La era del hardware vulnerable para siempre: por qué los dispositivos que acaban su ciclo de vida no se actualizan jamás

La era del hardware vulnerable para siempre: por qué los dispositivos que acaban su ciclo de vida no se actualizan jamás
21 comentarios Facebook Twitter Flipboard E-mail

Cuidado con ese viejo router que tienes en casa, porque podría ser un nido de malware. No porque tú hayas hecho nada malo, no, sino porque el fabricante podría haber dejado de ofrecer actualizaciones de seguridad si ha pasado el periodo de soporte.

No solo ocurre con routers, claro: cualquier producto hardware tiene su ciclo de vida, tras el cual se le deja de dar soporte y las actualizaciones desaparecen. Ocurre por ejemplo con nuestros móviles y con nuestros ordenadores o sus componentes, y en todos los casos el problema es que quedan expuestos al descubrimiento de nuevas vulnerabilidades que ya jamás serán parcheadas.

Uno de los últimos ejemplos lo tenemos en ciertos routers de D-Link, antiguos ya y que sobre todo se vendieron fuera de Europa, pero en los cuales se ha descubierto una vulnerabilidad que permite la ejecución de código remoto. Dichos routers ya no disponen de soporte oficial, por lo que la única solución es, como en el resto del hardware que acaba siendo vulnerable para siempre, lógica: reemplazarlos.

Otra consecuencia de la obsolescencia programada

Los fabricantes de hardware suelen definir ciclos de vida y de soporte para sus productos: cuando acaban esos periodos, dejan de dar actualizaciones a esos productos, lo que puede provocar problemas serios en algunos casos.

Esos ciclos de soporte son ya muy conocidos en el caso de los sistemas operativos como Windows, que en sus distintas versiones ha ido contando con diversos periodos en los que las actualizaciones llegan sin problemas.

Luego llegan periodos extendidos con actualizaciones de seguridad, tras lo cual los sistemas operativos dejan de tener soporte oficial, algo que es una invitación "forzosa" a dar el salto a nuevas versiones de esos desarrollos.

Con Windows XP se ha producido una situación algo diferente, y Microsoft extendió el soporte bastante más allá de su ciclo de vida debido a la gran popularidad de este sistema operativo años después de que finalizara el periodo oficial de actualizaciones.

Los que siguen utilizando esos sistemas operativos sin soporte se arriesgan a que un cibercriminal aproveche alguna nueva vulnerabilidad del sistema para adentrarse en equipos gobernados por el software, y lo mismo ocurre con el hardware.

Lo mismo se podría decir de nuestros viejos móviles o tabletas: incluso Apple, que suele mantener el soporte de sus dispositivos durante varios años, acaba abandonándolos sin ofrecer siquiera actualizaciones de seguridad o nuevas versiones de macOS o de iOS, por ejemplo: cuando aparecen nuevas versiones de dichas plataformas este fabricante siempre tiene buen cuidado de especificar cuáles de sus dispositivos y ordenadores pueden instalar esas versiones y cuáles no. Hace poco se descubrió como Checkm8 es un exploit perpetuo para diversos modelos de iPhone como el iPhone 4s que hace tiempo que ya no cuenta con actualizaciones.

Tenemos otro buen ejemplo en protocolos y estándares que quedan desprotegidos: la primera versión del protocolo SMB para conexión de equipos en red fue un verdadero coladero que generó verdaderos desastres de seguridad como WannaCry a través del exploit EternalBlue: los fabricantes de sistemas operativos parchearon el problema, pero la recomendación en todos los casos para protegerse fue la misma: no usar SMBv1, una versión que había quedado obsoleta hacía años.

El caso de los routers D-Link antiguos que no actualizan

En el mismo caso se ha situado recientemente una familia de routers de D-Link en los que se ha revelado una vulnerabilidad crítica que permite la ejecución de código remoto y pone en riesgo a sus usuarios. D-Link no va a actualizar esos routers porque el ciclo de soporte oficial ha finalizado, así que estamos ante un ejemplo claro de hardware vulnerable para siempre. Y cada vez hay más.

Eol1

La firma Fortinet y su división FortiGuard Labs indicó recientemente que varios de los antiguos routers de D-Link están afectados por una vulnerabilidad (CVE-2019-16920) descubierta en septiembre de 2019. Los modelos afectados son los de las familias DIR-655, DIR-866L, DIR-652, y DHP-1565.

Tras descubrir el problema y comunicárselo a D-Link, la firma indicó que esos productos ya han superado su ciclo de vida (están en la fase EOL, End Of life), y por tanto no se ofrecerían parches para corregir el problema.

El D-Link DIR-655 es un producto con varias ediciones que se lanzaron entre 2006 y 2013, y como nos indicaban sus responsables son ya modelos antiguos y descatalogados que están fuera del periodo de soporte. Los responsables de esta empresa nos lo confirmaban indicando que el problema "afecta a routers muy antiguos (más de diez años) y la mayoría no se han comercializado en Europa".

Eso plantea un problema para los usuarios, pero es solo el último ejemplo de una situación que como decimos es global y sirve como enseñanza no tanto para los fabricantes como para esos usuarios que compran estos productos. La mayoría de fabricantes hardware dejan claros los ciclos de vida de sus productos y especifican los periodos de soporte tras los cuales esos productos pasan a entrar en la fase EOL.

En algunos casos el fabricante sí puede publicar actualizaciones de seguridad para esos productos hardware ya descatalogados, pero son muchas más las ocasiones en las que esos productos cuentan con una vulnerabilidad que nunca es parcheada y que pone en riesgo a sus usuarios.

Los expertos recomiendan tener muy en cuenta esos ciclos de vida para reemplazar productos hardware y software cuando sea necesario, sobre todo en el caso de instituciones educativas o sanitarias, por ejemplo, pero lo cierto es que lidiar con ese efecto colateral de la obsolescencia programada de estos dispositivos es complicado en muchos escenarios.

Comentarios cerrados
Inicio