Los riesgos de dirigir una OS al final de la vida - y cómo gestionarlos
- Los sistemas operativos obsoletos ya no reciben actualizaciones de seguridad críticas, lo que los hace muy vulnerables a las amenazas de ciberseguridad en evolución.
- Los sistemas operativos obsoletos suelen tener dificultades para ejecutar software y hardware modernos, lo que provoca problemas de compatibilidad, menor rendimiento y menor productividad.
- Las organizaciones que utilizan sistemas obsoletos se enfrentan a mayores riesgos legales y financieros debido al incumplimiento de la normativa y a los elevados costes asociados al mantenimiento de tecnología obsoleta.
Es imposible evitar los cambios tecnológicos: por definición, la tecnología siempre avanza. Y eso suele ser una gran noticia, pero mantenerse al día de los cambios puede ser otra historia.
El cambio constante significa que la tecnología tiene una vida útil limitada. Sí, se puede seguir utilizando algo más allá de su vida útil, pero hacerlo tiene consecuencias. En el caso del software al final de su vida útil (EOL), las consecuencias incluyen inestabilidad, alto mantenimiento y, por supuesto, enormes riesgos de seguridad.
En este artículo explicamos qué es el software al final de su vida útil por qué las organizaciones nunca deben confiar en un sistema operativo que ha llegado al final de su vida útil y cómo puede ayudar el soporte de terceros.
El software también tiene un final
Los proveedores de software lanzan constantemente nuevas versiones. Las nuevas funciones, las correcciones de errores, etc., se incluyen en una nueva versión. Al mismo tiempo, el proveedor seguirá dando soporte a la versión anterior, incluyendo actualizaciones de seguridad si es necesario.
Esto ocurre con todo, desde el software de productividad hasta los sistemas operativos.
Sin embargo, un proveedor no puede dar soporte indefinidamente a una versión antigua de su software. Imagínese intentar dar soporte a un sistema operativo que tiene treinta años. Es posible, pero supondría un enorme gasto de recursos y no tendría sentido.
Para limitar los recursos dedicados a dar soporte a un sistema operativo, los proveedores fijan fechas de fin de vida útil de un sistema operativo, tras las cuales cesa el soporte oficial, incluidas las correcciones de vulnerabilidades de seguridad. En algún momento, todo software, incluidos los sistemas operativos, llega a un punto llamado Fin de vida útil (EOL). Aunque algunas distribuciones de Linux de código abierto tienen ciclos de soporte ampliados o actualizaciones impulsadas por la comunidad, la mayoría de los sistemas operativos acaban llegando al fin de su vida útil.
Y esto es un gran peligro para los usuarios que siguen confiando en la versión anterior. Sí, las cosas pueden simplemente dejar de funcionar una vez que el software llega al final de su vida útil, pero eso es sólo una pequeña parte del riesgo. El principal problema de un sistema operativo que llega al final de su vida útil es la seguridad. Si el proveedor ya no publica parches para las vulnerabilidades de seguridad, el usuario simplemente no puede mantener su sistema parcheado y estará confiando en un software vulnerable.
Desgraciadamente, a pesar del riesgo, es habitual que las empresas sigan dependiendo de un sistema operativo que ya no recibe soporte, simplemente porque la alternativa de actualizar o cambiar a otro sistema operativo es demasiado cara o incómoda.
El caso en cuestión: WannaCry y el fin de la vida útil de Windows
Depender de software que ha llegado al final de su vida útil es más común de lo que se piensa, e incluso puede ocurrir en situaciones de misión crítica. Pero un sistema operativo al final de su vida útil presenta oportunidades para los ciberdelincuentes. Un sistema operativo que ya no recibe soporte tendrá vulnerabilidades conocidas, y como el soporte ha terminado... buena suerte encontrando un parche.
A su vez, los actores de amenazas se basan en vulnerabilidades conocidas para atacar a una empresa. Las empresas que dependen de un sistema operativo que ha llegado al final de su vida útil corren el riesgo de sufrir ataques de malware que provoquen la interrupción del servicio, la pérdida de datos o algo peor.
Eso es exactamente lo que ocurrió en mayo de 2017. Se produjo un ciberataque masivo en el que el exploit WannaCry se utilizó para atacar a cientos de miles de empresas que todavía utilizaban Windows XP, un sistema operativo que había llegado al final de su vida útil tres años antes, en 2014.
Las empresas que aún utilizaban Windows XP no recibieron los boletines de seguridad de Microsoft y nunca instalaron el parche que corregía una vulnerabilidad de Windows de hacía meses llamada EternalBlue. (La vulnerabilidad era tan peligrosa que Microsoft lanzó un parche de emergencia para Windows XP, a pesar de que Windows XP había llegado al final de su vida útil en ese momento).
Este fue sólo un ejemplo de una vulnerabilidad en un sistema operativo en desuso que fue explotada con éxito.
¿Cuáles son los riesgos de un sistema operativo al final de la vida?
Hay razones "válidas" para utilizar un sistema operativo al final de su vida útil, y hablaremos de ellas en una sección posterior. Pero, incluso cuando las empresas tienen una buena razón para mantener un sistema operativo sin soporte, los riesgos son significativos y casi siempre superan los beneficios o cualquier otra razón para utilizar un sistema operativo EOL.
Cumplimiento y riesgos jurídicos
Dado que la ciberseguridad es un problema tan desalentador, numerosos regímenes legales y de cumplimiento ayudan a garantizar que las empresas cumplan unas normas mínimas de seguridad de los datos para mantener a salvo a clientes y consumidores.
Es habitual que estos requisitos incluyan una declaración sobre el soporte oficial del proveedor para el software, y una declaración que considera no conforme la dependencia de software que ha llegado al final de su vida útil. El incumplimiento puede acarrear fuertes sanciones económicas.
Las empresas que implantan un sistema operativo que ha llegado al final de su vida útil se arriesgan a todo, desde multas hasta la prohibición total de operar en su sector. Pueden encontrarse en una situación problemática si se produce un fallo de seguridad. Si se demuestra que el ataque se ha producido por negligencia, por ejemplo, por el uso de software obsoleto sin el apoyo del proveedor, las empresas pueden verse inmersas en un proceso judicial, ya que los afectados por la brecha pueden exigir una indemnización.
Soluciones obsoletas e incompatibles
Ya hemos dicho que la tecnología avanza rápidamente. Las empresas que aprovechan las últimas tecnologías se benefician de muchas maneras. Por ejemplo, ofreciendo mejores productos y prestaciones a sus clientes y una mejor experiencia a sus empleados.
El software EOL es, por definición, un software obsoleto al que probablemente le falten una serie de funciones y ventajas de última generación. Además de dejar las soluciones tecnológicas en el carril lento, el software obsoleto produce otro problema: la falta de compatibilidad. Al confiar en un sistema operativo obsoleto, las empresas corren el riesgo de encontrarse con problemas de compatibilidad, que tendrán un impacto cada vez mayor a medida que pase el tiempo.
Problemas de fiabilidad
Una de las consecuencias de la incompatibilidad de programas es un problema de fiabilidad. En algún momento, la tecnología que rodea al producto al final de su vida útil se actualizará. Esto hace que el sistema operativo al final de su vida útil quede desfasado con respecto al resto de la solución.
Esto provocará problemas de fiabilidad, ya que los vendedores codificarán teniendo en cuenta una determinada expectativa funcional, sólo para que el software EOL carezca de la funcionalidad requerida. En otras palabras, una simple actualización de un componente de software por parte del proveedor puede romper una solución debido a un sistema operativo obsoleto.
Costes crecientes
También hay que tener en cuenta que el software al final de su vida útil, incluido un sistema operativo al final de su vida útil, puede representar una falsa economía. Sí, las empresas pueden ahorrar dinero retrasando una actualización, pero la carga de mantenimiento del software que llega al final de su vida útil aumentará con el tiempo, ya que habrá que encontrar soluciones personalizadas para solucionar los problemas cuando el soporte del proveedor deje de funcionar.
Por ejemplo, los equipos de soporte informático pueden dedicar demasiado tiempo a resolver problemas relacionados con el sistema obsoleto.
Del mismo modo, un sistema operativo obsoleto puede provocar problemas de fiabilidad que incrementen los costes. Peor aún, como se ha sugerido anteriormente, un software obsoleto puede dar lugar a problemas de cumplimiento y legales que pueden acarrear multas increíblemente caras.
Riesgos de seguridad
Por último, abordamos el mayor problema de confiar en software que ha llegado al final de su vida útil: los importantes riesgos de seguridad que implica el uso de software que ya no recibe soporte. Por definición, los sistemas operativos que han llegado al final de su vida útil no reciben correcciones de seguridad ni actualizaciones del fabricante original, que protegerían a los usuarios frente a vulnerabilidades conocidas.
En cambio, estos riesgos de seguridad serán conocidos por el público, incluidos los hackers, pero no habrá un parche suministrado por el proveedor que pueda proteger a los usuarios contra el riesgo cuando los hackers decidan explotarlo. Un solo fallo crítico que no se parchee por falta de soporte oficial puede provocar una costosa brecha de ciberseguridad.
Por qué las empresas acaban confiando en el software al final de su vida útil
Los problemas que pueden surgir cuando las empresas confían en un sistema operativo sin soporte son claramente significativos, pero el software EOL sigue siendo habitual en los entornos empresariales. Es comprensible, hasta cierto punto, ya que hay razones racionales para confiar en un software sin soporte.
Requisitos específicos de la carga de trabajo
Puede ocurrir que determinadas funciones, capacidades o características de un sistema operativo EOL se abandonen a medida que un proveedor avanza en las actualizaciones. A veces, las empresas dependen de estas características para sus soluciones, y el hecho de que el sistema operativo más reciente no las tenga puede significar que las soluciones se rompan o que sea necesario un costoso esfuerzo de reparación para mantener la funcionalidad.
Cuando esto ocurre, las empresas pueden encontrarse en una situación difícil: no pueden migrar a un sistema operativo compatible porque no son capaces de diseñar una solución que garantice la continuidad de la funcionalidad con el nuevo sistema operativo.
Los recursos son limitados
Las soluciones tecnológicas son, en la mayoría de los casos, una cuestión de intentar hacer lo máximo con lo mínimo posible. El resultado es que las empresas intentan desplazar los fondos para satisfacer prioridades contrapuestas. A menudo, la actualización del software se considera menos prioritaria que las nuevas funciones deseadas o los costes de funcionamiento cotidianos.
Lo cierto es que, en la competencia por los recursos, puede haber prioridades más importantes que actualizar un sistema operativo perfectamente funcional, aunque haya llegado al final de su vida útil. También es cuestión de tiempo: ¿dispone la empresa del personal necesario para realizar las actualizaciones con seguridad?
Retos de la migración
Estrechamente ligados a la limitación de recursos están los problemas potenciales que rodean a la ejecución de una migración. Especialmente en el caso de implantaciones a gran escala, la migración se vuelve tan compleja y difícil que puede parecer que no existe una vía realista para actualizar un sistema operativo y que la opción más sensata es mantener el sistema operativo existente.
Esto también puede ocurrir cuando la migración implica sistemas complejos e interactivos que se extienden a través de departamentos y organizaciones independientes. De hecho, en raras ocasiones, los riesgos de la migración pueden superar a los riesgos de seguridad asociados a un sistema operativo al final de su vida útil.
Falta de responsabilidad
Por último, para algunas empresas la rendición de cuentas es un reto. En otras palabras, no hay una parte responsable en última instancia de gestionar el estado de fin de vida del software. Esto puede deberse a un déficit de liderazgo o a una mala estructura organizativa.
También puede ser una cuestión práctica. Por ejemplo, puede ocurrir que ninguna de las partes tenga autoridad sobre las soluciones tecnológicas. Esto ocurre sobre todo cuando se comparten capacidades tecnológicas. En estas circunstancias, las empresas pueden encontrarse con que no hay nadie dispuesto a asumir el riesgo o la responsabilidad de la migración y, en consecuencia, ésta nunca llega a realizarse.
Centos 6: Un ejemplo de mantenimiento de un sistema operativo obsoleto
A finales de 2020, Red Hat anunció en que ya no producirá la bifurcación de Red Hat Enterprise Linux, CentOS, como versión estable. Red Hat esencialmente aceleró el final de la vida de todo el producto CentOS como versión estable. En otras palabras, las empresas que confían en CentOS 6 no tenían una ruta de actualización realista.
La única opción para estas empresas era cambiar a otro sistema operativo o pagar por Red Hat Enterprise Linux. Esta situación en torno a CentOS 6 es típica de las razones que algunas empresas pueden esgrimir para seguir utilizando un sistema operativo que no recibe soporte.
No es una forma poco razonable de pensar sobre los sistemas operativos que llegan al final de su vida útil, pero el hecho de que la ruta de actualización desde CentOS 6 sea complicada no debería compensar el hecho de que depender de CentOS 6 genera grandes riesgos de seguridad.
Un sinfín de oportunidades
Por mucho que haya razones válidas para considerar el uso de un sistema operativo en desuso, el problema sigue siendo que las nuevas y novedosas brechas de seguridad siguen apareciendo con fuerza y rapidez, y el software en desuso sin parches no hace más que dejar la puerta abierta.
Por ejemplo, la amenaza emergente de los mineros de criptomonedas. A un ritmo acelerado, los hackers han comenzado a desplegar software de minería de criptomonedas que consume muchos recursos a través de métodos ilícitos, aprovechando las debilidades de Windows y Linux para instalar software que genera beneficios para el hacker a expensas de la empresa propietaria y operadora de los recursos informáticos.
Es una amenaza particularmente insidiosa, e ilustra cómo confiar en software obsoleto y sin soporte puede tener consecuencias inesperadas. En este caso, un sistema operativo EOL sin parches puede significar que los recursos de una empresa se desvíen a la minería de criptomonedas, lo que conlleva mayores gastos y problemas de fiabilidad y disponibilidad.
Considere la posibilidad de ampliar la asistencia
Existe una solución para algunos sistemas operativos que han llegado al final de su vida útil. En primer lugar, algunos proveedores ofrecen soporte ampliado: la oportunidad de pagar, a veces sumas bastante elevadas, para disfrutar de soporte continuo para un sistema operativo que ya no goza de soporte general. En los casos en que los proveedores lo ofrecen, los clientes que se acojan al soporte ampliado seguirán cumpliendo las normas y seguros, pero a un precio.
En algunos casos, terceros ofrecen asistencia ampliada para un sistema operativo. Por ejemplo, aquí en TuxCare, ofrecemos Soporte extendido del ciclo de vida (ELS) para una serie de sistemas operativos de servidor basados en Linux, incluidas las versiones finales de CentOS, CentOS Stream, Oracle Linux y Ubuntu.
El soporte extendido del ciclo de vida de TuxCare incluye un parcheado completo de vulnerabilidades para garantizar que cualquier nueva vulnerabilidad que se descubra en un sistema operativo compatible, como por ejemplo CentOS 6están inmediatamente cubiertas por un parche de TuxCare.
Además, el soporte de TuxCare está disponible a un precio mucho más bajo que el soporte de un proveedor equivalente. Por ejemplo, nuestro ELS de CentOS 6 cuesta solo una fracción del precio del equivalente de Red Hat.
En cualquier caso, las empresas que adquieren el soporte ampliado ganan mucho tiempo para actualizar o migrar el sistema operativo del que dependen. ELS significa que las empresas pueden obtener los recursos para realizar la migración, planificarla cuidadosamente o simplemente encontrar soluciones alternativas. Y lo que es más importante, el ELS cubre a las empresas frente a los riesgos de seguridad mientras el sistema operativo que ha llegado al final de su vida útil esté en funcionamiento.