Obsolescencia programada, Ciberseguridad y parches 2022

La obsolescencia programada es un tema dificil de posicionar en una mesa de directorio de una compañía, pero es vital para el negocio.

La ciberseguridad es clave desde hace mucho tiempo y más hoy día, vemos notas de filtraciones, vulnerabilidades y ransomware a cada momento en los medios.

Lo escuchamos de nuestros compañeros y colegas en diversas organizaciones con muchas de ellas tomando acciones preventivas y correctivas de manera metódica y programada.

Hasta acá todo bien, pero, ¿que ocurre cuando tenemos toda una infraestructura corporativa, segura, probada, estable y robusta, y un cambio de protocolos de seguridad sin compatibilidad hacia atrás nos vuelve a foja cero dejando toda nuestra infraestructura inaccesible de un plumazo?

Obsolescencia programada
Obsolescencia programada

Veamos un ejemplo, supongamos que tenemos una central telefónica IP de X marca, cuyo último firmware del año 2021 ( año donde deja de tener soporte por su ciclo de vida de obsolescencia programada).

La obsolescencia programada y el factor clave de la TLS
La obsolescencia programada y el factor clave de la TLS

Soporta solo hasta el protocolo de seguridad TLS (transport layer security) v1.2 (el cual no es soportado mas por default desde junio del 2022 en mozilla Firefox 102), dicho esto vamos a intentar administrar nuestra central o sus teléfonos a través de sus interfaces web segurizadas via HTTPS y ahí comienza la odisea.

El bendito error del navegador de protocolo no soportado y el comienzo de la búsqueda de soluciones habilitando dicho protocolo a mano en las preferencias del navegador a sabiendas del riesgo de seguridad que nos abre.
Y ese fue un simple ejemplo de un solo sistema relativamente actual con un protocolo seguro atrasado solo una versión, imaginemos corporaciones enteras, que deban entrar en estas dicotomías de mantener una estrategia vigente de seguridad.

A su vez por falta de los fabricantes no poder actualizar mas su equipamento en perfecto estado y totalmente funcional a sus necesidades para poder hacer frente a esos escenarios .

El ciclo de vida promedio de una gran cantidad de equipamiento es de 3 a 5 años, digamos por ejemplo tablets, celulares corporativos, PC de escritorio, storage, servers.

La salida permanente de servicio de estos equipos por su desgaste lógicamente soluciona el problema de la obsolescencia en seguridad programada del software.

Pero existe equipamiento que posee mucho menos desgaste, está hecho para durar y es robusto por naturaleza como cámaras IP, teléfonos, sistemas de control de accesos, sistemas de alarmas y señales débiles.

Un punto crítico de muchas empresas que suelen durar muchísimos años sin fallas, los access points, switches, gateways y routers/firewalls.

Que hacemos con dicho hardware que a los 10 años de uso sigue siendo perfectamente funcional pero cuyo último firmware del fabricante quizás no se actualiza desde hace 5 años.

La obsolescencia programada como tema del directorio de una compañía
La obsolescencia programada como tema del directorio de una compañía

Y ahí comienza el periplo de los especialistas de seguridad informática vs. el departamento o gerencia de sistemas vs la gerencia contable dado que por lógica, muchos de sus intereses primarios serán diferentes.

El gerente de sistemas va a bregar por la estabilidad y la eficiencia de los sistemas críticos con un recambio programado de equipamiento acorde a un plan director de infraestructura.

La gerencia de finanzas va a cuidar cada centavo de los activos de la empresa y seguramente cuestionará muchas de las compras de la gerencia de IT, tildándolas de innecesarias y luego el área de ciber seguridad pondrá en tela de juicio planteos como el expresado anteriormente.

Podría recomendará acciones para con una cantidad de hardware mucho mas grande que la presupuestada para ese año fiscal y para lograr un justo equilibrio todas las partes deberán estar de acuerdo en diversos escenarios.
Un primero posible escenario quizás sea actualizar el equipamiento, pero difícilmente una empresa o pyme cambie cada 5 años toda su infraestructura de red y telefónica, controles llaves etc.

Por lo cual este escenario muchas veces será descartado.

IT CONNECT
IT CONNECT
Información de valor para ejecutivos que toman decisiones de negocios

Como segundo escenario y el quizás mas posible el depto de sistemas podría anoticiarse de las fallas de seguridad, no tomar medidas al respecto mas que quizás separar físicamente.

Lógicamente como opción utilizando vlans / dmz etc a los dispositivos obsoletos y generar alguna estación de trabajo virtualizada o física dentro de esa zona insegura para su administración y configuración.

Como tercer escenario y el que como especialistas en seguridad no recomendariamos, asumir el riesgo posible darle una probabilidad de ocurrencia baja y habilitar las versiones obsoletas de protocolos de seguridad a sabiendas de la caja de pandora que se podría abrir.

Y esto es solo la punta del iceberg, tenemos cientos de miles de dispositivos que nadie sabe como actualizar o sus fabricantes nos venden como cajas negras no administrables, como por ejemplo los PoS (point of sale), los dispositivos lectores de tarjetas de crédito y débito.

En este ítem es importante destacar que si poseen equipos de MeLi o de Getnet de la red Santander su app permite actualizar el firmware de los mismos pero no es un proceso automático y sencillo para cualquier ciudadano sin conocimientos avanzados.

Tengamos en cuenta que cuando me refiero a conocimientos avanzados, hablo desde el punto de vista de un Ingeniero en Sistemas, si lo miramos desde el punto de vista de un comerciante, hablamos de verdaderos expertos en física cuántica.

Si a todo esto le sumamos el internet de las cosas (IoT), proyectores empresariales, TV Smart con Android, sensores de alarmas, aires acondicionados, detectores de humo y otros miles de dispositivos.

Ante un cambio de seguridad de protocolos de una firma etc dejarían de funcionar inmediatamente y quizás sin solución de parte de sus fabricantes.

Debemos exigir seguridad informática desde la concepción de las ideas, protección a nuestros datos y apps, y dicha seguridad debe además ser actualizable por un período de ciclo de vida bastante mas amplio que el actual.

Que solo depende de las ganas de los fabricantes sin ningún compromiso real, con mínimas excepciones de pocos de ellos.

De no mediar cambios, todas nuestras inversiones en seguridad pueden ser anuladas hasta cuando intentamos implementar una mejor política, hermoso oximorón y loop vicioso en el que hemos entrado.

 

 

Por Ing. Fernando M. Villares

 

Lea más

Seguridad Cibernética: clave para la economía 2022

Informe Fortinet de Seguridad en la Nube 2022

SIM swapping: 3 claves para no ser víctima de los criminales

Conti: banda de ransomware que publicó datos de 850 empresas

Deepfakes 2022: ¿Ver para creer?

 

obsolescencia programada,  obsolescencia programada,  obsolescencia programada,  obsolescencia programada,  obsolescencia programada,  obsolescencia programada,  obsolescencia programada, 

obsolescencia programada,  obsolescencia programada,  

90 / 100