Java de Oracle presenta el mayor riesgo de seguridad para equipos de escritorio en Estados Unidos, según un nuevo informe de la empresa de seguridad Secunia ApS con sede en Copenhague, debido a su taza de penetración, número de vulnerabilidades y al estado de los parches.

Según el informe, el 48% de los usuarios no han instalado las últimas versiones corregidas.

"Esto no se debe a que Java es más difícil de parchar, sino que el programa tiene un alta cuota de mercado y a la negligencia por parte de los usuarios para actualizar el programa a pesar de que esté disponible el parche", dijo Kasper Lingaard, director de investigación y seguridad en Secunia.

Había 119 nuevas vulnerabilidades identificadas en Java en el último año y el software se encuentra instalado en el 65% de las computadoras, según el informe.

El documento recoge la información de millones de usuarios a través del software de gestión de parches de Secunia, por lo que en realidad pueden existir vulnerabilidades no consideradas para el reporte.

"Los usuarios que tienen la conciencia de seguridad suficiente para instalar un programa de gestión de parches pueden suponer que tienen un alto nivel de seguridad, en comparación con el usuario medio de PC", dijo Lingaard.

Apple Quicktime 7.x estaba en segundo lugar con 14 nuevas vulnerabilidades, 57% de penetración en equipos de escritorio y un 44% sin actualizar.

Otras aplicaciones que se encuentran entre los primeros diez de la lista incluyen a Adobe Reader 10.x y 11.x, Microsoft .NET Framework 2.x, 3.x y 4.x, 2.x, VLC Media Player, Internet Explorer, Microsoft 11.x y XML Core Services 3.x.

Internet Explorer tenía la mayoría de las vulnerabilidades, 248, un incremento respecto al año pasado, cuando ni siquiera aparecía en la lista de los primeros diez.

"Es demasiado pronto para concluir si se trata de un signo malo o bueno", dijo Lingaard. Por ejemplo, el aumento de las vulnerabilidades podría deberse a que Microsoft está prestando más atención a la seguridad de su navegador; y que podría ser el resultado del programa de recompensas de la versión previa de Internet Explorer 11.

Según el informe, el 47% de las vulnerabilidades del año pasado se debieron a programas de Microsoft, el 47% por software de terceros y el 6% restante en el sistema operativo.

En promedio las computadoras tenían 76 programas diferentes instalados de 27 proveedores distintos, el 41% de los cuales eran programas de Microsoft y el 59% restante eran de otros proveedores.

Los programas de terceros eran dos veces más propensos a no estar actualizados, de 11.6% a 5.2%, porque cada uno tiene un proceso de actualización diferente. Los programas de Microsoft, sin embargo, se pueden actualizar a través de un único mecanismo.

Además, el 12.9% de los usuarios tienen un sistema operativo sin actualizar y el 5.7% de las aplicaciones no tienen parches disponibles, ya que han pasado su fecha de vida útil. Por ejemplo, Adobe Flash 15 es un programa cuya fecha de fin de ciclo ya expiró, pero está instalado en el 73% de los equipos.

Si bien el informe sólo cubre a los ordenadores privados, los datos podrían aplicarse a algunos entornos empresariales, dijo Lingaard.

"No hay ninguna razón para suponer que el estado de los parches es diferente en los dispositivos de los usuarios finales de los corporativos que no son rigurosamente controlados y actualizados por el equipo de TI", dijo.

Además de los EE.UU., Secunia también publicó informes individuales para once países europeos, además de Arabia Saudita, Australia y Nueva Zelanda, los resultados variaron ligeramente debido a la geografía. Por ejemplo, el porcentaje de sistema operativo sin actualizar se mantuvo entre un mínimo de 8.1% en los Países Bajos y un máximo de 17.2% en Arabia Saudita.