Cabecera blog ciberseguridad

Hardware y software que han alcanzado el End-of-Life: Cómo evitar los riesgos de seguridad de usar programas y dispositivos obsoletos

El hardware y software End-of-Life no recibe actualizaciones de seguridad

Las empresas deben actualizar sus programas y dispositivos y dejar de usar hardware y software que han alcanzado el End-of-Life para evitar que los actores hostiles los usen para atacarlas

¿Cuántos programas y dispositivos se han desarrollado a lo largo de las últimas décadas? Es imposible de calcular, pero desde luego nos harían falta unos cuantos 0 para lanzar un número aproximado.

Como sucede con cualquier producto o servicio, el software y el hardware no es infinito. Llegado un punto, las empresas que los desarrollan dejan de prestar el pertinente servicio técnico y diseñar e implementar actualizaciones de seguridad.

De ahí que el hardware y el software que han alcanzado el End-of-Life (EOL), es decir, que han llegado al final de su vida, supongan un riesgo mayúsculo para las empresas.

Sin ir más lejos, a principios de año Microsoft anunció que en octubre de 2025 dejaría de dar soporte a las aplicaciones de Office en Windows 10, de tal forma que las empresas y los ciudadanos deberían contar ya con Windows 11 en sus equipos.

Ante el revuelo y la preocupación causados, la compañía anunció que seguiría lanzando actualizaciones de seguridad para Microsoft 365 en Windows 10 hasta 2028.

Eso sí, la compañía nos recuerda que el soporte para los equipos Windows 10 finaliza el 14 de octubre de 2025 y que solo se pueden obtener actualizaciones de seguridad hasta el 14 de octubre de 2026 a través del programa Extended Security Updates (ESU).

De una forma similar, SAP, una compañía líder en el desarrollo de ERP, anunció que sus aplicaciones Business Suite 7 dejarían de ser actualizadas, pero ha ido ampliando el periodo temporal para ofrecer soporte a sus clientes, sobre todo, a aquellos que firmen un acuerdo para saltar a la versión Cloud del ERP.

Estas noticias nos permiten vislumbrar la importancia de que las compañías no trabajen con hardware y software que han alcanzado el End-of-Life. De lo contrario, las empresas pueden convertirse en targets accesibles para los actores maliciosos.

Los actores maliciosos han puesto al software que ha alcanzado el End-of-Life en su punto de mira

Detectar y explotar vulnerabilidades en software que ha alcanzado el End-of-Life es mucho más sencillo que hacerlo en programas actualizados de manera continua y en los que se han implementado los pertinentes parches de seguridad.

La ciberseguridad es uno de los sectores en los que se producen cambios a mayor velocidad. Los actores hostiles no cesan en su empeño de desarrollar técnicas, tácticas y procedimientos innovadores que les permitan cumplir sus objetivos.

De hecho, en no pocas ocasiones las vulnerabilidades están presentes en versiones desactualizadas de software y, para remediarlas, basta con actualizar los programas a versiones que ya cuentan con los pertinentes parches de seguridad que mitigan dichas debilidades.

Por ejemplo, un reciente informe señala que cuatro de las 12 vulnerabilidades más explotadas por los actores hostiles en 2024 no solo no eran vulnerabilidades de día cero, sino que habían sido publicadas bastantes años antes.

Además, los actores maliciosos también focalizan su atención en software al que le falta poco tiempo para dejar de recibir actualizaciones de seguridad. Así, a finales del año pasado, se produjo la explotación activa de una vulnerabilidad crítica en Palo Alto Networks Expedition, una herramienta que servía para migrar clientes a otros proveedores. Palo Alto había informado de que este programa llegaría a su final en enero.

Desprotección frente a nuevas vulnerabilidades

Usar software que ha alcanzado el End-of-Life en las empresas no solo supone que se dejen de incorporar mejoras a los programas que puedan resultarles útiles a las empresas, sino que, sobre todo, implica que no se adaptan sus medidas de seguridad para hacer frente a las nuevas vulnerabilidades que se van haciendo públicas.

En un contexto en el que los actores hostiles no dejan de innovar sus técnicas, tácticas y procedimientos, las compañías no pueden permitirse usar programas obsoletos y, por lo tanto, vulnerables frente a los TTPs más punteros.

Así, se estima que dos de cada tres empresas emplean software que ha alcanzado el End-of-Life y que, por lo tanto, no recibe actualizaciones de seguridad por parte de los desarrolladores.

¿Cuál es la consecuencia de esto? Las compañías pueden estar notablemente expuestas a ciberataques graves que amenacen su continuidad de negocio y generen pérdidas económicas, reputacionales y competitivas notables.

Es importante actualizar el hardware y el software corporativo de manera continua

WannaCry: Aviso a navegantes sobre usar software que ha alcanzado el End-of-Life

Una de las normas de ciberhigiene más importantes que deben cumplir todas las empresas es instalar las actualizaciones de seguridad lanzadas por los desarrolladores con la máxima celeridad. El problema con el software que ha alcanzado el End-of-Life es que ya no se publican dichas actualizaciones.

Aunque ya han pasado 8 años, aún se recuerda el efecto devastador de WannaCry, un ataque de ransomware masivo que afectó a miles de ordenadores en todo el mundo y que tuvo éxito aprovechando una vulnerabilidad presente en el sistema operativo de Windows.

Aunque la compañía ya había publicado un parche de seguridad para solventar la vulnerabilidad, no se había lanzado una actualización para sistemas operativos de Windows obsoletos como XP, 8 o Windows Server 2003.

El hardware desactualizado también es peligroso

No solo el software que ha alcanzado el End-of-Life supone un riesgo de seguridad grave para las empresas. La infraestructura tecnológica de las compañías está conformada por un amplio número de dispositivos: ordenadores, móviles, routers, etc.

Precisamente, hace unos días el FBI alertó que los ciberdelincuentes estaban explotando activamente una decena de routers que habían alcanzado el End-of-Life para construir redes proxy que les permitían ocultar sus huellas digitales al llevar a cabo sus actuaciones maliciosas.

¿Cómo hacer frente a esta amenaza? El FBI recomendó encarecidamente que las organizaciones reemplazaran activamente sus routers obsoletos.

Pymes, grandes compañías, administraciones públicas… El uso de hardware y software que ha alcanzado el End-of-Life es más común de lo que creemos

Si pensamos en qué empresas pueden verse más afectadas por el uso de hardware o software que han alcanzado el End-of-Life, es posible que creamos que las pymes están más expuestas a este riesgo. ¿Por qué?

Muchas de ellas no cuentan con equipos IT, ni estrategias de ciberseguridad que pongan el foco en la actualización continua de los programas y dispositivos corporativos.

Sin embargo, tampoco las grandes compañías y las administraciones públicas están a salvo.

Por ejemplo, a finales del año pasado, la Cybersecurity & Infraestructure Security Agency (CISA) de Estados Unidos alertó al resto de agencias gubernamentales que el software de comunicaciones seguras de Ivanti, CSA 4.6, estaba ya en el final de su vida útil y ya no recibía parches de seguridad. Además, una vulnerabilidad presente en el programa estaba siendo explotada activamente. ¿La solución? Pasar a usar CSA 5, que ya no contenía dicha vulnerabilidad.

Más allá de que, en algunas organizaciones, no se lleva a cabo un control de los software y hardware empleados, lo cierto es que en el uso de dispositivos y software que han alcanzado el End-of-Life entra en juego el desembolso económico que supone cambiarlos.

Así, algunas empresas deciden retrasar el máximo tiempo posible la adquisición de nuevos dispositivos o la contratación de un software con servicio técnico.

¿Cuál es el evidente problema de esta estrategia? El coste financiero de solventar un ciberataque y las repercusiones económicas que puede tener para una empresa son notablemente superiores al desembolso que conlleva emplear hardware y software para los que se siguen diseñando parches de seguridad.

A todo ello debemos sumar un motivo por el que algunas organizaciones siguen usando hardware y software que han alcanzado el End-of-Life que puede parecernos menor, pero no lo es: la resistencia al cambio. Sobre todo, en lo que respecta al uso de software empresarial.

Las plantillas de las empresas son tradicionalmente reticentes a los cambios. Trabajar con nuevos programas o versiones notablemente diferentes implica una curva de aprendizaje que a no pocos profesionales se les hace muy cuesta arriba.

El uso de equipos personales dificulta el control del Hardware y software End-of-Life

La política BYOD dificulta el control del hardware y el software que han alcanzado el End-of-Life

Desde la lucha contra la pandemia se ha acelerado la implementación de políticas Bring Your Own Device (BYOD) en las empresas. De tal forma que los trabajadores pueden usar dispositivos personales y las aplicaciones accesibles desde ellos para llevar a cabo tareas profesionales.

Para las empresas, las políticas BYOD pueden suponer un notable ahorro ya que no tienen que suministrar dispositivos corporativos a sus trabajadores. Pensemos, por ejemplo, en el desembolso que supone para una organización entregarle un móvil a cada trabajador.

Sin embargo, ello conlleva que el número de dispositivos y aplicaciones que se deben controlar aumente y que algún trabajador pueda estar usando hardware y software que han alcanzado el End-of-Life para llevar a cabo sus tareas diarias.

Por eso, es fundamental que las organizaciones con políticas BYOD dispongan de software Mobile Device Management (MDM) que les permitan establecer restricciones en los dispositivos personales, llevar un control de todos los equipos y aplicaciones usadas dentro de la organización y poder detectar hardware y software que han alcanzado el End-of-Life antes de que sea explotado por actores hostiles.

Auditorías de seguridad y gestión de vulnerabilidades, dos servicios esenciales para prevenir los ciberataques contra software que ha alcanzado el End-of-Life

Más allá de lo que venimos de señalar, ¿qué pueden hacer las empresas para evitar la explotación de vulnerabilidades en hardware y software que han alcanzado el End-of-Life?

  1. Es fundamental llevar a cabo auditorías de seguridad continuas en toda la infraestructura tecnológica corporativa para identificar vulnerabilidades y hardware y software que han alcanzado el End-of-Life.
  2. La gestión de vulnerabilidades es crítica, ya que permite a las empresas disponer de un inventario de activos, clasificarlos e identificar a sus responsables. Además, gracias a este servicio de ciberseguridad es posible monitorizar el estado de seguridad de los activos y saber qué dispositivos y programas se encuentran obsoletos o cuyo fin de ciclo vital está próximo. Asimismo, es posible gestionar las vulnerabilidades conocidas que puedan afectar a todos los activos, incluidos el hardware y software que han alcanzado el End-of-Life y trazar una estrategia para:
    • Priorizar la mitigación de vulnerabilidades.
    • Sustituir los equipos y programas obsoletos de acuerdo a la realidad financiera de la compañía.
  3. Disponer de un servicio de vulnerabilidades emergentes permite evaluar vulnerabilidades nuevas con alto impacto presentes en el perímetro de la organización.

En definitiva, emplear hardware y software que han alcanzado el End-of-Life supone un riesgo de seguridad grave para las empresas, puesto que los dispositivos y programas obsoletos ya no reciben actualizaciones de seguridad y están expuestos frente a las vulnerabilidades.

Por eso, es crítico que las compañías monitoricen la seguridad de todo su hardware y software y tomen medidas para sustituir los dispositivos y los programas antes de que los desarrolladores dejen de publicar parches de seguridad.