El peligro de llegar a enero de 2020 con Windows 7

El próximo mes de enero (el día 14, para ser más exactos) finaliza el soporte de Windows Server 2008 y esto presenta un panorama muy peligroso en lo que a ciberseguridad se refiere, según afirman desde Trend Micro. 

Un reciente estudio por parte de Kaspersky analiza precisamente la utilización de sistemas operativos sin soporte o cerca del final de su vida (como ocurrirá con Windows 7 en enero).

Una práctica extendida

Kaspersky ha analizado los datos anónimos del uso del sistema operativo (SO), proporcionados por los usuarios de Kaspersky Security Network (con consentimiento), y el resultado es realmente alarmante. Lejos de lo que se pudiera pensar, son muchos quienes usan un SO sin soporte o a las puertas de quedarse sin él. De hecho, el 41 por ciento de los consumidores así lo reconoce.

Pero estos números preocupantes se extienden al mundo empresarial, pues el 40 por ciento de las microempresas y el 48 por ciento de las pymes y empresas aún dependen de estos SO (Windows XP, Windows Vista, Windows 8 y Windows 7).

El peligro de quedar expuesto

Que nuestros equipos funcionen con un SO obsoleto entraña numerosos riesgos. Según José de la Cruz, director técnico de Trend Micro Iberia, todo SO tiene vulnerabilidades, pero cuando son descubiertas por el fabricante, investigador o atacante, el propio fabricante “publica un parche que las solventa y los usuarios deben aplicar esos parches lo antes posible”.

El problema aparece cuando estos SO quedan fuera de soporte por parte del fabricante. “Esto implica que, aunque se descubra una vulnerabilidad, el fabricante ya no dará cobertura a la misma y, por tanto, quedará expuesta a merced de cualquier ataque", afirma.

César Covarrubias, profesor de EAE Business School, cree que debemos distinguir entre dos ámbitos diferentes en los que sucede esto. 

• Por una parte, los entornos industriales, “en los que puede haber medidas críticas y el SO está responsabilizado de tareas específicas, como por ejemplo un sistema que monitoriza y actúa sobre válvulas en un control de agua”, expone. En estos entornos, “si hay un problema, el daño económico es muy grande”.
• Por otro lado estaría el usuario de a pie. “El riesgo a la hora de tener un entorno no actualizado (en el cual ya no hay parches y es cebo de hackers) es que ya no estamos hablando de profesionales, sino de atacantes amateurs”, puntualiza Covarrubias.

La mayoría de los virus importantes que pueden monitorizar tu equipo y extraer información, en opinión del experto, son o muy avanzados (y no se van a fijar en un usuario estándar) o son virus que se diseñaron hace años, lo que permite a cualquiera, siguiendo un mero tutorial, tener acceso a máquinas sin protección. Y ahí, una vez atacados, nuestra información, passwords, cámaras, micrófonos… están expuestos a los atacantes.

Covarrubias, además, hace hincapié en la combinación de varios elementos que hace que el riesgo sea mayor. Al mantenimiento de un SO sin actualizar se le suma “el escaso conocimiento tecnológico o del entorno informático, sobre todo por motivos de edad”, puntualiza. Lo cierto es que la concienciación y la prudencia son indispensables para no potenciar nuestra exposición. “En las empresas es tremendo. Algunas piensan que cambiando la password de la wifi todo es seguro y luego la ponen en la pared, con acceso a toda la red de la empresa. Este tipo de prácticas pueden conllevar unas consecuencias gravísimas”. Si a esto le añadimos que el SO está obsoleto, “es algo realmente peligroso, no se puede tildar de otro modo”, afirma.

¿Por qué se sigue haciendo?

De la Cruz apunta a la falta de recursos como uno de los motivos por los que se siguen utilizando SO sin soporte. “Migrar un sistema operativo y sus aplicaciones implica un coste económico y de tiempo que no toda empresa puede asumir”, asevera.

Por otra parte, también influye el fenómeno del sistema heredado. “En cualquier empresa, existen aplicaciones antiguas o sistemas heredados cuya operativa ha sido migrada a un sistema moderno, pero que, por motivos históricos o de funcionalidades no incorporadas en la nueva herramienta, no pueden ser eliminadas por completo”, cuenta De la Cruz. En resumidas cuentas, si necesitas esas aplicaciones, que solo funcionan sobre el SO obsoleto, estás condenado a mantenerlo.

¿Cómo proteger un SO obsoleto?

Para De la Cruz, solo existe una salida a este problema de cara a protegernos: “La única alternativa es implementar mecanismos de filtrado que ayuden a detectar ataques frente a dichas vulnerabilidades no parcheadas, tanto en sistemas actuales como en sistemas obsoletos”.

Por su parte, el experto de EAE considera que “la respuesta es complicada” y apunta directamente a los grandes players: “Acabamos dependiendo de lo que nos quieran dar”. Pero advierte que debe haber un cambio de mentalidad en usuarios y empresas, porque “cuando Microsoft dice que no mantiene ya XP, la gente debería interpretar que debe cambiar directamente de SO. En cambio, se lamentan. Es como pedir que el coche de tu abuelo siga funcionando y protestas a la empresa”.

Lo cierto es que los SO tienen una vida, y extenderla más allá del tiempo que cuenta con soporte es un riesgo inmenso. Para ello, y como podemos ver en tantos entornos, es fundamental que todos rememos en la misma dirección. No obstante, Covarrubias concluye que “tienen que ser los grandes players los que, poco a poco, deben fomentar y ayudar a la gente a que entienda cómo funciona esto”.