A principios del 2021, Adobe Flash nos dejó oficialmente. Algunos aficionados de los viejos juegos para navegador se pusieron sentimentales, pero la mayoría de los expertos en ciberseguridad respiraron aliviados viendo como el mundo se preparaba para vivir sin esta distinguida y, afortunadamente, ya inexistente, tecnología.
Pero ¿está realmente preparado el mundo para una vida sin Adobe Flash? Resulta que, a pesar del aviso de Adobe con años de antelación, no todos se cambiaron a otras herramientas. Además, algunos nigromantes tecnológicos han comenzado a idear métodos para sacar a esta tecnología de su tumba. Ahora, mes y medio después de la desactivación, echamos un vistazo al mundo para ver cómo se las arregla (o no) sin Adobe Flash.
Una vía férrea en Dalian
Sigue resultando controvertido lo que le sucedió en enero a una línea ferroviaria en Dalian, China. Los testimonios sobre la gravedad del incidente difieren, pero todos coinciden en algo: el fin del contenido basado en Flash provocó la avería. A pesar de la fecha oficial en el certificado de defunción, el 1 de enero, Adobe extendió su período de gracia concediendo a los usuarios 11 días más para despedirse de Flash. Francamente, es incomprensible que alguien siguiera haciendo uso de Flash el 12 de enero, pero ese día, algunos sistemas de la ferrovía de Dalian aún usaban la plataforma.
No queda claro si Flash causó la interrupción de los viajes y qué sistemas estaban involucrados, pero esa no es la cuestión. Los medios mencionaron problemas con las comunicaciones y la expedición de billetes. Básicamente, los funcionarios negaban el problema. En cualquier caso, el equipo de soporte técnico empleó todos los medios y logró que Adobe Flash funcionara en los ordenadores de las estaciones de toda la línea, lo que restableció las operaciones del sistema. Ahora Adobe Flash está activado y en funcionamiento, y en ese sentido todo ha vuelto a la normalidad.
Desde una perspectiva de seguridad de la información, este logro no merece elogios. Una infraestructura crítica está utilizando (aunque no para tareas críticas) una tecnología que ha quedado obsoleta.
Otro asunto diferente, aunque relacionado, es el hecho de que muchas empresas implementen las actualizaciones poco a poco, ya que las buenas prácticas apoyan el ensayo de las actualizaciones en una máquina de un ambiente de prueba aislado. Quizás la ferroviaria de Dalian implementó esta práctica, pero lo desconocemos. La cuestión es que los protocolos de actualización no son el problema. Adobe no actualizó Flash el 12 de enero; lo mató. Hace tiempo que se escribió el código del interruptor de apagado, antes de la última actualización (que fue el 8 de diciembre). Además, un parche hubiera funcionado bien en cualquier ambiente de prueba.
Pensándolo bien, quizás insertar un interruptor de apagado retardado no es la mejor práctica para desactivar una tecnología de un uso tan extendido.
Una oficina tributaria en Sudáfrica
El Servicio Tributario de Sudáfrica es el responsable de la recaudación de impuestos del país, y muchas de las declaraciones se presentan de forma online. El mismo 12 de enero, el servicio tributario se percató de que sus formularios web estaban diseñados en Adobe Flash.
En vez de extender la fecha límite para la declaración de impuestos y volver a escribir el código de los formularios en una nueva tecnología, el servicio tributario decidió lanzar un navegador personalizado compatible con Adobe Flash. Ahora, los contribuyentes sudafricanos deben usar esta tecnología sin soporte para presentar información financiera confidencial.
El gobierno sudafricano no creó un navegador de la nada. Utilizó una versión simplificada de Chromium que proporciona acceso a un solo sitio web. Como medida temporal, no hay vidas en riesgo; pero no sabemos si el departamento tiene pensado actualizar el navegador.
Este programa existe solo para Windows, por lo que los usuarios de otros sistemas operativos tendrán que buscar formas alternativas de ejecutar el contenido Flash, lo cual puede resultar peligroso. Esperamos que la solución sea temporal y que la agencia tributaria acabe eliminando el uso de Flash.
Soluciones
Existen métodos alternativos para la ejecución de Flash. Y lo peor es que existe una amplia demanda, y no solo entre los aficionados a los juegos basados en Flash. Algunas empresas bastante grandes aún confían en esta tecnología para algunos servicios (a menudo para los que son internos). Si buscas “cómo ejecutar Flash después del 2021”, encontrarás un montón de enlaces con indicaciones que, para ser claros, no deberías seguir.
Por ejemplo, una opción es instalar una versión de Flash Player anterior al interruptor de apagado. Aunque Adobe eliminó de su sitio web los enlaces a las versiones antiguas del programa, existen sitios no oficiales que los ofrecen. Para empezar, esto ya debería resultar preocupante, porque usar versiones antiguas de cualquier software es peligroso, pero descargar software de fuentes no oficiales incrementa aún más los riesgos. ¿Quién sabe lo que pueden haber añadido unos actores sin escrúpulos al paquete de instalación?
Algunos usuarios han publicado una serie de instrucciones para neutralizar el interruptor de apagado integrado, lo que permite mostrar parte del contenido Flash.
Otros consejos parecen mostrar más prudencia. Por ejemplo, muchas extensiones de navegador están basadas en Ruffle, un emulador de Flash Player que usa tecnologías modernas de sandboxing. Además, Ruffle está escrito en lenguaje Rust, cuya base de seguridad de memoria neutraliza los problemas y vulnerabilidades de Flash, de acuerdo con los creadores de Ruffle.
Suena bastante bien. Sin embargo, ten en cuenta que Ruffle es un proyecto de código abierto coordinado por un grupo de entusiastas. Queda por ver si su entusiasmo será suficiente. Ruffle podría albergar vulnerabilidades propias que alguien podría arreglar o no.
También han aparecido soluciones especializadas en empresas. Por ejemplo, Harman firmó un contrato exclusivo con Adobe para construir y dar soporte a los navegadores con Flash en las empresas que no aún no están listas para decir adiós a la herramienta.
Qué puedes hacer si necesitas Flash
Si la vida sin esta tecnología te resulta insoportable, te aconsejamos lo siguiente:
- Piénsalo dos veces. Ahora bien, ¿has pensado en actualizar tu contenido web?
- Usa un ambiente virtual para ejecutar viejas versiones y soluciones improvisadas, pero solo si es indispensable.
- Instala una solución de seguridad para detectar los intentos de explotación de vulnerabilidades, aunque tu solución improvisada parezca segura.