¿Qué debo hacer cuando veo un mensaje de seguridad de Java?
Este artículo se aplica a:
- Versiones de Java: 7.0, 8.0
Java 7 Update 21 introduce cambios en el comportamiento del plugin del explorador Java que le permiten tomar decisiones mejor documentadas antes de ejecutar el applet de Java en el explorador. Un mensaje de seguridad le pedirá su confirmación antes de permitir la ejecución de contenido Java en el explorador. Los usuarios, desarrolladores y administradores del sistema que necesiten más información técnica pueden consultar los vínculos que aparecen al final de este artículo.
Niveles de riesgo
Los mensajes que aparecen aquí dependen de distintos factores de riesgo como el uso de versiones antiguas de Java o la ejecución de códigos de applet que no estén firmados por una autoridad de certificación de confianza. En el caso de las aplicaciones que suponen menor riesgo, el mensaje aparece a título informativo. Esto incluye la opción de impedir que se muestren mensajes similares para las aplicaciones del mismo publicador en el futuro.
En esta página se describen los mensajes que le ayudarán a entender el riesgo de ejecutar el applet de Java.
| Los mensajes de la aplicación Java que incluyen estas imágenes presentan un menor riesgo de seguridad. | ||
|---|---|---|
 |
Logotipo de Java o logotipo de los publicadores | Representa una aplicación que se identifica mediante un certificado válido de una autoridad de certificación (CA) de confianza. Consulte las siguientes secciones para obtener más información |
|
Escudo de información azul | Indica que la aplicación se puede identificar mediante un certificado válido y hay más información disponible. |
| Los mensajes de las aplicaciones Java que incluyen estas imágenes presentan un mayor riesgo de seguridad y no se deben ejecutar. | ||
|---|---|---|
|
Triángulo de advertencia de color amarillo | Representa una aplicación que no se puede identificar porque el certificado no es de confianza o está caducado. Consulte las siguientes secciones para obtener más información |
|
Escudo de advertencia amarillo | Indica que la aplicación no está firmada y/o el certificado no es válido. La información de identificación proporcionada por el certificado no debe ser de confianza. |
» Más información sobre los cambios de código firmado
Aplicación Java con un certificado de una autoridad de confianza
Las aplicaciones de este tipo son normalmente de bajo riesgo . Este cuadro de diálogo representa la aplicación con certificado válido de una autoridad de confianza.Qué debemos buscar:
- Nombre del publicador: Mostrado
- Iconos mostrados: logotipo de Java o proveedor y escudo de información azul
Puede ver variaciones del cuadro de diálogo en función de la forma de desplegar la aplicación.
» Más información sobre otros cuadros de diálogo de certificados firmados de confianza
Pasos:
- Verifique la información de ubicación, publicador o nombre que se muestra en el cuadro de diálogo. Le recomendamos que pulse Cancelar si algunos de los datos no coinciden.
| El mensaje que aparece en el cuadro de diálogo será diferente en función de las solicitudes de aplicación: | |
|---|---|
| Acceso sin restricciones (con privilegios) | Esta aplicación se ejecutará sin restricción de acceso al sistema, lo que puede suponer un peligro para su computadora y su información personal. Ejecute la aplicación sólo si confía en el publicador y la ubicación. |
| Acceso limitado (sandbox) | La aplicación se ejecutará con acceso limitado al sistema, lo que está pensado para proteger su computadora y su información personal. |
Aplicación Java sin certificado (sin firma)
A partir de Java 7 Update 51, las aplicaciones sin certificado (es decir, aplicaciones sin firma), o a las que les falte la información de nombre o de editor de la aplicación se bloquearán por defecto. Ejecutar este tipo de aplicaciones será potencialmente no seguro y supondrá mayor nivel de riesgo. .Qué debemos buscar:
- Título del cuadro de diálogo: Aplicación bloqueada o aplicación Java bloqueada (Java 8)
- Nombre de publicador: No se muestra ningún publicador
- Título del mensaje: Aplicación bloqueada por configuración de seguridad o aplicación bloqueada por seguridad de Java (Java 8)
- Mensaje: Su configuración de seguridad ha impedido la ejecución de una aplicación no de confianza
Por seguridad, para poder ejecutar una aplicación deberá cumplir los requisitos de configuración de seguridad Alta o Muy alta o estar incluida en la lista de excepción de sitios (8u20 y superior).
Pasos:
Se recomienda no ejecutar este tipo de aplicación. Aun así, si entiende el riesgo y desea seguir ejecutar la aplicación, puede agregar la URL de esta aplicación a la lista de excepciones de sitios del separador Seguridad del panel de control de Java. Si agrega esta URL de aplicación a esta lista, podrá ejecutarla tras la aparición de algunas advertencias de seguridad.
» Cómo gestionar y configurar la lista de excepción de sitios
Aplicación Java con un certificado caducado de una autoridad de confianza
Las aplicaciones de este tipo presentan un nivel de riesgo moderado porque el publicador no ha renovado el certificado.Qué debemos buscar:
- Título del cuadro de diálogo: Aplicación bloqueada o aplicación Java bloqueada (Java 8)
- Título del mensaje: Aplicación bloqueada por configuración de seguridad o aplicación bloqueada por seguridad de Java (Java 8)
- Advertencia: Su configuración de seguridad ha impedido la ejecución de una aplicación firmada con un certificado caducado o aún no válido para su ejecución
Por seguridad, para poder ejecutar una aplicación deberá cumplir los requisitos de configuración de seguridad Alta o Muy alta o estar incluida en la lista de excepción de sitios (8u20 y superior).
.jpg)
Puede que el cuadro de diálogo sea distinto si ejecuta una versión antigua de Java.
Qué hacer:
Se recomienda no ejecutar este tipo de aplicación. Aun así, si entiende el riesgo y desea seguir ejecutar la aplicación, puede agregar la URL de esta aplicación a la lista de excepciones de sitios del separador Seguridad del panel de control de Java. Si agrega esta URL de aplicación a esta lista, podrá ejecutarla tras la aparición de algunas advertencias de seguridad.
» Cómo gestionar y configurar la lista de excepción de sitios
| El mensaje que aparece en el cuadro de diálogo será diferente en función de las solicitudes de aplicación: | |
|---|---|
| Acceso sin restricciones (con privilegios) | Esta aplicación se ejecutará sin restricción de acceso al sistema, lo que puede suponer un peligro para su computadora y su información personal. La información proporcionada no es fiable o es desconocida por lo que no se recomienda ejecutar esta aplicación a menos que conozca su origen |
| Acceso limitado (sandbox) | La aplicación se ejecutará con acceso limitado al sistema, lo que está pensado para proteger su computadora y su información personal. |
Aplicación Java con un certificado de un origen que no es de confianza
A partir de Java 7 Update 51, las aplicaciones con certificados autofirmados aparecen bloqueadas por defecto. . Las aplicaciones de este tipo presentan el mayor nivel de riesgo porque el publicador no está identificado y la aplicación puede que tenga derecho de acceso a datos personales guardados en la computadora.
Qué buscar:- Título del cuadro de diálogo: Aplicación bloqueada o aplicación Java bloqueada (Java 8)
- Nombre de publicador: No se muestra ningún publicador
- Título del mensaje: Aplicación bloqueada por configuración de seguridad o aplicación bloqueada por seguridad de Java (Java 8)
- Mensaje mostrado: Su configuración de seguridad ha impedido la ejecución de una aplicación autofirmada
Por seguridad, para poder ejecutar una aplicación deberá cumplir los requisitos de configuración de seguridad Alta o Muy alta o estar incluida en la lista de excepción de sitios (8u20 y superior).
.jpg)
Pasos:
Se recomienda no ejecutar este tipo de aplicación. Aun así, si entiende el riesgo y desea seguir ejecutar la aplicación, puede agregar la URL de esta aplicación a la lista de excepciones de sitios del separador Seguridad del panel de control de Java. Si agrega esta URL de aplicación a esta lista, podrá ejecutarla tras la aparición de algunas advertencias de seguridad.
» Cómo gestionar y configurar la lista de excepción de sitios
Comprobación de revocación para aplicaciones Java
A partir de Java 7u25, antes de intentar iniciar una aplicación Java, se validará el certificado de firma en la autoridad de emisión de la certificación mediante las listas de revocaciones de certificados (CRL) y Online Certificate Status Protocol (OCSP) para comprobar que la autoridad de emisión de la certificación no ha revocado el certificado utilizado para firmar la aplicación.Esta función protegerá los sistemas del usuario final de desarrolladores no autorizados que anteriormente han utilizado certificaciones robadas o certificaciones adquiridas de forma ilícita para firmar aplicaciones. Antes de ejecutar cualquier aplicación desplegada web con Java 7u25 (y versiones posteriores), se intentará contactar con la autoridad de certificación para comprobar el estado de revocación para ayudar a protegerse frente a certificados robados o afectados.
Qué buscar:
La comprobación de revocación puede devolver diferentes mensajes según la comprobación:
- El certificado se ha revocado
- Error al validar el certificado
- No se ha podido conectar con la autoridad de certificación
El certificado se ha revocado. La aplicación no se ejecutará.
Este cuadro de diálogo se muestra al ejecutar una aplicación con un certificado que ha sido revocado por la autoridad de certificación (CA). Este caso presenta el nivel de riesgo más alto. La aplicación no se ejecutará porque puede provenir de un origen no autorizado.
Error al validar el certificado. La aplicación no se ejecutará.
Este cuadro de diálogo se muestra al ejecutar una aplicación con un certificado que no puede validar la autoridad de certificación (CA). Se muestra si ha establecido el nivel de seguridad en Muy Alto en el panel de control de Java y el certificado no se puede validar.
No se ha podido conectar con la autoridad de certificación
Este cuadro de diálogo se muestra cuando se produce un error en la red y no se puede acceder a la autoridad de certificación (CA) para validar el certificado. En este caso, normalmente es seguro ejecutar la aplicación porque sus acciones estarán limitadas, pero es posible que sigan presentando un nivel de riesgo moderado. Le recomendamos que haga clic en Cancelar si no está familiarizado con el publicador del sitio que está visitando.» Puede obtener más información sobre las opciones de configuración de revocaciones en el panel de control de Java.
INFORMACIÓN TÉCNICA ADICIONAL
- Puede obtener más información a los avisos de seguridad en la sección Preguntas frecuentes sobre firma de código.
- Los desarrolladores y administradores del sistema deben consultar el artículo sobre firma de códigos para Web Start y applet de Java. (OTN)