DIARIO DIGITAL DE INFORMACIÓN ECONÓMICA Y FINANCIERA -

Perdidos y olvidados: ¿están actualizados sus sistemas embebidos con el último sistema operativo?

Tribunas | Seguridad

97_ruso.jpg

Por Alexey Pankratov, director de Soluciones Empresariales de Kaspersky

Utilizamos sistemas embebidos todos los días - al retirar dinero de un cajero automático, al comprar un tentempié en una máquina expendedora o un billete de tren en una máquina de autoservicio, o incluso al mirar un letrero digital. De hecho, es difícil imaginar nuestra rutina diaria sin estos y otros muchos sistemas embebidos. Pero cuando se trata de garantizar que la protección de seguridad está actualizada, a menudo estos dispositivos se pasan por alto.

Un ejemplo sencillo de este problema surge a raíz del plan de Microsoft de finalizar con el soporte para Windows 7, Windows 2008 y Windows Mobile el 14 de enero de 2020. Esto significa que la empresa ya no publicará actualizaciones y parches de seguridad para estos sistemas. Las investigaciones revelan que el 71% de los 1,5 millones de dispositivos médicos integrados examinados siguen funcionando con estas versiones de Windows. En el entorno empresarial, y según datos de Kaspersky, encontramos la misma situación - 48% de las compañías, incluyendo PYMES, sigue utilizando ordenadores con sistemas operativos que se encuentran al final de su vida útil.

Además, algunos dispositivos integrados todavía funcionan en Windows XP, aunque Microsoft lleva años sin dar soporte a este sistema operativo (el soporte principal para Windows XP Embedded finalizó el 12 de enero de 2016, y el de Windows Embedded for Point of Service acabó el 12 de abril de 2016). Aunque no hay estadísticas sobre el uso de Windows XP en las empresas, profesionales de la tecnología se han topado con numerosos casos en los que se sigue utilizando este sistema operativo anticuado, como un terminal de autoservicio en una farmacia, un mostrador de caja en una tienda de comestibles o una valla publicitaria interactiva.

¿Por qué se olvidan las empresas de actualizar los sistemas embebidos?

Sería una exageración decir que las empresas no prestan atención a la seguridad de sus sistemas embebidos. Por ejemplo, los sistemas de cajeros automáticos y puntos de venta (POS) trabajan con tarjetas de pago, por lo que deben ser compatibles con PCI DSS, lo que requiere la aplicación de estrictas medidas de seguridad.

Sin embargo, el uso de sistemas embebidos no se limita a cajeros automáticos y puntos de venta, y es la seguridad de estos otros sistemas la que a menudo se olvida. Según nuestra experiencia, cuando un sistema no está vinculado a un riesgo monetario o de cumplimiento, se tiende a pasarlo por alto. Es decir, es probable que los quioscos interactivos, las máquinas de venta de entradas, los mostradores de registro de hoteles y la señalización digital tengan poca o ninguna protección actualizada.

Otra razón para ello es el desafío asociado con la actualización de estos dispositivos. Los sistemas embebidos más antiguos se utilizan a menudo en hardware de gama baja, con una capacidad limitada que les permite realizar sólo la función dedicada a la que están destinados. Y si una empresa instala un sistema operativo moderno, es poco probable que el dispositivo funcione tan bien como debería. Por ejemplo, un experimento mostró que un ordenador construido en la era XP, con Windows 10 instalado, tardaría 41 segundos en abrir una carpeta. Por otro lado, algunos dispositivos integrados no pueden actualizarse al sistema operativo más reciente disponible, por lo que no hay más alternativa que dejar instalado Windows 10.

Asimismo, el software personalizado o hecho a medida también mantiene a las empresas vinculadas al sistema operativo heredado. Por lo general, los proveedores no lanzan nuevas versiones de sus productos para

sistemas no soportados, lo que impulsa la migración de los usuarios. Además, el software desarrollado para una empresa específica a menudo sólo es compatible con un sistema anticuado. Esto es especialmente cierto para la migración desde Windows XP.

Por todo ello, las empresas pueden pasar por alto estos dispositivos embebidos o no los actualizan hasta que tengan la certeza de que todo funciona.

Cómo gestionar y proteger un sistema operativo antiguo

Está claro que ejecutar sistemas obsoletos es un riesgo para la seguridad: sin actualizaciones o sin parches, son vulnerables tanto ante amenazas modernas como ante las existentes que los hackers siguen utilizando. Por ejemplo, los expertos de Kaspersky vieron exploits de la vulnerabilidad de día cero de 2010 en Microsoft Windows, a pesar de que ese mismo año se publicó un parche. Seis años más tarde, esta vulnerabilidad fue la más utilizada por los actores de amenazas, y estuvo presente en el 25% de todos los usuarios que se encontraron con exploits ese año. Si se olvidan, los sistemas embebidos pueden servir como punto de entrada para un ataque dirigido.

Sin embargo, debido principalmente a problemas de compatibilidad, la instalación de una versión reciente de un sistema operativo en un dispositivo embebido es más lenta y costosa que hacer lo mismo en un endpoint.

Pero dejar los sistemas embebidos como están no puede ser una opción. Por eso, recomendamos seguir estos pasos:

  • Realizar un inventario de los dispositivos embebidos en toda su infraestructura de TI para asegurarse de que dispone de una lista actualizada y conoce todos los que hay en la red.
  • Valorar cuáles están desactualizados o llegando al final del soporte de la versión del sistema operativo.
  • Encontrar la estrategia más eficaz en cuanto a recursos para actualizar todos los dispositivos. Para algunos, la mejor decisión podría no ser actualizar el sistema operativo, sino cambiar el dispositivo cuando se trata de su reemplazo programado. En estos casos, es esencial utilizar una solución de seguridad especialmente diseñada para proteger los dispositivos embebidos.

Se necesita un mensaje!