Cuando hablamos de renovación de los equipos informáticos en las empresas no solo tiene que ver con tener equipo más potentes y capaces para realizar las tareas requeridas, sino también sistemas operativos más modernos que tengan soporte por parte del fabricante. En la mayoría de las empresas este sistema es Windows y desde principios de año dejó de tener soporte. Esto supone un riesgo. Es un peligro mantener equipos obsoletos en la empresa. Un fallo de seguridad en Windows 7 sin resolver y que está siendo explotado por ciberatacantes pone muy fácil tener un incidente de seguridad.
Se ha descubierto una vulnerabilidad Zero-day, que ya se está explotando y que afecta a Windows 7 y Windows Server 2008, por lo que las empresas que tienen estos sistemas en sus negocios están en riesgo. ¿Qué puede ocurrir en este caso? Pues dada la gravedad puede que Microsoft acuda al rescate y decida lanzar un parche de seguridad que corrija el problema. Pero también podría no hacerlo.
¿Compromete la seguridad de nuestra empresa? Definitivamente sí. Una vulnerabilidad de este tipo, documentada y que los ciberatacantes saben como explotar pone muy fácil el acceso a los datos corporativos, de clientes, etc. Y esto supone un problema con la actual ley de protección de datos, la LOPDGDD. La seguridad desde el diseño implica que tenemos que poner todos los medios para que los datos personales estén seguros. Y si mantenemos sistemas operativos obsoletos lo estamos poniendo en riesgo. Si además hay una vulnerabilidad, más todavía.
Lo peor es que no se trata de la primera vulnerabilidad de Windows 7 desde el fin del soporte. Y a medida que pase el tiempo serán más. No tiene demasiado sentido mantener estos equipos en marcha. Aunque quizás en el caso de los servidores sea más complicado dicho cambio.
El problema no es solo estar un par de días sin trabajar hasta que se restablecen los sistemas si hay un problema. Es también una pérdida de confianza de los clientes y la multa que nos puede caer por no tomar las medidas de seguridad necesarias para proteger los datos personales. Igualmente si tenemos en cuenta que la mitad de las empresas no cumple con el RGPD, seguro que para muchas no es un argumento.