Para organizaciones de todos los tamaños, la idea de actualizar cientos o incluso miles de máquinas porque un proveedor lo consideró necesario suena desalentador. Peor aún, muchas organizaciones desconocen que un simple descuido al actualizar sus aplicaciones o ejecutar software desactualizado puede generar errores con consecuencias comerciales catastróficas.
Sin embargo, mantener los programas han llegado al fin de su vida útil (EOL) es aún más peligroso. La ejecución de software desactualizado en redes empresariales es una de las vulnerabilidades más comunes que aumenta el riesgo de vulneración de datos de las organizaciones. Por ejemplo, aunque Microsoft advirtió que Windows 7 se retiraría en enero de 2020, una investigación reciente indicó que el 17 por ciento de los equipos de escritorio todavía ejecutan el sistema operativo en junio del 2021. Windows 7 es un sistema operativo muy preciado, por lo que no es sorprendente que las organizaciones no quieran dejar de usarlo. Sin embargo, no es tan seguro como su sucesor. Las empresas que no se adaptaron pagaron las consecuencias, dado que el 98 % de las computadoras que se vieron afectadas por el ataque de ransomware de 2017 WannaCry estaban ejecutando Windows 7.
Por este motivo, es de suma importancia que las organizaciones comprendan cómo reducir los riesgos de seguridad que plantea el software desactualizado y se preparen para actualizar las soluciones que se acercan a su fecha de EOL. Vamos a analizar con mayor profundidad por qué no se debe mantener software después de su fecha de vencimiento y describir las mejores prácticas para prepararse para los próximos anuncios de EOL.
¿Qué es el fin de la vida útil (EOL)?
El EOL ocurre cuando un fabricante decide dejar de vender, brindar soporte y aplicar revisiones a su hardware o software. Funcionalmente, el fabricante ya no considera que el software o dispositivo sea «útil» y probablemente planee lanzar un modelo más nuevo. Es posible que la empresa proporcione alguna garantía de “soporte posterior”, pero suele tener un precio elevado. A menos que el cliente pague la prima, el fabricante ya no proporcionará actualizaciones de firmware, parches o actualizaciones.
Aunque el «final de la vida útil» incluye el «final del servicio» (EOS), no son lo mismo. Los fabricantes suelen intentan alentar a los clientes a comprar nuevos productos al dejar de brindar servicios de mantenimiento o actualizaciones después de una fecha determinada. Si una solución supera su fecha de EOS, el fabricante podría seguir vendiendo el producto, pero sin brindar servicios ni soporte. Entonces, normalmente, es solo cuestión de tiempo para que se anuncie la fecha de EOL.
Estos son algunos ejemplos recientes de EOL y EOS de software:
- Skype for Business en línea (EOL: 31 de julio de 2021): Microsoft anunció recientemente el inicio de su programa de EOL para la integración de Skype for Business con proveedores de conferencias de audio de terceros.
- Windows 10 (EOL: 14 de octubre de 2025): Microsoft anunció que finalizará el soporte para Windows 10.
- Servidor de Skype for Business (EOS: 14 de octubre de 2025): Si bien Skype for Business en línea se descontinuará en el 2021, el servidor de Skype for Business se conservará con una fecha de extensión hasta el 2025.
- Adobe Flash Player (EOL: enero del 2021): En este momento, Adobe no es compatible con Flash Player (que finalizó el 31 de diciembre de 2020) y bloqueó la ejecución de contenido Flash en Flash Player a partir del 12 de enero de 2021.
Por qué el software en EOL es un riesgo de seguridad importante
Si bien puede pensar que tiene algo de tiempo antes de que deba tomar medidas cuando se anuncie una fecha de EOL, se recomienda enfáticamente que cree un plan de inmediato. Por ejemplo, cuando Microsoft anunció que finalizaría el soporte para Windows 7, muchas organizaciones tuvieron dificultades para actualizar a Windows 10. Como resultado, surgieron complicaciones para aquellos que no priorizaron la actualización. Esto se debe a que el software en EOL plantea varias amenazas de seguridad importantes si no se controla. Cuando un software desactualizado en particular, los fabricantes ya no proporcionan parches, correcciones de errores o actualizaciones de seguridad y los actores de amenazas aprovechan estos casos para acceder a redes y sistemas. Piénselo de esta manera: si su organización fuera su casa, el software desactualizado sería un sistema de seguridad obsoleto y fácilmente evitable que instaló hace 10 años.
Durante la pandemia del 2020, la transformación digital fue imperativa. Las organizaciones de todo el mundo tuvieron que descubrir cómo reorientar sus estrategias de transformación y, como resultado, el software en EOL a menudo se dejó en la lista de tareas pendientes. Sin embargo, identificar y eliminar cualquier instancia de EOL o EOS en todos los ámbitos es la única forma de garantizar que los ciberdelincuentes no aprovechen las vulnerabilidades del software descontinuado. Los piratas informáticos se han vuelto más sofisticados que nunca, y encontrar un punto débil en software en EOL es más fácil de lo que se imagina. Esta es exactamente la razón por la que su organización debe evitar darles la oportunidad a los actores de amenazas en primer lugar al descontinuar el uso de software en EOL.
Riesgos adicionales de ejecutar software desactualizado
Además de los riesgos de seguridad, la ejecución de software en EOL plantea otros problemas potencialmente importantes que las organizaciones deben considerar. Si bien puede parecer más conveniente mantener el software y el hardware hasta que dejen de funcionar, comprender todos los riesgos posibles de hacerlo puede ayudar al realizar un análisis de costo-beneficio. Estos son algunos de los riesgos que las empresas deben tener en cuenta:
- Cumplimiento: La mayoría de las regulaciones y estándares de la industria incorporan la administración de parches como requisito de cumplimiento. Las industrias reguladas están obligadas a mantener y ejecutar únicamente software/hardware actualizado y compatible.
- Compatibilidad de software: Es posible que los sistemas operativos obsoletos no puedan ejecutar software más reciente.
- Rendimiento y confiabilidad: Es más probable que la tecnología más antigua funcione con lentitud o deje de funcionar por completo, lo que se traduce en pérdida de productividad.
- Costos: Los equipos de TI gastan más dinero y tiempo tratando de reparar, asegurar y mantener la tecnología en EOL a lo largo del tiempo de lo que costaría una nueva compra.
A pesar de estos riesgos, es común que las organizaciones esperen hasta el último momento posible para actualizar su hardware o software en EOL. Además, los actores de amenazas conocen las vulnerabilidades de seguridad del software desactualizado y los dispositivos en EOL y continuarán aprovechándolas en sus ataques. Cada día que el fabricante no proporciona un parche de seguridad es otro día que los actores malintencionados pueden encontrar nuevas vulnerabilidades.
Una vez que un fabricante anuncia que uno de sus productos o servicios se acerca al fin de su vida útil, su empresa debe comenzar a crear de inmediato un plan para reemplazar la tecnología que pronto como descontinúe. Generalmente, esto significa lo siguiente:
- Revisar el estado actual: Realice un análisis de inventario de activos y comprenda todas las dependencias del sistema.
- Buscar opciones: Compare diferentes modelos de suscripción y opciones de reemplazo.
- Planear una estrategia: Decida qué necesita reemplazar primero y busque las actualizaciones adicionales necesarias.
¿Cómo puede reforzar la seguridad si su tecnología ya pasó la fecha de EOL?
Una vez que un fabricante ya no admite o vende cierto software o hardware, su riesgo de seguridad general aumentará día a día. Esto significa que debe acelerar su proceso de planificación. Sin embargo, actualizar sus soluciones le tomará tiempo, lo que significa que correrá un riesgo enorme hasta que se complete su iniciativa.
Para reducir su riesgo, comience por realizar de inmediato a una prueba de penetración, que ayudará a su organización a comprender si sus controles de seguridad son efectivos o si necesita mejorar su postura de seguridad. Luego, puede proporcionar soluciones temporales para estas vulnerabilidades de seguridad mientras trabaja para actualizar su patrimonio más grande.
Es posible que se sienta sorprendido y abrumado por un anuncio de EOL, ya que probablemente requiera que su organización reoriente completamente todo su patrimonio de software. Sin embargo, no se demore en hacer un plan tan pronto como escuche el anuncio. Con acciones proactivas, podrá trazar un rumbo a seguir claro para garantizar la seguridad, el cumplimiento y el rendimiento continuos. Y si se puede adelantar a las fechas de EOL, toda su organización se beneficiará.
Con información de SoftwareOne