La política de Microsoft ante la exposición de las versiones antiguas de Windows desata críticas

El gigante del software no distribuyó oportunamente la actualización para mejorar su seguridad
Carlos Schwartz
La filtración a la prensa de una lista de precios de Microsoft para dar protección contra fallos de diseño de sus versiones antiguas de Windows, como la XP, a sus clientes ha desatado fuertes críticas en medios corporativos. De acuerdo con la información difundida, con motivo de la aparición en las redes del ingenio desarrollado por la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés) Eternal Blue destinado a espiar sistemas basados en Windows aprovechando un defecto de diseño, Microsoft hizo en marzo una distribución gratuita de la actualización necesaria para impedir el ataque potencial a las redes basadas en Windows. Pero esta actualización, parche en la jerga informática, sólo era aplicable a las versiones más modernas del sistema operativo como Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10, Windows Server 2012 R2, Windows Server 2016. “Nadie sabía mejor que Windows el riesgo que padecían los sistemas desprotegidos ante un potencial ataque instrumentado con Eternal Blue”, afirma una fuente de una empresa de seguridad informática. El parche estuvo disponible poco después de que los hackers conocidos como Shadow Brokers difundieron el ingenio de la NSA en código abierto para su utilización.
El éxito del ataque de Wannacry se debió precisamente a la asociación de este virus que encripta la información en el disco duro de los ordenadores y pide rescate para liberarla con Eternal Blue capaz de introducirse en Windows a través de sus fallos de diseño. Pero el parche para Windows XP recién comenzó a distribuirse sobre el pasado fin de semana cuando el ataque ya estaba en curso. El motivo para esta tardía reacción de Microsoft ha provocado duras reacciones en el entorno corporativo, aunque muchos analistas del sector de la seguridad defienden a la empresa de software.

De acuerdo con la lista de precios, la protección de las redes basadas en Windows XP costaba este año 1.000 dólares por equipo y por año con un mínimo de 750.000 dólares y un máximo de 25 millones de dólares. Los analistas consideran que esta política estaba destinada a desalentar la utilización de sistemas más antiguos para promover la venta de sus nuevas versiones de software como Windows 10, desde todos los puntos de vista más segura. Pero de acuerdo con analistas del sector de la seguridad informática Microsoft recientemente ha introducido la oferta de protección suplementaria para su tope de gama, el Windows 10, que por cierto de acuerdo con Microsoft no fue el objetivo de los ataques por Wannacry. Esto supone adjudicar a la seguridad del sistema un coste añadido. De hecho es un reconocimiento de que el sistema es débil y requiere inversión suplementaria.

La empresa, de ser esto así, está convirtiendo un defecto del producto en una virtud para la empresa que cuesta dinero al cliente. No cabe la menor duda que Microsoft tiene innumerables batallones de ingenieros dedicados a la seguridad de sus sistemas que le cuestan dinero, pero va de suyo que ese es un coste que la empresa debe asumir al margen del bolsillo de los clientes. El coste de protección del XP a partir de 2014 cuando Microsoft dejó de mantener el producto era de 200 dólares por equipo y año, pasó a 400 al año siguiente, hasta llegar a la tarifa actual. Microsoft ofreció a grandes clientes como las agencias gubernamentales contratos a costes más reducidos pero algunas agencias como el caso del Sistema Nacional de Salud (NHS, por sus siglas en inglés) británico tras un año de contrato lo cancelaron por sus altos costes con las consecuencias que son de público conocimiento tras el ataque mediante el Wannacry.

El hecho de que Microsoft haya puesto al alcance de sus clientes el parche para la versión Windows XP, Windows 8, y Windows Server 2003 en forma gratuita el viernes cerca de las 12 de la noche hora europea “es un hecho positivo”, comentan los analistas de seguridad. “Pero ya era tarde para frenar la extensión del problema”, señala un analista independiente que presta servicios a redes y agencias gubernamentales.

El software es de por si un producto perecedero, pero su utilización a escala corporativa y gubernamental supone costes muy altos. La supervivencia de software que ha sido superado por sus nuevas versiones está directamente vinculado a los costes de inversión en elementos inmateriales capítulo de los balances muy castigado por la crisis tanto en la actividad privada como en la pública. “Que los clientes intenten estirar la vida útil del software que corre en sus equipos tiene toda la lógica, una renovación de sistema operativo es muy cara”, comenta el jefe de departamento de informática de una gran empresa española que ha sufrido de manera marginal el ataque de Wannacry.

No sorprende por lo tanto que la política comercial de Microsoft haya levantado una polvareda a escala internacional. En particular por el intento de pasar costes suplementarios para reforzar la seguridad del tope de gama, Windows 10 lo que delata que su nivel de seguridad puede que sea muy superior al XP y otras versiones menos recientes como afirma su fabricante, pero es manifiestamente mejorable... si se paga. De no ser así ¿por qué oferta seguridad suplementaria? La pregunta es como se cuadra esta política comercial con la afirmación contenida por Microsoft en una declaración motivada por el ataque de la última semana: “Los expertos de seguridad en toda la industria señalan que la mejor protección es estar sobre un sistema moderno y actualizado que incorpora los más recientes elementos de defensa.

Los sistemas más antiguos aunque estén totalmente actualizados simplemente carecen de las protecciones más recientes”. Mientras tanto los proveedores y desarrolladores de software que interactúa con Windows en redes están evaluando aún las consecuencias del ataque para sus sistemas compatibles. Recién se tendrán detalles tras este fin de semana, de acuerdo con CISCO Systems.