Los riesgos de dirigir una OS al final de la vida - y cómo gestionarlos
- EOL operating systems no longer receive critical security updates, leaving them highly vulnerable to evolving cybersecurity threats.
- End-of-life OSs often struggle to run modern software and hardware, resulting in compatibility issues, reduced performance, and lower productivity.
- Organizations using EOL systems face increased legal and financial risks due to non-compliance with regulations and the high costs associated with maintaining outdated technology.
Es imposible evitar los cambios tecnológicos: por definición, la tecnología siempre avanza. Y eso suele ser una gran noticia, pero mantenerse al día de los cambios puede ser otra historia.
El cambio constante significa que la tecnología tiene una vida útil limitada. Sí, se puede seguir utilizando algo más allá de su vida útil, pero hacerlo tiene consecuencias. En el caso del software al final de su vida útil (EOL), las consecuencias incluyen inestabilidad, alto mantenimiento y, por supuesto, enormes riesgos de seguridad.
In this article, we explain what end-of-life software is, why organizations should never rely on an end of life OS, and how third-party support can help.
Software Has an End of Life Too
Los proveedores de software lanzan constantemente nuevas versiones. Las nuevas funciones, las correcciones de errores, etc., se incluyen en una nueva versión. Al mismo tiempo, el proveedor seguirá dando soporte a la versión anterior, incluyendo actualizaciones de seguridad si es necesario.
Esto ocurre con todo, desde el software de productividad hasta los sistemas operativos.
Sin embargo, un proveedor no puede dar soporte indefinidamente a una versión antigua de su software. Imagínese intentar dar soporte a un sistema operativo que tiene treinta años. Es posible, pero supondría un enorme gasto de recursos y no tendría sentido.
To limit the resources spent on supporting an OS, vendors set end-of-life dates for an operating system, after which official support – including fixes for security vulnerabilities – stops. At some point, every piece of software, including operating systems, reaches a point called End of Life (EOL). While some open-source Linux distributions have extended support cycles or community-driven updates, most operating systems eventually reach their EOL.
And this is a major hazard for any users who are still relying on the old release. Yes, things can simply stop working once software reaches end of life – but that’s just a small part of the risk. The major problem with an end-of-life OS comes down to security. If the vendor no longer releases patches for security vulnerabilities, the user simply can’t keep their system patched and will be relying on vulnerable software.
Desgraciadamente, a pesar del riesgo, es habitual que las empresas sigan dependiendo de un sistema operativo que ya no recibe soporte, simplemente porque la alternativa de actualizar o cambiar a otro sistema operativo es demasiado cara o incómoda.
El caso en cuestión: WannaCry y el fin de la vida útil de Windows
Relying on end-of-life software is more common than you’d think, and it can even happen under mission-critical scenarios. But an end-of-life OS presents opportunities for cybercriminals. An OS that’s no longer supported will have known vulnerabilities, and because support has ended… good luck finding a patch.
In turn, threat actors rely on known vulnerabilities to attack a business. Companies that rely on an end-of-life operating system are at risk of malware attacks that lead to service disruption, data loss, or worse.
That’s exactly what happened in May 2017. A massive cyberattack occurred where the WannaCry exploit was used to target hundreds of thousands of companies that were still using Windows XP – an operating system that had reached end of life three years earlier in 2014.
Las empresas que aún utilizaban Windows XP no recibieron los boletines de seguridad de Microsoft y nunca instalaron el parche que corregía una vulnerabilidad de Windows de hacía meses llamada EternalBlue. (La vulnerabilidad era tan peligrosa que Microsoft lanzó un parche de emergencia para Windows XP, a pesar de que Windows XP había llegado al final de su vida útil en ese momento).
Este fue sólo un ejemplo de una vulnerabilidad en un sistema operativo en desuso que fue explotada con éxito.
So, What Are the Risks of an End of Life OS?
There are “valid” reasons for using an end-of-life operating system, and we’ll talk about these in a later section. But, even where companies have a good reason for keeping an unsupported OS in place, the risks are significant – and almost always outweigh the benefits or any other rationale of using an EOL operating system.
Cumplimiento y riesgos jurídicos
Dado que la ciberseguridad es un problema tan desalentador, numerosos regímenes legales y de cumplimiento ayudan a garantizar que las empresas cumplan unas normas mínimas de seguridad de los datos para mantener a salvo a clientes y consumidores.
Es habitual que estos requisitos incluyan una declaración sobre el soporte oficial del proveedor para el software, y una declaración que considera no conforme la dependencia de software que ha llegado al final de su vida útil. El incumplimiento puede acarrear fuertes sanciones económicas.
Companies that deploy an end-of-life OS risk everything from fines to an outright ban on operating in their industry. They can have a problematic situation if a security breach were to occur. Where it can be proven that an attack succeeded because of negligence, through the use of end-of-life software without vendor support, for example, companies may also be at the sharp end of legal proceedings because those impacted by the breach can seek redress.
Soluciones obsoletas e incompatibles
Ya hemos dicho que la tecnología avanza rápidamente. Las empresas que aprovechan las últimas tecnologías se benefician de muchas maneras. Por ejemplo, ofreciendo mejores productos y prestaciones a sus clientes y una mejor experiencia a sus empleados.
EOL software is, by definition, outdated software that’s likely missing a range of the latest features and benefits. Aside from leaving technology solutions in the slow lane, outdated software produces a further problem: a lack of compatibility. By relying on an EOL OS, companies risk running into compatibility problems, which will have a growing impact as time moves on.
Problemas de fiabilidad
One of the impacts of incompatible software is an issue with reliability. At some point in time, the technology around the end-of-life product will be upgraded. That makes the end-of-life operating system out of step with the rest of the solution.
Esto provocará problemas de fiabilidad, ya que los vendedores codificarán teniendo en cuenta una determinada expectativa funcional, sólo para que el software EOL carezca de la funcionalidad requerida. En otras palabras, una simple actualización de un componente de software por parte del proveedor puede romper una solución debido a un sistema operativo obsoleto.
Costes crecientes
También hay que tener en cuenta que el software al final de su vida útil, incluido un sistema operativo al final de su vida útil, puede representar una falsa economía. Sí, las empresas pueden ahorrar dinero retrasando una actualización, pero la carga de mantenimiento del software que llega al final de su vida útil aumentará con el tiempo, ya que habrá que encontrar soluciones personalizadas para solucionar los problemas cuando el soporte del proveedor deje de funcionar.
For instance, IT support teams may spend excessive time troubleshooting issues related to the outdated system.
Similarly, an end-of-life OS can lead to reliability problems that drive up costs. Worse, as suggested above, outdated software can lead to compliance and legal problems that may lead to incredibly expensive fines.
Riesgos de seguridad
Por último, abordamos el mayor problema de confiar en software que ha llegado al final de su vida útil: los importantes riesgos de seguridad que implica el uso de software que ya no recibe soporte. Por definición, los sistemas operativos que han llegado al final de su vida útil no reciben correcciones de seguridad ni actualizaciones del fabricante original, que protegerían a los usuarios frente a vulnerabilidades conocidas.
En cambio, estos riesgos de seguridad serán conocidos por el público, incluidos los hackers, pero no habrá un parche suministrado por el proveedor que pueda proteger a los usuarios contra el riesgo cuando los hackers decidan explotarlo. Un solo fallo crítico que no se parchee por falta de soporte oficial puede provocar una costosa brecha de ciberseguridad.
Why Companies End Up Relying on End-of-Life Software
Los problemas que pueden surgir cuando las empresas confían en un sistema operativo sin soporte son claramente significativos, pero el software EOL sigue siendo habitual en los entornos empresariales. Es comprensible, hasta cierto punto, ya que hay razones racionales para confiar en un software sin soporte.
Requisitos específicos de la carga de trabajo
Puede ocurrir que determinadas funciones, capacidades o características de un sistema operativo EOL se abandonen a medida que un proveedor avanza en las actualizaciones. A veces, las empresas dependen de estas características para sus soluciones, y el hecho de que el sistema operativo más reciente no las tenga puede significar que las soluciones se rompan o que sea necesario un costoso esfuerzo de reparación para mantener la funcionalidad.
Cuando esto ocurre, las empresas pueden encontrarse en una situación difícil: no pueden migrar a un sistema operativo compatible porque no son capaces de diseñar una solución que garantice la continuidad de la funcionalidad con el nuevo sistema operativo.
Los recursos son limitados
Las soluciones tecnológicas son, en la mayoría de los casos, una cuestión de intentar hacer lo máximo con lo mínimo posible. El resultado es que las empresas intentan desplazar los fondos para satisfacer prioridades contrapuestas. A menudo, la actualización del software se considera menos prioritaria que las nuevas funciones deseadas o los costes de funcionamiento cotidianos.
Lo cierto es que, en la competencia por los recursos, puede haber prioridades más importantes que actualizar un sistema operativo perfectamente funcional, aunque haya llegado al final de su vida útil. También es cuestión de tiempo: ¿dispone la empresa del personal necesario para realizar las actualizaciones con seguridad?
Retos de la migración
Closely tied to resource limitation are the potential problems surrounding executing a migration. Particularly in the case where deployments are very large in scale, migration becomes so complex and so challenging that it can seem as if there is no realistic route to upgrading an OS – and that simply keeping in place the existing OS is the most sensible option.
This can also happen where migration involves complex, interacting systems that stretch across departments and across independent organizations. In fact, in rare instances, migration risks can outweigh the security risks associated with an end-of-life OS.
Falta de responsabilidad
Finally, for some companies, accountability is a challenge. In other words, there is no party ultimately responsible for managing the end-of-life status of software. This can be due to a leadership deficit or because of poor organizational structure.
También puede ser una cuestión práctica. Por ejemplo, puede ocurrir que ninguna de las partes tenga autoridad sobre las soluciones tecnológicas. Esto ocurre sobre todo cuando se comparten capacidades tecnológicas. En estas circunstancias, las empresas pueden encontrarse con que no hay nadie dispuesto a asumir el riesgo o la responsabilidad de la migración y, en consecuencia, ésta nunca llega a realizarse.
Centos 6: An Example of Retaining an EOL Operating System
Late in 2020, Red Hat announced that it will no longer produce the fork of Red Hat Enterprise Linux, CentOS, as a stable release. Red Hat essentially accelerated the end of life of the entire CentOS product as a stable release. In other words, companies who rely on CentOS 6 had no realistic upgrade path.
La única opción para estas empresas era cambiar a otro sistema operativo o pagar por Red Hat Enterprise Linux. Esta situación en torno a CentOS 6 es típica de las razones que algunas empresas pueden esgrimir para seguir utilizando un sistema operativo que no recibe soporte.
No es una forma poco razonable de pensar sobre los sistemas operativos que llegan al final de su vida útil, pero el hecho de que la ruta de actualización desde CentOS 6 sea complicada no debería compensar el hecho de que depender de CentOS 6 genera grandes riesgos de seguridad.
Un sinfín de oportunidades
As much as there are valid reasons for considering the use of an end-of-life OS, the problem remains that new and novel security breaches keep coming hard and fast – and unpatched end-of-life software just leaves the door open.
Take the emerging threat of crypto miners. At a rapid pace, hackers have started to deploy resource-hungry crypto mining software through illicit methods – taking advantage of weaknesses in Windows and Linux to install software that builds profits for the hacker at the expense of the company that owns and operates the computing resources.
Es una amenaza particularmente insidiosa, e ilustra cómo confiar en software obsoleto y sin soporte puede tener consecuencias inesperadas. En este caso, un sistema operativo EOL sin parches puede significar que los recursos de una empresa se desvíen a la minería de criptomonedas, lo que conlleva mayores gastos y problemas de fiabilidad y disponibilidad.
Considere la posibilidad de ampliar la asistencia
There is a workaround for some end-of-life operating systems. First, some vendors offer extended support – the opportunity to pay, sometimes rather large sums, to enjoy ongoing support for an operating system that no longer enjoys general support. Where vendors offer it, any customers that take advantage of extended support will remain compliant and secure – but at a price.
In a few cases, third parties offer extended support for an operating system. For example, here at TuxCare, we offer Extended Lifecycle Support (ELS) for a range of Linux-based server operating systems, including end-of-life versions of CentOS, CentOS Stream, Oracle Linux, and Ubuntu.
Extended Lifecycle Support from TuxCare includes comprehensive vulnerability patching to ensure that any new vulnerabilities that are discovered in a supported operating system, such as CentOS 6, are immediately covered by a patch from TuxCare.
Además, el soporte de TuxCare está disponible a un precio mucho más bajo que el soporte de un proveedor equivalente. Por ejemplo, nuestro ELS de CentOS 6 cuesta solo una fracción del precio del equivalente de Red Hat.
Either way, companies that purchase extended support buy themselves plenty of time to upgrade or migrate the OS that they depend on. ELS means companies can obtain the resources to undergo migration, plan a migration carefully, or simply find alternative solutions. Most importantly, ELS covers companies for security risks while the end-of-life OS is in place.