El soporte a Windows XP llega a su fin, ¿y ahora qué?

Windows XP y ahora quéA partir de este 8 de abril, no habrá más actualizaciones de seguridad, así que es probable que los sombreros negros lancen un torrente de malware para explotar las vulnerabilidades que Microsoft ya no va a parchar. “Algunos hackers estarán pendientes de los exploits y esperando a que acabe el soporte”, señaló Chris Sherman, analista de seguridad de Forrester Research. “Si sabe de una vulnerabilidad, ¿por qué no hacerlo?”

Los hackers también podrán examinar las actualizaciones de seguridad de Windows Vista y Windows 7 para obtener un buen conocimiento de las vulnerabilidades subyacentes que se parchan, y aplicar ese conocimiento para explotar vulnerabilidades similares que existen en Windows XP.

El fin de Windows XP es un problema potencial para las empresas debido al número de máquinas con XP que aún existen. Forrester estima que el 20% de los endpoints de las empresas todavía corren XP, llegando a 23% en los sectores públicos y de cuidados de la salud; los retailers también se encuentran en riesgo.

Asimismo, un estudio de Fiberlink, empresa de administración de dispositivos móviles que es propiedad de IBM, encontró que hasta un 20% de los endpoints que encuestó usaban XP, y eso incluía a algunas grandes compañías financieras que son usuarios intensivos de XP.

¿Por qué las empresas lo siguen usando?

Una buena pregunta es por qué estos sistemas no han migrado a un sistema operativo más moderno. Después de todo, Microsoft anunció la fecha del fin del soporte para Windows XP en abril del 2012.

“Algunas organizaciones han subestimado los tiempos de migración, algunas pensaron que el tema no era importante, y es posible que algunos departamentos de TI no hayan conseguido el financiamiento para llevar a cabo una migración”, explicó Michael Silver, vicepresidente de investigación de Gartner.

El analista dijo que algunas organizaciones no tomaron en serio la fecha del fin del soporte o se encuentran satisfechas con hacer la actualización a una versión más nueva de Windows cuando pasen por su ciclo de renovación de hardware.

Además, un buen número de organizaciones usan aplicaciones legacy que sólo pueden ejecutarse en XP, ya que son incompatibles con versiones posteriores de Windows. Otras no tienen deseos de realizar la actualización, ya que no se dispone de los controladores necesarios para algunas muy costosas piezas de equipamiento que utilizan, como los dispositivos médicos.

La automatización, un acelerador

La migración es ciertamente algo que necesita tiempo, pero el tiempo real que se requiere depende de la cantidad de recursos que una compañía tenga disponibles. “Uno podría migrar 20 mil máquinas en un fin de semana, si tuviera 20 mil técnicos”, afirmó Silver. La clave para realizar una migración rápida sin utilizar enormes cantidades de recursos humanos es la automatización.

La institución académica francesa EHESP es una organización que llevó a cabo una migración de este tipo, cambiando 600 PC con Windows XP a Windows 7 en un mes. Para ello empleó a sólo tres personas de TI más un consultor. Lo hizo automatizando el procedimiento mediante la herramienta Migration Fast Forward Service de Dell, una imagen master de un ambiente de PC preconfigurado y un appliance de despliegue Dell KACE.

“Luego de evaluar la compatibilidad de nuestro software, migramos de las viejas computadoras a las nuevas, y desde Windows XP a Windows 7, a una tasa de alrededor de 30 PC por día”, sostuvo Gwendal Rosiaux, gerente del Departamento de TI y Telecomunicaciones de EHESP. “Estoy absolutamente seguro que esto fue más rápido y barato que intentar hacer la migración sin automatización”.

Soporte customizado para Windows XP

Microsoft seguirá produciendo parches de seguridad para Windows XP luego del 8 de abril, pero éstos sólo se encontrarán disponibles para las compañías que estén dispuestas a pagar un soporte customizado. No existe una lista de precios oficial para este servicio, pero en general se acepta que el costo será de unos 200 dólares por máquina en el primer año, y se duplicará en cada año posterior.

El alto costo del soporte customizado aleja a muchas organizaciones de esta opción, pero Silver recomienda a las organizaciones que lo piensen de nuevo. “Hemos visto los precios máximos”, sostuvo. “Hemos escuchado de máximos en los costos totales de soporte, que son menores a los del pasado, de manera que vale la pena hablar con Microsoft sobre esta posibilidad”.

Las compañías de industrias reguladas que no tomen este enfoque podrían correr el riesgo de enfrentar problemas de cumplimiento, ya que correrían un sistema operativo que no ha sido parchado para las vulnerabilidades conocidas. “En última instancia, depende de los auditores, pero habría mucha incertidumbre sobre si decir que un sistema es seguro si no ha sido parchado”, advirtió Silver.

Chuck Brown, director de Fiberlink, concuerda con esto. “En el lado federal de Estados Unidos, las máquinas no cumplirán (si corren XP)”, señala. Y me sorprende que del lado de los servicios financieros, con toda la regulación mundial que existe, piensen que eso (correr máquinas con XP) no es caer en el incumplimiento”.

Controles de seguridad de terceros tienen potencial

Existen otras formas de intentar asegurar las máquinas con XP además de obtener soporte customizado de Microsoft. Una opción es implementar suficientes controles de seguridad para evitar que los exploits lleguen a ellas. Ese es el enfoque utilizado por Arkoon+Netasq, una compañía francesa que ofrece un servicio llamado ExtendedXP. Éste combina un agente de seguridad que corre en cada endpoint con XP con un servicio que monitorea el total del ambiente de amenazas para XP y sugiere medidas que se deben tomar para mitigarlas.

Otra opción es utilizar la virtualización para aislar las aplicaciones individuales, un enfoque que ha sido tomado por la empresa proveedora de software de seguridad Bromium, de California. El producto vSentry de la compañía crea máquinas microvirtuales y aisladas mediante hardware para cada tarea de usuario final.

Si ocurriera un ataque dentro de una micromáquina virtual aislada por hardware, automáticamente ésta queda aislada de la CPU, memoria, almacenamiento, acceso a dispositivos y acceso a la red. Cuando la tarea del usuario concluye, cualquier malware es automáticamente destruido, señala la compañía.

“El 60% del malware utiliza archivos PDF como vector de infección, por lo que estos tipos de productos de aislamiento ofrecen una valiosa protección”, afirmó Sherman de Forrester. “El problema es que sólo algunas aplicaciones son soportadas”.

Sherman también sugirió usar la tecnología de listas blancas de aplicaciones para evitar que se ejecute código desconocido, aunque indicó que las aplicaciones de la lista blanca pueden verse comprometidas.

Considere también la ‘Opción Cero’

Debido a que la mayoría de los malwares requieren de derechos de administrador, las soluciones de administración de privilegios –que permiten el uso de cuentas con privilegios estándar y elevarlas a cuentas de administrador sólo cuando es necesario para realizar ciertas tareas– pueden ser una forma efectiva para reducir los riesgos.

Un estudio de vulnerabilidades de Microsoft llevado a cabo por Avecto, empresa proveedora de software de administración de privilegios, encontró que el 92% de las vulnerabilidades críticas resaltadas en los boletines de seguridad 2013 de Microsoft podrían mitigarse al retirar los derechos de administrador. Esto incluye al 96% de las vulnerabilidades críticas que afectan a Windows y al 91% de las vulnerabilidades que afectan a Microsoft Office.

Pasos simples como deshabilitar Java y Flash y usar el navegador de un tercero como Chrome –que seguirá siendo actualizado– pueden también mejorar la posición de seguridad de una máquina con Windows XP.

También existe una opción “cero”: Desconectar las máquinas con XP de Internet para aislarlas de las amenazas provenientes de ella. Aunque Silver señala que aun así existe un riesgo de infección de software malicioso (como el ransomware que cifra los datos) por USB.

Afortunadamente, los riesgos de Windows XP disminuyen con el tiempo

El peligro de correr máquinas con Windows XP probablemente se incremente en los siguientes 12 meses, ya que las nuevas vulnerabilidades que se parchan en Windows Vista y Windows 7 serán explotadas en XP. Las buenas noticias son que, a final de cuentas, el riesgo caerá, aseveró Silver.

Eso se debe a que la base instalada de máquinas con Windows XP caerá a un nivel tan bajo que ya no será atractiva para los autores de malware, como es el caso de Linux y las máquinas con OS X.

“Probablemente, el próximo año el riesgo de correr máquinas con XP será alto, pero en dos o tres años, éste disminuirá”, señala Silver. “Pero eso es mucho tiempo para las organizaciones que hoy corren XP”.