• 52 722 2462370
  • ruben.guzman@rberny.com
  • Toluca, Estado de México
Estrategia de TI
¡Peligros del Software Heredado!

¡Peligros del Software Heredado!

¡Legacy Software¡ Rberny CiberSeguridad 2021

¡Cuidado! Los piratas informáticos buscan software heredado u obsoleto.

Actualmente las empresas se enfrentan con más frecuencia al software heredado u obsoleto, una de sus principales desventajas es que dejan de recibir actualizaciones de seguridad después de que llega al final de su vida útil según la marca, está demostrado que esto puede servir como un gran bug potencial para ataques cibernéticos, no obstante, y a pesar de este conocido riesgo de seguridad, muchas empresas siguen utilizando software heredado u obsoleto.

¡Cuidado! Los piratas informáticos buscan software heredado u obsoleto.

¿Qué es un Sistema Heredado?

Un software legacy o sistema heredado, es un sistema informático, lenguaje de programación, aplicación de software, proceso u otra tecnología anticuada o que ya no puede recibir soporte y mantenimiento, sin embargo, es esencial para las organizaciones y no se quiere o no se puede reemplazar y/o actualizar de forma sencilla por varias razones:

Consideremos que la vida útil de los equipos grandes es de hasta 20 años debido a que su elevado costo tarda varios años en amortizarse (varía según el país), eso hablando de cuestiones contables y fiscales, sin embargo, los equipos en el año 2020, se vuelven obsoletos en un rango mucho menor de tiempo por el avance de la tecnología y la competencia en el mercado.

El mayor rompedor de cabezas, es que muchos procesos de negocio empresariales se diseñan a medida para continuar con la ruta crítica de los negocios, así como son fundamentales para la empresa, que sucede con ello, sencillo ¿Quién le dará mantenimiento a un traje a la medida? que fue desarrollado sobre un perfil y que resulta muy costo para los proveedores seguirle dando mantenimiento ¿Por qué dejarían de darle mantenimiento? por la actualización de los sistemas operativos y aplicaciones, por ejemplo, un Robot FANUC, que utiliza un Windows XP modificado en Alemán y el equipo está en Latinoamérica, podrás encontrar quien pueda darte soporte, pero no conseguir reingeniería sobre este por razones de licenciamiento, y bueno el proveedor ya tiene la nueva versión para los nuevos equipos, pero ¿qué creen? vale 2 o 3 veces más que el equipo anterior.

Los riesgos y costos operacionales de una actualización pueden ser muy altos, especialmente si hay riesgo de que los datos vitales se pierdan, corrompan o finalmente sean incompatibles con un entorno nuevo o diferente por decirlo de alguna manera.

El software puede contener reglas de negocio importantes, no soportadas en ningún otro sitio, tengamos en cuenta que rara vez existe una especificación completa de los sistemas heredados por lo que resulta casi imposible poder especificar que uno nuevo que sea idéntico.

Este es el clásico de clásicos, algunos técnicos y encargados de TI como cualquier ser humano se expande a tener miedo a lo desconocido, decían o dicen, “Si algo funciona, no le muevas” y es preferible no tocarlo, aunque existan soluciones mejores en el mercado.

Pues bien, todo esto hace que los sistemas heredados estén en todas partes: bancos, compañías de energía, petroleras, fabricación, defensa, transporte, hospitales, seguros, etc., en todos lados, la verdad.

¿Cuáles son los riesgos o qué problemas supone el uso de un sistema heredado? 

Funcionan, pero son cada vez más inestables debido a incompatibilidades con los nuevos Sistemas Operativos, navegadores o estructura de red, por consiguiente, no pueden utilizarse para siempre; en algún momento va a ser necesario actualizar el hardware, el lenguaje de codificación, el Sistema o la aplicación.

Debemos ser honestos, nadie llega a conocerlos al 100%, por su larga vida hace que pasen por diferentes manos, que se usen lenguajes distintos y la documentación no esté actualizada y con el tiempo, el rendimiento es más lento, el consumo de recursos mayor y hay más fallos, reduciéndose la eficiencia de procesos y la productividad, no obstante, sigue operando.

Al finalizar el soporte o mantenimiento de los fabricantes, se deja de recibir atención ante errores, la realidad es que cuantos más parches haya, más susceptible serán a las brechas de seguridad, cuidado con ello, no muchos le prestan atención a esta dura realidad y el problema se va conteniendo por partes, por lapsus de tiempo, incluso se continúa creciendo con nuevos desarrollos a la medida sobre la arquitectura del legacy software o software heredado.

Problemas de compatibilidad

Este tema es conocido por las personas que estamos en tecnologías de la información desde hace años y es que las aplicaciones vinculadas a versiones de Sistema Operativo y/o lenguajes obsoletos, observan invariablemente incompatibilidad con las nuevas tecnologías, con servicios en la nube o basados en web, los tenemos por que no prevenimos, hacemos que subsista el problema muchas veces por el poco presupuesto que se le asigna a dicha área.

Al día de hoy, en honor a la verdad es que la dificultad de sustituirlos y los graves riesgos implícitos son elevados y pueden llevar a las empresas al estancamiento, incapaces de encontrar una solución, dejando estos sistemas heredados u obsoletos en una situación que favorecía la formación de una tormenta perfecta que atrae un gran número de ciberatacantes, conscientes de que partes relevantes o fundamentales del negocio están parcheadas y/o los sistemas conectados a una red que ni existía cuando se desarrollaron.

¿Por qué sigue sucediendo?

Sin duda, una de las razones principales para mantener los sistemas heredados, especialmente en las grandes empresas, está relacionada con el costo de actualización, el desbordante costo percibido en tiempo y dinero para actualizar los sistemas a menudo se considera mayor que los riesgos de utilizar el producto hasta el final de su vida útil (EOL – End-of-life) y en algunos casos, el software interno se ha creado a medida para un propósito específico, pero los creadores originales ya no lo actualizan o ya no existen.

Hablemos en concreto y que independientemente de la justificación, ignorar la advertencia de fin de servicio o fin de servicio (EOS) puede dejar a las organizaciones abiertas a una variedad de ciberataques imprevistos.

Por ejemplo:

Fullz House hackeo del grupo de actores de amenazas BOOM!, este es un sitio web móvil que mediante la explotación de una versión anterior de PHP que ya no es compatible, permitió a los piratas informáticos robar información personal de los usuarios que visitaban el sitio web.

En este año se comprometieron alrededor de 2.000 tiendas en línea que ejecutan la versión obsoleta de Magento CMS1, como fue explotada, bueno utilizaron su vulnerabilidad para robar los detalles de pago de los usuarios, esto es muy reciente, esta versión de Magento había llegado a EOL el 30 de junio de 2020.

Una campaña de ataque de phishing generalizada que pretendía presionar a los empleados de las empresas para que actualizaran su sistema de Windows XP SP3 a Windows 7 a través de una página de inicio de sesión de Outlook falsa, a este respecto los investigadores de Cofense (https://cofense.com/ ) afirmaron que el ataque fue el resultado de la falta de diligencia debida de las empresas, en consecuencia, de que Microsoft había anunciado el fin del soporte para Windows 7 el 14 de enero de 2020.

Hay más

En un gran percance, el código fuente de Windows XP y Windows Server 2003 se filtró en varias plataformas en línea, les recuerdo hay quien todavía utiliza estas versiones y en esta ocasión incluyeron el código fuente para Windows XP SP1 y Windows Server 2003.

Recuerden, aun cuando Windows XP quedó oficialmente obsoleto en 2014, todavía se usa en el 30% de los equipos de cómputo en todo el mundo y se encuentran entre los que están en riesgo y cuál es su efecto, en el peor de los casos, esto puede provocar ciberataques similares a los experimentados en 2017 debido al ransomware WannaCry.

Los riesgos de mantener software heredado

En muchas ocasiones se aplaza la migración de sistemas antiguos porque se considera que la operación implica un coste demasiado alto, como ya lo mencioné, además, se asume que el proceso será largo e incómodo, sin embargo, los riesgos de mantener software heredado son múltiples y altos, por lo que les comparto algunos de los motivos por los que debes considerar seriamente una migración:

Cuando tu empresa depende de la plataforma heredada

No es extraño que el software heredado funcione únicamente en un entorno también heredado, de hecho, hemos comprobado que gran parte de los productos heredados de empresas que todavía los usan no funcionan en Windows 7 o versiones posteriores de este sistema operativo, entonces, los riesgos de mantener software heredado en cuanto a seguridad no se derivan en este caso del software en sí, sino de la dependencia de la plataforma que se ha heredado y que, probablemente, esté obsoleta.

Escasa o Inexistente Escalabilidad y flexibilidad

Las funcionalidades que una empresa necesita de su software cambian a medida que la empresa crece y evoluciona, de esta manera, ese software debe ser capaz de crecer y evolucionar al mismo ritmo, uno de los riesgos comunes de mantener software heredado es que esos productos no sean capaces de adaptarse o ampliarse para satisfacer las nuevas necesidades de las empresas.

Un caso muy habitual es el de grandes empresas que necesitan hacer compatible su software heredado con nuevas aplicaciones de comercio electrónico, entonces, la solución a estos problemas de incompatibilidad pasa por una migración, aunque muchas de ellas cometen el error de optar por aplicar parches o soluciones de urgencia para su software heredado, es verdad que esto puede funcionar a corto plazo, pero el hecho es que las necesidades de la empresa seguirán evolucionando y sus sistemas no podrán atenderlas.

Entonces, la falta de escalabilidad y flexibilidad es importante para cualquier organización, porque este tipo de software evita que se pierdan recursos e inversiones valiosos al adaptar las aplicaciones a nuevas necesidades de negocio, desafortunadamente es bastante común que el software heredado no pueda modificarse o expandirse para satisfacer esos nuevos requisitos, en razón a que la codificación fija de la mayoría de los productos heredados y dichas aplicaciones tienden a ser altamente inflexibles e incapaces de seguir el alto ritmo de los avances en la compañía.

Te quedaras sin soporte

Los proveedores de software, antes o después, deciden finalizar los contratos de soporte, por consiguiente, la consecuencia inmediata de ello es que los problemas de seguridad de ese software dejan de ser detectados, porque no le das seguimiento, algunos piensan que cuando salen de contrato o de soporte, también se termina el que se elaboren nuevos virus para atacar sus vulnerabilidades, esto es un gran error, al contrario.

Un ejemplo, muy sonado:

En 2016 las empresas que usaban el software documental heredado de Adobe Central se encontraron con un problema de impresión derivado de una actualización de seguridad de Windows, el impacto fue que esto afectó a los procesos documentales de dichas empresas y en muchos casos, a sus beneficios y productividad, desde entonces, aunque pueda parecer increíble, no todas han procedido a la correspondiente migración, los consiguientes perjuicios se hicieron parte de su operación, ¡INCREÍBLE, pero cierto!

Dado que los ciberdelincuentes están prestando atención a los incidentes de EOL y EOS, las empresas deben tener un plan sólido para mitigar los riesgos de seguridad relacionados con el software desactualizado, por lo que les recuerdo que es fundamental que las organizaciones estén al tanto de lo que se debe reemplazar o actualizar y en qué momento, al mismo tiempo, tener un sistema de gestión de proyectos del ciclo de vida del software infalible es crucial para evitar problemas de EOL.

Los lenguajes de programación heredados plantean graves riesgos para los robots industriales

En mi experiencia, trabaje varios años en una empresa que utilizaba casi 300 robots industriales y ya en ese entonces, se me había pedido hacerle reingeniería a los centros de control que estaban manejados por equipos con Windows XP modificado y en idioma alemán, ya que se había presentado un fallo en la tarjeta madre, recuerdo que conseguir la misma motherboard fue bastante difícil, además de caro.

De la misma forma, según investigadores de la Universidad Politécnica de Milán y la firma de ciberseguridad Trend Micro han analizado algunos de los lenguajes de programación industrial más populares y viejos, los cuales han mostrado cómo se pueden abrir la puerta a ataques contra robots y otras máquinas de fabricación programables, para lo cual desarrollaron un gusano para demostrar la gravedad de sus hallazgos.

Los investigadores analizaron lenguajes de programación de ABB, Comau, Denso, Fanuc, Kawasaki, Kuka, Mitsubishi y Universal Robots, que se pueden utilizar para crear aplicaciones personalizadas que permitan a los robots industriales realizar complejas rutinas de automatización, descubrieron vulnerabilidades en muchos de ellos, incluidas fallas que podrían permitir a un pirata informático controlar o interrumpir un robot.

Resumiendo

Indicaron que es posible que parte del código que analizaron se originó a partir de materiales técnicos que probablemente es utilizado por programadores principiantes, y no es raro que el código fuente abierto se abra camino en los productos finales, debemos considerar que la mayoría de los lenguajes de programación estudiados han existido durante mucho tiempo y la migración a una tecnología diferente sería una tarea difícil y costosa para muchas organizaciones.

Además de las vulnerabilidades en las aplicaciones desarrolladas con los lenguajes de programación analizados, los investigadores descubrieron fallas de diseño que pueden explotarse para ocultar funciones maliciosas en robots industriales e incluso crear malware que se propaga automáticamente, saturando o bloqueando la red.

Un pirata informático sofisticado podría realizar pequeños cambios en el código que se ejecuta en un robot para obtener código malicioso de una ubicación remota y ejecutarlo, o un malware, entonces en una prueba de concepto (PoC) desarrollado por dichos investigadores, utiliza uno de los lenguajes de programación heredados puede propagarse automáticamente en el entorno comprometido como un gusano y exfiltrar datos valiosos de los dispositivos, al tiempo que permite a los atacantes controlar de forma remota su creación.

No actualizar ni migrar a una tecnología más moderna podría generar problemas importantes a nivel corporativo, dos de los inconvenientes más importantes del software heredado incluyen el riesgo de seguridad que conlleva y las posibles pérdidas financieras a causa de operaciones de negocio críticas afectadas.

Las principales desventajas del software heredado

Finalización de soporte

Normalmente, en algún momento, el proveedor del software heredado decide terminar el servicio de soporte del producto en cuestión, lo que significa que, desde ese momento, los riesgos de seguridad permanecen sin detectar o no se toman medidas para solucionarlos.

Falta de regulación

El software heredado posiblemente no sigue las nuevas regulaciones legales, por el vacío que existe en el tiempo de su lanzamiento y el surgimiento de las nuevas disposiciones, no obstante, si lo hace, dejará de hacerlo en breve con casi total seguridad, por ejemplo: en el caso del software documental, se deben tener en cuenta las nuevas regulaciones legales para el almacenamiento de los datos, firmas digitales y la distribución segura de datos, de igual manera, la lista de nuevas regulaciones y marcos legales para el almacenamiento, Backup y distribución de datos está creciendo más que nunca.

El claro ejemplo es la reforma en el Reglamento General de Protección de Datos elaborado por el Consejo Europa, la cual afecta de manera importante al almacenamiento de datos, y la Ley de Responsabilidad y Portabilidad del Seguro de Salud expone unas indicaciones muy exigentes referente a los métodos de almacenamiento y Backup de datos sobre salud personal en los EE.UU.

La solución

Migración hacia software moderno

Ningún producto está totalmente libre de riesgos de seguridad, pero las nuevas aplicaciones de software siempre se desarrollan teniendo en cuenta las vulnerabilidades ya conocidas y, al ser implementadas con sus servicios de soporte correspondientes, reciben actualizaciones y correcciones en el caso de problemas o fallos inesperados.

Es evidente que el nuevo software incluye generalmente nuevas funcionalidades, como una interfaz de usuario mejorada y niveles de rendimiento aumentados, resultando en beneficios adicionales para la compañía, de forma sensible, si la migración a otro software es adecuadamente analizada antes de la implementación, la organización en cuestión obtendrá sin duda una solución que ofrezca las opciones necesarias para soportar efectivamente las capacidades de negocio presentes y futuras, permitiendo así que la compañía pueda crecer y evolucionar.

Según colegas y personas involucradas en TI de sus negocios, me han mencionado, que, a pesar de la existencia de nuevas alternativas, los grandes actores detrás de las plataformas líderes aún dominan el mercado y que salirse de sus plataformas es simplemente de carácter económico y de gran impacto, y estamos seguros al considerar que los ICS (sistemas de control industrial) heredado pone en riesgo la infraestructura crítica.

Este es un proceso delicado, no es fácil para cualquier empresa tomar la decisión y el sobre trabajo del personal de TI, Robótica y mantenimiento de las plantas industriales se intensifica, en este sentido hay que hacer un buen análisis del estado de la empresa frente al software heredado y a los equipos que estén ya actualizados no mezclarlos en la misma red para que no tengan inconsistencias, coloca Gateway intermedios entre redes y tener el ambiente aislado.

Si te encuentras en alguna de estas situaciones, con gusto hablamos para ayudarlo, recuerden en sistemas muchas veces la solución más adecuada es la más sencilla.

Saludos

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

EnglishFrançaisDeutschEspañol
A %d blogueros les gusta esto: