La reciente noticia de que el código fuente de XP se ha hecho público ha sido recibida con respuestas variadas. Comprensiblemente, algunas personas asumen que ha estado fuera de soporte durante tanto tiempo que realmente no importa. Sin embargo, hay algunas formas clave en que esta exposición puede tener un impacto serio.

En primer lugar, está el riesgo para los sectores verticales críticos

Esta noticia me hizo pensar en el problema que aún persiste relacionado con los sistemas operativos al final de su vida útil que impregnan diferentes sectores. Si bien la cuota de mercado mundial de las máquinas con Windows XP es de apenas un 0,82%, sin embargo ese protagonismo aumenta en ciertos segmentos de la industria -incluidos los cajeros automáticos y los dispositivos médicos.

Así que, al sentarme a escribir esto, me puse en contacto con amigos de los sectores financiero y sanitario para investigar un poco más el asunto. Aunque la respuesta ideal a «¿Cuántos cajeros automáticos y dispositivos médicos siguen ejecutando Windows XP?» sería el 0%, la realidad no es tan sencilla.

El 8 de abril de 2014, Microsoft puso fin al soporte estándar para Windows XP. En ese momento, el Consejo de Estándares de Seguridad de la Industria de las Tarjetas de Pago (PCI SSC) estimó que el 95% de los cajeros automáticos a nivel mundial ejecutaban Windows XP, por lo que se inició la migración a Windows 7. Trend Micro Research y Europol exploraron más a fondo los riesgos de ciberseguridad para los cajeros automáticos en 2017.

Avanza 6 años hasta el 14 de enero de 2020, cuando Microsoft hizo efectivo el fin de la vida útil (EoL) de Windows 7. Se estima que la medida afectará al 85% de los más de 3,5 millones de cajeros automáticos que funcionan con el sistema operativo de Microsoft en todo el mundo. Esta vez, sin embargo, la actualización requerirá que los instaladores de cajeros automáticos actualicen tanto el software como el hardware. El coste de esta actualización para las instituciones financieras y los instaladores de cajeros automáticos es elevado, tanto en términos de gasto real como de recursos generales para apoyar un cambio tan generalizado.

Según las personas con las que he hablado, la exposición estimada de los cajeros automáticos que siguen utilizando Windows XP incluso después de 6 años es de aproximadamente el 25%. Según una estimación aproximada, podrían ser más de 750.000 máquinas en todo el mundo, lo que supone un riesgo considerable.

Debido a los importantes costes de actualización de esas máquinas, algunos en el sector financiero están reclamando los sistemas operativos Windows. Esto puede aliviar el coste y la carga de actualizar los cajeros cada pocos años, pero no resuelve el riesgo de ataques a los cajeros. Precisamente este verano, Diebold publicó una alerta en la que se describía una nueva campaña de ataques a cajeros automáticos en la que los ciberdelincuentes aprovechaban una caja negra conectada para enviar comandos de dispensación ilegítimos que potencialmente incluían partes propietarias de la pila de software de Diebold. Ya sea Windows, Linux o incluso una pila propietaria, el coste a lo largo del tiempo de no actualizar el software es mucho mayor que la transición inicial, tanto en términos de exposición como de riesgo.

En la sanidad, la exposición es mucho mayor y, francamente, el riesgo también lo es. Una enorme parte de los dispositivos de imagen conectados a Internet expuestos en los hospitales de Estados Unidos y del resto del mundo ejecutan sistemas operativos obsoletos, según un informe de Trend Micro Research de 2017.

Los dispositivos médicos que ejecutan Windows XP incluyen máquinas que realizan radiografías, resonancias magnéticas, mamografías y TAC. El riesgo se hace tangible cuando el acceso a estos dispositivos se interrumpe, se degrada o se deniega.

También hay riesgo más allá de las industrias críticas

Si bien el riesgo para las industrias y máquinas críticas es alto, no es la única área de riesgo que Windows XP todavía plantea. Hay otras dos formas en las que la exposición del código fuente puede tener un impacto más amplio.

1. Algunas partes del mundo todavía dependen en gran medida de este sistema operativo. A pesar del fin del soporte, Windows XP prevalece en algunos mercados globales. Esto crea un gran objetivo para los ciberdelincuentes que buscan una victoria rápida.
2. Los sistemas de legado de Windows XP todavía existen en Windows 10. Los ciberdelincuentes podrían minar en busca de errores de XP en estos códigos heredados que todavía están bajo soporte, creando una cadena de exploits viable que funcionaría en los sistemas operativos modernos.

Dustin Childs, director de comunicaciones de la Iniciativa de Día Cero de Trend Micro, dijo lo siguiente sobre el posible impacto:

«En este momento, los desarrolladores de exploits probablemente están vertiendo a través del código en busca de errores que pueden utilizar contra los sistemas operativos modernos. Sin embargo, no es una traducción 1 a 1. Los sistemas operativos modernos tienen mitigaciones adicionales que dificultan la explotación. Es otra de las razones por las que debería actualizarse al último sistema operativo para beneficiarse de las nuevas características defensivas»

Las actualizaciones nunca son sencillas. Reformar un entorno empresarial típico para ejecutar un nuevo sistema operativo requiere un esfuerzo y un presupuesto considerables. Multiplique eso a la escala de un gobierno, un sistema hospitalario, una fábrica o cajeros automáticos dispersos por todo el mundo, y se enfrentará a un problema que muchos son incapaces de abordar.