¿Sabes lo que estabas haciendo hace 3736 días?
Realmente nosotros tampoco, necesitamos la memoria inexorable de Internet que nos recuerda qué sucedió el 22 de octubre de 2009.
Esa fue la fecha de lanzamiento oficial de Windows 7, por lo que instalamos una copia (¿recuerdas cuando el software se vendía en cajas?) y probamos un muchos virus en su contra.
En pocas palabras, tomábamos 10 muestras de malware de Windows para su análisis en SophosLabs, verificábamos que se ejecutaban en las versiones anteriores de Windows y luego las lanzamos en el nuevo Windows 7.
La buena noticia es que tres de las 10 muestras no funcionaron en Windows 7. La mala noticia es que siete lo hicieron.
Realmente no se puede culpar a Microsoft por eso, por mucho que se quiera, dado que todos esperaban que el software existente funcionara “de forma inmediata” con la nueva versión, a pesar de las numerosas mejoras de seguridad.
Eso fue hace una década: 10 años y casi 3 meses, para ser precisos.
Hoy marca el otro extremo de la historia de Windows 7, el final del otro extremo, de hecho.
Ayer fue el primer martes de parches de 2020 por lo que fueron las últimas actualizaciones de Windows
No habrá más actualizaciones rutinarias de Windows 7, como no ha habido para Windows XP desde el martes 08 de abril de 2014.
El problema es que las “nuevas” muestras de malware, junto con las nuevas vulnerabilidades y exploits, es probable que funcionen en los viejos sistemas Windows 7 de la misma manera que en 2009 la mayoría del “viejo” malware funcionaba en los nuevos sistemas Windows 7.
Incluso si los delincuentes dejan de buscar nuevas vulnerabilidades en Windows 7 y se centran solo en Windows 10, existe una buena posibilidad de que los errores que encuentren no sean realmente nuevos y se hayan heredado en el código que se escribió originalmente para versiones anteriores de Windows
Los errores no siempre se encuentran rápidamente, y pueden permanecer ocultos durante años sin ser detectados, incluso en el software de código abierto que cualquiera puede descargar e inspeccionar cuando lo desee.
Esos fallos latentes pueden eventualmente ser descubiertos, “armados” (para usar uno de los términos de jerga menos atractivos de la industria de seguridad) y explotados por delincuentes, para sorpresa de todos.
El infame Heartbleed en OpenSSL estuvo ahí durante unos dos años antes de convertirse en noticia de portada. En 2012, la utilidad de seguridad de Unix corrigió un error de escalada de privilegios que se había introducido en 2007. OpenSSH parcheó un error en 2018 que había permanecido sin descubrir en el código desde aproximadamente el año 2000.
¿Quién tiene la culpa?
Windows 10 es significativamente más seguro contra la explotación por parte de ciberdelincuentes que Windows 7, y la actualización de esas nuevas características de seguridad en Windows 7 simplemente no es factible.
Por ejemplo, hay numerosos “cambios importantes” en Windows 10 que alteran deliberadamente la forma en la que funcionaban las cosas en Windows 7 (o eliminan componentes por completo) porque ya no se consideran lo suficientemente seguros.
Por esa razón, actualizarse puede considerarse un paso necesario y deseable.
Al mismo tiempo, no avanzar te dejará cada vez más expuesto a agujeros de seguridad, porque cualquier vulnerabilidad que se descubra será conocida públicamente, pero sin parches.
Para bien o para mal, el proceso moderno de búsqueda y divulgación de errores generalmente implica informar de manera responsable de las vulnerabilidades, lo que idealmente incluye una “prueba de concepto” que muestra al vendedor cómo funciona el error en la vida real, como una forma de confirmar su importancia.
Una vez publicados los parches, ahora se considera no solo razonable sino también importante publicar una exposición detallada de la vulnerabilidad y cómo explotarla.
Tan loco como suena, la idea es que es más probable que escribamos software seguro en el futuro si podemos aprender fácilmente de los errores del pasado, con el argumento de que aquellos que no pueden recordar la historia están condenados a repetirla.
Sin embargo, la desventaja de la divulgación completa de las vulnerabilidades es que esas divulgaciones a veces son “instrucciones de ataque a perpetuidad” contra sistemas cuyos propietarios no han parcheado, no pueden parchear o no parchearán.
¿Qué hacer?
- Identifique los sistemas en su red que simplemente no pueden actualizarse. Luego debe decidir si es absolutamente necesario conservarlos, por ejemplo, porque son dispositivos irremplazables y especializados de los que simplemente no puede prescindir, o si desea deshacerse de ellos para siempre. Si tiene que conservarlos, colóquelos en una red separada y limite su exposición tanto como pueda.
- Identifique los sistemas donde el software de otros proveedores lo está frenando. Continuar con una versión de Windows ahora insegura solo para continuar ejecutando una pila de software ahora también inseguros, solo está empeorando las cosas. Vaya al paso 1.
- Establezca plazos estrictos para finalmente pasar a Windows 10. Técnicamente, ya es demasiado tarde, así que no se demore más. Cuanto más tiempo lo posponga, más expuesto estará y mayor será el número de ciberdelincuentes que podrán penetrar en su red si deciden intentarlo. Vaya al paso 1.
Dependiendo de a quién preguntes, tendrás cifras que sugieren que entre el 25% y el 33% (entre un cuarto y un tercio) de los ordenadores de sobremesa todavía ejecutan Windows 7.
Entonces, por favor no esperes más, ¡actualízate hoy!