes un fregadero de cocina de exploits para varias vulnerabilidades del plugin. Últimamente, sin embargo, parece que el péndulo ha vuelto a inclinarse a favor de los exploits para Flash Player. Un popular kit de exploits conocido como Angler, por ejemplo, incluyó un nuevo exploit para una vulnerabilidad de Flash apenas tres días después de que Adobe la corrigiera en abril de 2015.
Así que, en lugar de continuar con la locura de los parches y mantener este software inseguro instalado, decidí retirar el… er… plugin. Suelo (ab)usar diferentes navegadores para diferentes tareas, por lo que desinstalar el plugin fue casi tan sencillo como desinstalar Flash, excepto con Chrome, que incluye su propia versión de Flash Player. No temas: desactivar Flash en Chrome es bastante sencillo. En una instalación de Chrome en Windows, Mac, Linux o Chrome OS, escribe «chrome:plugins» en la barra de direcciones y, en la página de plugins, busca la lista de «Flash»: Para desactivar Flash, haz clic en el enlace de desactivación (para volver a activarlo, haz clic en «activar»).
En casi 30 días, sólo me encontré con dos casos en los que me encontré con un sitio que albergaba un vídeo que necesitaba absolutamente ver y que requería Flash (un vídeo de instrucciones para un gimnasio en casa que no pude encontrar en ningún otro sitio, y una audiencia legislativa transmitida en directo). En estos casos, opté por hacer trampa y cargar el contenido en un navegador habilitado para Flash dentro de una máquina virtual Linux que tengo funcionando dentro de VirtualBox. En retrospectiva, probablemente habría sido más fácil simplemente volver a activar temporalmente Flash en Chrome, y luego desactivarlo de nuevo hasta que surgiera la necesidad. Continue reading →