viernes, 4 de septiembre de 2015

¿Aun utilizas Windows 2003?


windows-server-2003El 8 de Abril de 2014 Microsoft dejaba de soportar uno de sus productos más utilizados, Windows XP. Este verano, el día 14 de Julio, lo ha hecho con Windows 2003. En ambos casos, Microsoft publicó las fechas de retirada del producto con bastante antelación, pero al igual que sucedió con Windows XP, aún quedan muchos servidores con este sistema operativo. A 5 meses de llegar el fin del soporte, Microsoft calculaba que unos 30.000.000 de servidores necesitaban actualizarse a un SO soportado, ¿habrán llegado a tiempo?. Si a esto le sumamos que durante un año pueden salir entorno a 40 actualizaciones críticas, podemos darnos cuenta del peligro que esto conlleva.
El año pasado hablábamos de sistemas operativos de escritorio, una vulnerabilidad crítica podría poner en peligro las máquinas con las que trabajamos cada día, pero… una vulnerabilidad en un servidor podría poner en peligro el trabajo de toda una empresa.
El fin del soporte de un sistema operativo implica que no va a tener más actualizaciones, lo cual nos pone en una situación constante de vulnerabilidades de día cero.Existirán problemas que no serán resueltos: si en un año aparecen 40 actualizaciones críticas, estamos hablando de que ese año ha habido 40 vulnerabilidades importantes que pondrían en peligro nuestro servidor y que a partir del 14 de Julio de 2015 no serán resueltas.
Pero no solo Microsoft abandonará Windows 2003, paulatinamente los fabricantes de software también dejarán de trabajar con dicha versión. Si no actualizamos, podríamos encontrarnos en la situación de que no solamente nuestro sistema operativo está desactualizado, sino que nuestro programa de ERP también lo está, y además la nueva versión no es compatible con 2003, por lo que no podremos actualizarlo, ni obtener las nuevas funcionalidades que nos ofreciera el producto.Por ejemplo, un software de contabilidad no nos dejaría actualizarlo con los planes contables del año en curso, o un programa de nóminas no nos dejaría actualizarlo con los nuevos cambios en la legislación.

¿Están las empresas concienciadas del peligro que esto supone?

Windows 2003 fue un sistema operativo de gran éxito, y como decíamos antes, aún está instalado en una gran cantidad de servidores. Esto supone que gran cantidad de equipos, a partir del 14 de julio, estarán expuestos a las nuevas vulnerabilidades que puedan surgir. Las grandes empresas suelen tener todo esto controlado (aunque no siempre), pero las pymes suelen ser un poco más “tardonas” en adaptar sus servidores a las nuevas versiones, a veces por dejadez o por pensar: ¿quién va a querer mis datos? Aunque la mayoría de las veces la razón es más bien económica, a veces cambiar de S.O o de servidor, es mucho más barato que solucionar un problema originado por un ciberataque que nos robe información o nos la secuestre mediante cryptolocker o similar.
Muchas empresas se plantean lo siguiente ya tengo antivirus y mi servidor está protegido con un firewall por lo tanto estoy protegido. Pues me temo que no, evidentemente un buen antivirus detectará el malware y hará mucho más difícil que pueda infectarme, pero si dicho malware utiliza vulnerabilidades de día cero que consiguen saltarse la protección AV, entonces estaremos expuestos a las vulnerabilidades. Lo mismo sucede con un firewall, podrá detener ataques al servidor, pero si esos ataques son a sistemas operativos descatalogados, es posible que no existan firmas para las vulnerabilidades de ese sistema, ya que trascurrido un tiempo, no solo Microsoft abandona el software, sino que los fabricantes también lo hacen, aunque este se produce pasado bastante más tiempo.