Llegamos a ustedes gracias a:



Reportajes y análisis

Fin del soporte a Windows XP: ¿Y ahora?

[08/04/2014] Millones de PC que corren Windows XP enfrentan un tsunami de ataques de hackers desde hoy, cuando Microsoft cese de soportar el viejo pero aún popular sistema operativo.
Luego de hoy, no habrá más actualizaciones de seguridad, así que es probable que los sombreros negros lancen un torrente de malware para explotar las vulnerabilidades que Microsoft ya no va a parchar. Algunos hackers van a estar pendientes de los exploits y esperando a que acabe el soporte, señala Chris Sherman, analista de seguridad de Forrester Research. Si sabe de una vulnerabilidad, ¿por qué no hacerlo?
Vea también
Los hackers también podrán examinar las actualizaciones de seguridad de Windows Vista y Windows 7 para obtener un buen conocimiento de las vulnerabilidades subyacentes que se parchan, y aplicar ese conocimiento para explotar vulnerabilidades similares que existen en Windows XP.
El fin de Windows XP es un problema potencial para las empresas debido al número de máquinas con XP que aún existen. Forrester estima que el 20% de los endpoints de las empresas corren XP, llegando a 23% en los sectores públicos y de cuidados de la salud; los retailers también se encuentran en riesgo. Una investigación de Fiberlink, empresa de administración de dispositivos móviles que es propiedad de IBM, igualmente encontró que hasta un 20% de los endpoints que encuestó usaban XP, y eso excluye a algunas grandes compañías financieras que son usuarios muy intensivos de XP.
Si el soporte para Windows XP termina ¿por qué las empresas lo siguen usando?
Una buena pregunta es porqué estos sistemas no han migrado a un sistema operativo más moderno. Después de todo, Microsoft anunció la fecha del fin del soporte para Windows XP en abril del 2012.
Algunas organizaciones han subestimado los tiempos de migración, algunas pensaron que el tema no era importante, y es posible que algunos departamentos de TI no hayan conseguido el financiamiento para llevar a cabo una migración, sostiene Michael Silver, vicepresidente de investigación de Gartner. El investigador añade que algunas organizaciones no tomaron en serio la fecha del fin del soporte o se encuentran satisfechas con hacer la actualización a una versión más nueva de Windows cuando pasen por su ciclo de renovación de hardware.
Además, un buen número de organizaciones usan aplicaciones legacy que solo pueden ejecutarse en XP, ya que son incompatibles con versiones posteriores de Windows. Otras no tienen deseos de realizar la actualización, ya que no se dispone de los controladores necesarios para algunas muy costosas piezas de equipamiento que utilizan, como los dispositivos médicos.
La automatización puede acelerar la migración de Windows XP
La migración es ciertamente algo que requiere de tiempo, pero el tiempo real que se requiere depende de la cantidad de recursos que una compañía tenga disponibles. Uno podría migrar 20 mil máquinas en un fin de semana, si tuviera 20 mil técnicos, puntualiza Silver. La clave para realizar una migración rápida sin utilizar enormes cantidades de recursos humanos es la automatización.
La institución académica francesa EHESP es una organización que llevó a cabo una migración de este tipo, cambiando 600 PC con Windows XP a Windows 7 en un mes, usando solo tres personas de TI más un consultor. Lo hizo automatizando en parte el procedimiento usando la herramienta Migration Fast Forward Service de Dell, una imagen master de un ambiente de PC preconfigurado y un appliance de despliegue Dell KACE.
Luego de evaluar la compatibilidad de nuestro software, migramos de las viejas computadoras a las nuevas, y desde Windows XP a Windows 7, a una tasa de alrededor de 30 PC por día, sostiene Gwendal Rosiaux, gerente del Departamento de TI y Telecomunicaciones de EHESP. Estoy absolutamente seguro que esto fue más rápido y barato que intentar hacer la migración sin automatización.
Soporte customizado para Windows XP
Microsoft, de hecho, seguirá produciendo parches de seguridad para Windows XP luego del 8 de abril, pero éstos solo se encontrarán disponibles para las compañías que estén dispuestas a pagar un soporte customizado. No existe una lista de precios oficial para este servicio, pero en general se acepta que el costo se encontrará alrededor de 200 dólares por máquina en el primer año, y se duplicará en cada año siguiente.
El alto costo del soporte customizado ha alejado a muchas organizaciones de esta opción, pero Silver recomienda que las organizaciones lo piensen de nuevo. Hemos visto los precios máximos, sostiene. Hemos escuchado de máximos en los costos totales de soporte que son menores a aquellos del pasado, así que definitivamente vale la pena hablar con Microsoft sobre esta posibilidad.
Las compañías de las industrias reguladas que no tomen este enfoque podrían correr el riesgo de enfrentar problemas de cumplimiento, ya que correrían un sistema operativo que no ha sido parchado para las vulnerabilidades conocidas. En último término, depende de los auditores, pero habría mucha incertidumbre sobre si decir que un sistema es seguro si no ha sido parchado, advierte.
Chuck Brown, director de Fiberlink, concuerda con esto. En el lado federal de Estados Unidos, las máquinas no van a cumplir (si corren XP), señala. Y me sorprende que del lado de los servicios financieros, con toda la regulación mundial que existe, piensen que eso (correr máquinas con XP) no es caer en el incumplimiento.
Los controles de seguridad de terceros tienen potencial
Existen otras formas de intentar asegurar las máquinas con XP además de obtener soporte customizado de Microsoft. Una opción es implementar suficientes controles de seguridad para evitar que los exploits lleguen a ellas. Ese es el enfoque utilizado por Arkoon+Netasq, una compañía francesa que ofrece un servicio llamado ExtendedXP. Éste combina un agente de seguridad que corre en cada endpoint con XP con un servicio que monitorea el total del ambiente de amenazas para XP y sugiere medidas que se deben tomar para mitigarlas.
Otra opción es utilizar la virtualización para aislar las aplicaciones individuales, un enfoque que ha sido tomado por la empresa proveedora de software de seguridad Bromium, de California. El producto vSentry de la compañía crea máquina microvirtuales y aisladas mediante hardware para cada tarea de usuario final. Si ocurre un ataque dentro de una micromáquina virtual aislada por hardware, ésta automáticamente queda aislada de la CPU, memoria, almacenamiento, acceso a dispositivos y acceso a la red. Cuando la tarea del usuario concluye, cualquier malware es automáticamente destruido, señala la compañía.
El 60% del malware utiliza archivos PDF como vector de infección, por lo que estos tipos de productos de aislamiento ofrecen una valiosa protección, sostiene Sherman de Forrester. El problema es que solo algunas aplicaciones son soportadas.
Él también sugiere usar la tecnología de listas blancas para aplicaciones para intentar evitar que se ejecute código desconocido, aunque indica que las aplicaciones de la lista blanca pueden verse comprometidas.
También considere la administración de privilegios, la Opción Cero
Ya que la mayoría de los malwares requieren de derechos de administrador, las soluciones de administración de privilegios -que permiten el uso de cuentas con privilegios estándar y elevarlas a cuentas de administrador solo cuando es necesario para realizar ciertas tareas- pueden ser una forma efectiva de reducir los riesgos.
Un estudio de vulnerabilidades de Microsoft llevado a cabo por Avecto, empresa proveedora de software de administración de privilegios, encontró que el 92% de las vulnerabilidades críticas resaltadas en los boletines de seguridad 2013 de Microsoft podrían mitigarse al retirar los derechos de administrador. Esto incluye al 96% de las vulnerabilidades críticas que afectan a Windows y al 91% de las vulnerabilidades que afectan a Microsoft Office.
Pasos simples como deshabilitar Java y Flash y usar el navegador de un tercero como Chrome, que seguirá siendo actualizado, pueden también mejorar la posición de seguridad de una máquina con Windows XP.
También existe una opción cero: Desconectar las máquinas con XP de Internet para aislarlas de las amenazas provenientes de ella. Aunque Silver señala que aun así existe un riesgo de infección de software malicioso (como el ransomware que cifra los datos) por USB.
Afortunadamente, los riesgos de Windows XP disminuyen con el tiempo
El peligro de correr máquinas con Windows XP probablemente se incremente en los siguientes doce meses, ya que las nuevas vulnerabilidades que se parchan en Vista y Windows 7 serán explotadas en XP. Las buenas noticias son que, en último término el riesgo caerá, cree Silver.
Eso se debe a que la base instalada de máquinas con Windows XP caerá a un nivel tan bajo que ya no será atractiva para los autores de malware, como es el caso de Linux y las máquinas con OS X.
En el próximo año aproximadamente, el riesgo de correr máquinas con XP será alto. Más allá de los dos o tres años, habrá menos riesgo, señala Silver. Pero eso es mucho tiempo para las organizaciones que corren XP.
Paul Rubens, CIO (EE.UU.)