Cuando Oracle compró Sun Microsystems en 2010, la empresa adquirió también Java. Desde entonces ha publicado numerosas actualizaciones de seguridad para el software con el fin de eliminar vulnerabilidades. Según la FTC, la empresa en reiteradas oportunidades aseguró que las actualizaciones darían mayor seguridad y protección al sistema.
Durante el proceso de actualización, Oracle obvió en gran medida a informar a los usuarios que la actualización de Java SE únicamente desinstalaba automáticamente la versión más reciente del software. Por lo tanto, las versiones anteriores de Java, que también estén instaladas en la computadora, no eran eliminadas durante la actualización.
Asimismo, ninguna versión de Java SE fue eliminada automáticamente del sistema antes de la que la compañía publicase Java SE versión 6, actualización 10.
Lo anterior implica que los usuarios que procuraron instalar las actualizaciones más recientes de Java, de todas formas podían tener instalada en sus sistemas una versión antigua, y altamente vulnerable, sin siquiera saberlo.
Según la FTC, en 2011 ya había un memorando interno en Oracle según el cual el mecanismo de actualización no funcionaba adecuadamente, a la vez que la empresa sabía que había ataques dirigidos específicamente a versiones anteriores de Java. Sólo en 2014 la empresa activó un mecanismo de actualización para Java SE que también eliminaba las versiones antiguas, aparte de la más reciente instalada en el sistema.
El acuerdo extrajudicial no implica sanción alguna contra Oracle. Sin embargo, exige que la empresa a partir de ahora notifique a los usuarios que tengan versiones antiguas de Java SE instalada en sus sistemas, informándole sobre el riesgo que esto conlleva, y ofreciéndoles herramientas que les permitan eliminar estas versiones obsoletas.
Asimismo, la entidad gubernamental exigió a la empresa difundir una notificación en redes sociales y en su propio sitio, donde se informe sobre el acuerdo extrajudicial y sobre la forma en que los usuarios puedan eliminar las versiones antiguas de Java.
“Cuando el software de una empresa está instalado en cientos de millones de computadoras, es importante que sus declaraciones sean fidedignas y que sus actualizaciones de seguridad de hecho den seguridad al software”, explicó Jessica Rich, directora de la oficina de protección al consumidor en FTC. “El acuerdo extrajudicial con FTC requiere que Oracle proporcione a los usuarios de Java las herramientas y la información que necesitan para proteger sus computadoras”.
