El ataque a Hacking Team que se produjo el pasado julio confirmó que Adobe Flash es uno de los objetivos preferido por los ciberdelincuentes, ya que como parte de la información publicada, había diversas vulnerabilidades y exploits. Seguro que no les sorprende. Poco después de la filtración de los datos, ESET divulgó que tras la filtración de datos de Hacking Team detectó que el grupo de ciberespionaje Sednit, también conocido como APT28 había comenzado a utilizar uno de los exploits publicados.
La empresa de seguridad ESET determinó que en el ataque las víctimas recibían un correo dirigido con un enlace que no apuntaba a un dominio legítimo, y que al ser abierto ejecutaba un código JavaScript encargado de recopilar información del equipo atacado. Esto permitía identificar características del sistema y su “aptitud” para ser atacado. Si cumplía con determinados parámetros específicos, se enviaba el archivo bajo el nombre de “flash_video_x86.swf”, que contenía el exploit. El resto ya lo conocen: tras explotar la vulnerabilidad, se realizaba el envío de un backdoor que permitía escalar privilegios, y se pueden imaginar el resto. El análisis realizado por ESET concluyó que se trataba de los mismos exploits publicados en los datos filtrados de Hacking Team con algunos cambios.
Todo lo anterior, además de diversos problemas de seguridad que han aparecido desde hace varios años con Adobe Flash, provocaron que el lunes 8 de Julio Mozilla decidiera bloquear Flash en su navegador Firefox. Por su parte, Google bloquea el plugin hasta que el usuario instala la ultima versión del navegador que cuenta con los parches que corrigen las vulnerabilidades. Por su parte, el jefe de seguridad de Facebook pidió una fecha de finalización para Adobe Flash, lo que lleva a pensar que la red social dejará de utilizarlo en pocos meses. Estas acciones se suman a las decisiones tomadas por Apple y Android hace algunos años. La compañía de la manzana decidió en 2010 no permitir el uso de Flash en los dispositivos IOS y Android hizo lo mismo unos años después a partir de la versión 4.4 (KitKat). En ambos casos las razones alegadas fueron los problemas de seguridad, aunque no podemos descartar que hubiese razones de índole corporativo.
La guerra contra Flash la inició Apple y cinco años después siguen apareciendo graves problemas de seguridad; si nos basamos en su historial, probablemente aparecerán nuevas vulnerabilidades en el futuro. Con cada nuevo problema de seguridad que se descubre, más empresas se suman a la petición de “descontinuar” el producto, dejan de utilizarlo o directamente lo bloquean.
Si se decide continuar funcionando con el producto activado, es imprescindible aplicar las actualizaciones de Flash publicadas por Adobe o mejor, configurar la opción para permitir que Adobe instale automáticamente las actualizaciones. También es necesario mantener actualizados los navegadores, el sistema operativo y el antivirus y no abrir correos sospechosos o de usuarios desconocidos.
Pero como también es posible vivir sin Flash sin que navegar sea un infierno, para deshabilitarlo podemos hacer lo siguiente:
- Chrome: Teclear chrome://plugins en la barra de direcciones, buscar Adobe Flash Player y deshabilitarlo.
- Firefox: Ir a Firefox/herramientas, complementos, plugins, elegir Shockwave Flash y elegir No activar Nunca.
- Internet Explorer: Ir a Herramientas, Administrar complementos, Barra de herramientas y extensiones, buscar Shockwave Flash Object y deshabilitarlo.
- Safari: Ir a Preferencias, Seguridad, Módulos de Internet – Ajustes de sitios web, y en Adobe Flash Player en la listas de sitios elegir Bloquear y en Al visitar otros sitios web elegir Bloquear.
¿Está cerca el final para Adobe Flash? No lo sabemos, en realidad. HTML5 no está extendido y tardará aún un tiempo en estarlo, y Flash tiene una presencia muy importante en Internet que no será fácil de reducir.
Hasta entonces, tengan cuidado.