Javier Pastor
Editor Senior - TechCuidado con ese viejo router que tienes en casa, porque podría ser un nido de malware. No porque tú hayas hecho nada malo, no, sino porque el fabricante podría haber dejado de ofrecer actualizaciones de seguridad si ha pasado el periodo de soporte.
No solo ocurre con routers, claro: cualquier producto hardware tiene su ciclo de vida, tras el cual se le deja de dar soporte y las actualizaciones desaparecen. Ocurre por ejemplo con nuestros móviles y con nuestros ordenadores o sus componentes, y en todos los casos el problema es que quedan expuestos al descubrimiento de nuevas vulnerabilidades que ya jamás serán parcheadas.
Uno de los últimos ejemplos lo tenemos en ciertos routers de D-Link, antiguos ya y que sobre todo se vendieron fuera de Europa, pero en los cuales se ha descubierto una vulnerabilidad que permite la ejecución de código remoto. Dichos routers ya no disponen de soporte oficial, por lo que la única solución es, como en el resto del hardware que acaba siendo vulnerable para siempre, lógica: reemplazarlos.
Otra consecuencia de la obsolescencia programada
Los fabricantes de hardware suelen definir ciclos de vida y de soporte para sus productos: cuando acaban esos periodos, dejan de dar actualizaciones a esos productos, lo que puede provocar problemas serios en algunos casos.
We are entering the era of forever vulnerable hardware. D-Link router with CVSS 10.0 vuln won't get a patch because it is EOL. https://t.co/dLEAmC0YxS
— Chris Wysopal (@WeldPond) 7 de octubre de 2019
Esos ciclos de soporte son ya muy conocidos en el caso de los sistemas operativos como Windows, que en sus distintas versiones ha ido contando con diversos periodos en los que las actualizaciones llegan sin problemas.
Luego llegan periodos extendidos con actualizaciones de seguridad, tras lo cual los sistemas operativos dejan de tener soporte oficial, algo que es una invitación "forzosa" a dar el salto a nuevas versiones de esos desarrollos.
Con Windows XP se ha producido una situación algo diferente, y Microsoft extendió el soporte bastante más allá de su ciclo de vida debido a la gran popularidad de este sistema operativo años después de que finalizara el periodo oficial de actualizaciones.
Los que siguen utilizando esos sistemas operativos sin soporte se arriesgan a que un cibercriminal aproveche alguna nueva vulnerabilidad del sistema para adentrarse en equipos gobernados por el software, y lo mismo ocurre con el hardware.
Lo mismo se podría decir de nuestros viejos móviles o tabletas: incluso Apple, que suele mantener el soporte de sus dispositivos durante varios años, acaba abandonándolos sin ofrecer siquiera actualizaciones de seguridad o nuevas versiones de macOS o de iOS, por ejemplo: cuando aparecen nuevas versiones de dichas plataformas este fabricante siempre tiene buen cuidado de especificar cuáles de sus dispositivos y ordenadores pueden instalar esas versiones y cuáles no. Hace poco se descubrió como Checkm8 es un exploit perpetuo para diversos modelos de iPhone como el iPhone 4s que hace tiempo que ya no cuenta con actualizaciones.
Tenemos otro buen ejemplo en protocolos y estándares que quedan desprotegidos: la primera versión del protocolo SMB para conexión de equipos en red fue un verdadero coladero que generó verdaderos desastres de seguridad como WannaCry a través del exploit EternalBlue: los fabricantes de sistemas operativos parchearon el problema, pero la recomendación en todos los casos para protegerse fue la misma: no usar SMBv1, una versión que había quedado obsoleta hacía años.
El caso de los routers D-Link antiguos que no actualizan
En el mismo caso se ha situado recientemente una familia de routers de D-Link en los que se ha revelado una vulnerabilidad crítica que permite la ejecución de código remoto y pone en riesgo a sus usuarios. D-Link no va a actualizar esos routers porque el ciclo de soporte oficial ha finalizado, así que estamos ante un ejemplo claro de hardware vulnerable para siempre. Y cada vez hay más.
La firma Fortinet y su división FortiGuard Labs indicó recientemente que varios de los antiguos routers de D-Link están afectados por una vulnerabilidad (CVE-2019-16920) descubierta en septiembre de 2019. Los modelos afectados son los de las familias DIR-655, DIR-866L, DIR-652, y DHP-1565.
Tras descubrir el problema y comunicárselo a D-Link, la firma indicó que esos productos ya han superado su ciclo de vida (están en la fase EOL, End Of life), y por tanto no se ofrecerían parches para corregir el problema.
El D-Link DIR-655 es un producto con varias ediciones que se lanzaron entre 2006 y 2013, y como nos indicaban sus responsables son ya modelos antiguos y descatalogados que están fuera del periodo de soporte. Los responsables de esta empresa nos lo confirmaban indicando que el problema "afecta a routers muy antiguos (más de diez años) y la mayoría no se han comercializado en Europa".
Eso plantea un problema para los usuarios, pero es solo el último ejemplo de una situación que como decimos es global y sirve como enseñanza no tanto para los fabricantes como para esos usuarios que compran estos productos. La mayoría de fabricantes hardware dejan claros los ciclos de vida de sus productos y especifican los periodos de soporte tras los cuales esos productos pasan a entrar en la fase EOL.
En algunos casos el fabricante sí puede publicar actualizaciones de seguridad para esos productos hardware ya descatalogados, pero son muchas más las ocasiones en las que esos productos cuentan con una vulnerabilidad que nunca es parcheada y que pone en riesgo a sus usuarios.
Los expertos recomiendan tener muy en cuenta esos ciclos de vida para reemplazar productos hardware y software cuando sea necesario, sobre todo en el caso de instituciones educativas o sanitarias, por ejemplo, pero lo cierto es que lidiar con ese efecto colateral de la obsolescencia programada de estos dispositivos es complicado en muchos escenarios.
Ver 21 comentarios
21 comentarios
pablo_
Sin excusar esta práctica, que no la excuso, no se le pude llamar obsolescencia programada. No es lo mismo un frigorífico que un router. Para que un frigorífico funcione más tiempo, basta con mejorar la calidad de los componentes. Es más caro, cierto,pero una vez lo has vendido puedes olvidarte de él. El mantener un dispositivo informático seguro implica un esfuerzo activo continuo. Cuantos más años tiene una empresa, más productos tiene en el mercado y más productos ha de mantener. Además, dependiendo de la complejidad de los mismos, mantener las brechas de seguridad controladas puede no ser una tarea sencilla.
¿Sería razonable exigir a Microsoft que mantuviera Windows 98? ¿Se le puede pedir a una compañía que te incluya, en el precio del producto, un mantenimiento de por vida? ¿Es lógico que una compañía se preocupe por la seguridad de cientos de dispositivos, algunos con más de una década a sus espaldas?
Para mí no. Y, no obstante, entiendo que hay casos muy sangrantes, como muchos dispositivos Android (más antes que ahora) o diversos terminales que utilizan IoT y cuyos fabricantes directamente los lanzan al mercado con boquetes de seguridad. Pero una cosa es eso y otra tildar de obsolescencia programada algo que simplemente es un proceso natural y comprensible en muchos casos.
Sr Kenobi
Obsolescencia programada como de costumbre. Routers que aun funcionan pero que estás vendido por parte del fabricante. Si tienes la suerte de que soporte OpenWRT / LEDE por ahí te puedes salvar.
howarto
Se podría ofrecer un modelo de suscripción para este tipo de casos y así asegurar los recursos para la empresa que costeen el esfuerzo de mantenerlo y la seguridad del cliente.
Seguramente que no gustará pero es lo que hay, obligar a las empresas a dar soporte eterno gratuito no es posible dado que este mundillo se actualiza constantemente. Y entre empresas ya se hace desde hace tiempo, pagar un extra para que servicios externalizados te den soporte frente a tus propios bugs del servidor o incluso por un tiempo límite en el que el servidor puede estar caído.
t_r_a
perfecto, ya se que marca no voy a comprar jamas, me compré uno y no se ha actualizado jamas, creo que hasta incluso cuando busca las actualizaciones da error en la url de actualizacion, y si lo buscas en la web tampoco tiene nada, y eso que fue de los caros caros.
amfortas
En los últimos... mmm... ¿30 años? ya cualquier electrodoméstico está pensado para tener una vida de 10 años.
Si intentas arreglar algo de más de esa vida, ya te dice el fabricante que ni tiene piezas de repuesto.
Si es cierto que ese modelo se estuvo vendiendo hasta el 2013, se debería de obligar al fabricante de dar soporte de esos 10 años (no contando desde el día que se empezó a fabricar sino desde el último día).
Yo soy de los que les gusta seguir utilizando los aparatos antiguos pero que aún pueden dar una buena utilidad:
Ordenadores de 2007-2008 que ampliando la RAM y el HDD, limpiando los ventiladores y cambiado la pasta térmica, se les puede meter W10 y corriendo...
Videoconsolas de los 90 con juegos que aún ni he tocado, limpias, revisadas y pudiendo ser jugadas como nuevas...
Amplificadores de audio con todos los transistores y soldaduras revisados, limpiados y funcionando como hace 25 años...
La verdad es que si por mi fuera, habría cambio generacional de consolas no cada 7-8 años sino cada 10-15. Cuando verdaderamente estás empezado a disfrutarla es cuando ya se está hablando de la siguiente...
dark_god
Yo no lo llamaría obsolescencia programada. El SW evoluciona y normalmente va necesitando más recursos hardware y al final este es el tope que imposibilita seguir actualizando los cacharros. Es inviable mantener miles de productos y eso es así.
Lo que sí estaría bien hacer es ofrecer los drivers y componentes propietarios necesarios para poder cambiar el firmware por OpenWRT o directamente diseñar los cacharros de manera más genérica para que sea más fácil cambiarles el firmware por alguno bien mantenido. Esto implica que den facilidades para modificar el firmware y posiblemente algo de documentación. También estaría bien marcar lo que es un soporte razonable de uno que no cumple el mínimo. ¿2 años de actualizaciones? ¿5? ¿10? ¿Dónde se dibuja la línea?
imf017
Bueno, si cancelan las actualizaciones oficiales, siempre se pueden usar las no oficiales. Claro que no todo el mundo sabe actualizar un router o un smartphone con software no oficial.
Usuario desactivado
Fácil, reglamentar una ley que, si después de 10 años, la empresa no seguirá dando soporte al dispositivo tecnológico, se liberen los códigos
Claro que esa reglamentación debería ser continental o global
Ah, pero como el regulador global anda en la baba (ONU) pues no va a ser