En Mateo, 25, 1 se dice: estad atentos y vigilad, pues no sabéis el día ni la hora. Esta admonición nos advierte de la necesidad de estar preparados (y en paz con las autoridades competentes) para el inevitable final que nos acecha a todos.
Sin embargo, esto no es de aplicación para el tan temido fin del soporte de Microsoft para el sistema operativo Windows XP. Al menos, en este caso, el día y la hora eran conocidos de antemano.
Mucho se ha hablado acerca de la posibilidad de una oleada de devastación que se producirá conforme se descubran y exploten vulnerabilidades relacionadas con XP para las que no existirá ningún parche de seguridad. Se hace especial hincapié en aquellos sistemas con un significativo peso de sistemas heredados y de difícil migración. Y entre ellos, como no, los sistemas de control industrial (sospechosos habituales, por otra parte).
Sin embargo, me atrevo a pronosticar que es posible que este escenario de pesadilla no se materialice o, al menos, que la situación no será mucho peor de lo que ya era antes del fin del soporte de XP. Es posible que muchos lectores de este blog se lleven las manos a la cabeza al leer semejante cosa. Pero créanme, tengo razones que justifican esta idea. Verán:
¿Qué les hace creer que esos sistemas son, en general, actualizados con los parches de seguridad que se publican por parte de los proveedores de software?
Es más, ¿qué les hace pensar que los gestores de tales sistemas saben que ha terminado el soporte de XP?
Y más aún, ¿tienen razones para pensar que, en el caso de saber que acaba el soporte de XP, esos gestores conocen las implicaciones que ello tiene para la seguridad?
Es evidente que el sector industrial es muy heterogéneo y que en él existen todos los casos intermedios entre dos extremos, en uno de los cuales se encuentran aquellas organizaciones con una gestión adecuada de la seguridad de sus ICS. Pero, lamentablemente, este último caso no representa a la mayoría de las infraestructuras.
Por tanto, esos sistemas ya eran susceptibles de ser atacados explotando las vulnerabilidades conocidas y no parcheadas, y si se encuentran en peor situación hoy que ayer es simplemente por el proceso imparable que está llevando a los sistemas de control industrial a convertirse en un objetivo de organizaciones e individuos malintencionados.
Como ya hemos dicho en alguna ocasión, hay que tener cuidado con ciertos mensajes catastrofistas, ya que corremos el riesgo de perder el crédito al pronosticar escenarios de pesadilla que, finalmente, acaban no materializándose.
Aunque, claro, puedo estar equivocado.
Sólo hay una forma de saberlo…
¿Qué les hace creer que se acuerden de que tienen Windows XP?
“¿Qué les hace creer que se acuerden de que tienen Windows XP?” xDDD
Bueno, o creo que la labor de las publicaciones especializadas debe ser informar objetivamente de los peligros de cada proceso, que yo creo que en el tema que nos ocupa están justificados.
Ahora bien, veo bien tu llamada de atención y relativizar un poco el tema, principalmente porque, como bien dices, siempre ha habido una mayoría (creo) de empresas que han ido descuidando sistemáticamente los procesos de seguridad.
Saludos.