End of Life Software is a Bad Idea

Información importante

Por qué no es recomendable continuar utilizando software que ha llegado al fin de su vida útil

Por qué no es recomendable continuar utilizando software que ha llegado al fin de su vida útil

  • 13 agosto 2021
  • 7 minutos para leer

Nada está diseñado para durar para siempre, y esto es especialmente cierto en cuanto al hardware y el software de las computadoras de nivel empresarial.

Para organizaciones de todos los tamaños, la idea de actualizar cientos o incluso miles de máquinas porque un proveedor lo consideró necesario suena desalentadora. Peor aún, muchas organizaciones desconocen que un simple descuido al actualizar sus aplicaciones puede generar errores con consecuencias comerciales catastróficas.

Sin embargo, mantener los programas han llegado al fin de su vida útil (EOL) es aún más peligroso. La ejecución de software descatalogado en redes empresariales es una de las vulnerabilidades más comunes que aumenta el riesgo de vulneración de datos de las organizaciones. Por ejemplo, aunque Microsoft advirtió que Windows 7 se retiraría en enero de 2020, una investigación reciente indicó que el 17 por ciento de los equipos de escritorio todavía ejecutan el sistema operativo en junio del 2021. Windows 7 es un sistema operativo muy preciado, por lo que no es sorprendente que las organizaciones no quieran dejar de usarlo. Sin embargo, no es tan seguro como su sucesor. Las empresas que no se adaptaron pagaron las consecuencias, dado que el 98 % de las computadoras que se vieron afectadas por el ataque de ransomware de 2017 WannaCry estaban ejecutando Windows 7.

Por este motivo, es de suma importancia que las organizaciones comprendan cómo reducir los riesgos de seguridad que plantea el software que ha llegado al final de su vida útil y se preparen para actualizar las soluciones que se acercan a su fecha de EOL. Vamos a analizar con mayor profundidad por qué no se debe mantener software después de su fecha de vencimiento y describir las mejores prácticas para prepararse para los próximos anuncios de EOL.

¿Qué es el fin de la vida útil (EOL)?

El EOL ocurre cuando un fabricante decide dejar de vender, brindar soporte y aplicar revisiones a su hardware o software. Funcionalmente, el fabricante ya no considera que el software o dispositivo sea "útil" y probablemente planee lanzar un modelo más nuevo. Es posible que la empresa proporcione alguna garantía de “soporte posterior”, pero suele tener un precio elevado. A menos que el cliente pague la prima, el fabricante ya no proporcionará actualizaciones de firmware, parches o actualizaciones.

Aunque el "final de la vida útil" incluye el "final del servicio" (EOS), no son lo mismo. Los fabricantes suelen intentan alentar a los clientes a comprar nuevos productos al dejar de brindar servicios de mantenimiento o actualizaciones después de una fecha determinada. Si una solución supera su fecha de EOS, el fabricante podría seguir vendiendo el producto, pero sin brindar servicios ni soporte. Entonces, normalmente, es solo cuestión de tiempo para que se anuncie la fecha de EOL.

Estos son algunos ejemplos recientes de EOL y EOS de software:

  • Skype for Business en línea (EOL: 31 de julio de 2021): Microsoft anunció recientemente el inicio de su programa de EOL para la integración de Skype for Business con proveedores de conferencias de audio de terceros.
  • Windows 10 (EOL: 14 de octubre de 2025): Microsoft anunció que finalizará el soporte para Windows 10.
  • Servidor de Skype for Business (EOS: 14 de octubre de 2025): Si bien Skype for Business en línea se descontinuará en el 2021, el servidor de Skype for Business se conservará con una fecha de extensión hasta el 2025.
  • Adobe Flash Player (EOL: enero del 2021): En este momento, Adobe no es compatible con Flash Player (que finalizó el 31 de diciembre de 2020) y bloqueó la ejecución de contenido Flash en Flash Player a partir del 12 de enero de 2021.

Por qué el software en EOL es un riesgo de seguridad importante

Si bien puede pensar que tiene algo de tiempo antes de que deba tomar medidas cuando se anuncie una fecha de EOL, se recomienda enfáticamente que cree un plan de inmediato. Por ejemplo, cuando Microsoft anunció que finalizaría el soporte para Windows 7, muchas organizaciones tuvieron dificultades para actualizar a Windows 10. Como resultado, surgieron complicaciones para aquellos que no priorizaron la actualización. Esto se debe a que el software en EOL plantea varias amenazas de seguridad importantes si no se controla. Cuando se descontinua un software en particular, los fabricantes ya no proporcionan parches, correcciones de errores o actualizaciones de seguridad y los actores de amenazas aprovechan estos casos para acceder a redes y sistemas. Piénselo de esta manera: si su organización fuera su casa, el software en EOL sería un sistema de seguridad obsoleto y fácilmente evitable que instaló hace 10 años.

Durante la pandemia del 2020, la transformación digital fue imperativa. Las organizaciones de todo el mundo tuvieron que descubrir cómo reorientar sus estrategias de transformación y, como resultado, el software en EOL a menudo se dejó en la lista de tareas pendientes. Sin embargo, identificar y eliminar cualquier instancia de EOL o EOS en todos los ámbitos es la única forma de garantizar que los ciberdelincuentes no aprovechen las vulnerabilidades del software descontinuado. Los piratas informáticos se han vuelto más sofisticados que nunca, y encontrar un punto débil en software en EOL es más fácil de lo que se imagina. Esta es exactamente la razón por la que su organización debe evitar darles la oportunidad a los actores de amenazas en primer lugar al descontinuar el uso de software en EOL.

Riesgos adicionales de ejecutar software desactualizado

Además de los riesgos de seguridad, la ejecución de software en EOL plantea otros problemas potencialmente importantes que las organizaciones deben considerar. Si bien puede parecer más conveniente mantener el software y el hardware hasta que dejen de funcionar, comprender todos los riesgos posibles de hacerlo puede ayudar al realizar un análisis de costo-beneficio. Estos son algunos de los riesgos que las empresas deben tener en cuenta:

  • Cumplimiento: La mayoría de las regulaciones y estándares de la industria incorporan la administración de parches como requisito de cumplimiento. Las industrias reguladas están obligadas a mantener y ejecutar únicamente software/hardware actualizado y compatible.
  • Compatibilidad de software: Es posible que los sistemas operativos obsoletos no puedan ejecutar software más reciente.
  • Rendimiento y confiabilidad: Es más probable que la tecnología más antigua funcione con lentitud o deje de funcionar por completo, lo que se traduce en pérdida de productividad.
  • Costos: Los equipos de TI gastan más dinero y tiempo tratando de reparar, asegurar y mantener la tecnología en EOL a lo largo del tiempo de lo que costaría una nueva compra.

A pesar de estos riesgos, es común que las organizaciones esperen hasta el último momento posible para actualizar su hardware o software en EOL. Además, los actores de amenazas conocen las vulnerabilidades de seguridad del software y los dispositivos en EOL y continuarán aprovechándolas en sus ataques. Cada día que el fabricante no proporciona un parche de seguridad es otro día que los actores malintencionados pueden encontrar nuevas vulnerabilidades.

Una vez que un fabricante anuncia que uno de sus productos o servicios se acerca al fin de su vida útil, su empresa debe comenzar a crear de inmediato un plan para reemplazar la tecnología que pronto como descontinúe. Generalmente, esto significa lo siguiente:

  • Revisar el estado actual: Realice un análisis de inventario de activos y comprenda todas las dependencias del sistema.
  • Buscar opciones: Compare diferentes modelos de suscripción y opciones de reemplazo.
  • Planear una estrategia: Decida qué necesita reemplazar primero y busque las actualizaciones adicionales necesarias.

¿Cómo puede reforzar la seguridad si su tecnología ya pasó la fecha de EOL?

Una vez que un fabricante ya no admite o vende cierto software o hardware, su riesgo de seguridad general aumentará día a día. Esto significa que debe acelerar su proceso de planificación. Sin embargo, actualizar sus soluciones le tomará tiempo, lo que significa que correrá un riesgo enorme hasta que se complete su iniciativa.

Para reducir su riesgo, comience por realizar de inmediato a una prueba de penetración, que ayudará a su organización a comprender si sus controles de seguridad son efectivos o si necesita mejorar su postura de seguridad. Luego, puede proporcionar soluciones temporales para estas vulnerabilidades de seguridad mientras trabaja para actualizar su patrimonio más grande.

Cómo puede ayudar SoftwareONE

Como dice el viejo dicho: más vale prevenir que curar. En SoftwareONE, sabemos que la creación y el fomento de una estrategia de gestión del ciclo de vida del software (SLM) madura le ayudará a comprender de forma intuitiva la mejor forma de gestionar contratos y costos, mitigar riesgos y ajustar sus procesos de gobernanza. Esto le permitirá actuar rápidamente en el momento en que se anuncie un EOL e incluso anticiparlo antes de tiempo.

Sin embargo, si es demasiado tarde para eso, no dude en realizar una prueba de penetración. Ofrecemos evaluaciones de vulnerabilidades y pruebas de penetración diseñadas para proporcionarle a su equipo un análisis detallado de las vulnerabilidades descubiertas en redes internas y externas. Esto, a su vez, ayuda a mitigar los riesgos relacionados con su software en EOL actual.

Ya sea que necesite adoptar un enfoque proactivo o reactivo, los expertos de SoftwareONE están listos para ayudarlo en cada paso del proceso.

Reflexiones finales

Es posible que se sienta sorprendido y abrumado por un anuncio de EOL, ya que probablemente requiera que su organización reoriente completamente todo su patrimonio de software. Sin embargo, no se demore en hacer un plan tan pronto como escuche el anuncio. Con acciones proactivas, podrá trazar un rumbo a seguir claro para garantizar la seguridad, el cumplimiento y el rendimiento continuos. Y si se puede adelantar a las fechas de EOL, toda su organización se beneficiará.

Nunca se pierda una fecha de EOL con SoftwareONE

Con SoftwareONE a su lado, puede identificar y rectificar las debilidades relacionadas con el uso del software en EOL antes de que se utilicen en su contra. Descubra cómo podemos ayudarlo hoy mismo.

Comenta este artículo

¡Deja un comentario para hacernos saber lo que piensas sobre este tema!

Deja un comentario

Artículos relacionados

Nonprofit and security

¿Su organización sin fines de lucro está en riesgo de sufrir una vulneración de datos?

Muchas organizaciones sin fines de lucro carecen de tiempo y recursos para proteger adecuadamente sus datos contra amenazas de vulneración de datos. Descubra cómo puede saber si está en riesgo de sufrir una vulneración de datos.

Cybersecurity threads
  • 29 noviembre 2021
  • Cybersecurity, Cybersecurity User Awareness, Managed Security
  • Cyber Security, Seguridad

Prevención de amenazas en la empresa

La mejor manera de empezar a proteger su red empresarial de amenazas de ciberseguridad es comprender las amenazas del panorama actual y, luego, crear un plan para enfrentarlas. Examínelo con mayor profundidad.

Cloud Security Trends
  • 02 noviembre 2021
  • Cybersecurity, Cybersecurity User Awareness, cloud-security
  • Cloud, Seguridad, Cloud Workload

Cómo utilizar las nuevas tendencias de seguridad en la nube a su favor

¿Está al tanto de las últimas novedades en el mundo de la seguridad en la nube? Analice detenidamente algunas de las tendencias más importantes en materia de seguridad en la nube y cómo podrían influir en su estrategia general en la nube.