¿Por qué los test de penetración amenazan los sistemas heredados?
Emanuel Böminghaus, Experto en sistemas heredados y Director General de AvenDATA
Emanuel Böminghaus
Experto en sistemas heredados
y Director General de AvenDATA
y Director General de AvenDATA
En el mundo real las plataformas heredadas no temen a los depredadores salvajes. Su mayor enemigo acecha en un lugar muy distinto el próximo test de penetración. Lo que comienza como una auditoría de seguridad rutinaria se convierte cada vez con mayor frecuencia en la sentencia de muerte para los ecosistemas obsoletos.
Ante el aumento incesante de los ciberataques las empresas apuestan decididamente por realizar controles de ciberseguridad periódicos. Y como máximo cinco años después del último mantenimiento informático a gran escala la situación se vuelve sumamente crítica. Las bibliotecas de código de Java o .NET han quedado totalmente desfasadas los desarrolladores ya no publican actualizaciones o los diferentes componentes del sistema simplemente han dejado de ser compatibles entre sí.
Por qué muchas empresas realizan ya test de penetración semanales
En un mundo cada vez más digitalizado donde cada día se descubren y explotan nuevas vulnerabilidades un test de seguridad anual ha dejado de ser suficiente. En la actualidad multitud de corporaciones especialmente aquellas con infraestructuras críticas o gran presión normativa realizan test de penetración o escaneos de vulnerabilidades automatizados con periodicidad semanal. El objetivo es identificar las posibles superficies de ataque de forma temprana y minimizar los riesgos de inmediato. Sin embargo para los ecosistemas heredados esta frecuencia se convierte rápidamente en una prueba de estrés inasumible. Lo que ayer apenas lograba aprobar hoy suspende estrepitosamente porque los componentes obsoletos se transforman en verdaderas brechas de seguridad en un tiempo récord.
Un ecosistema obsoleto que suspende el test deja de ser viable
Llegados a este punto existen tres opciones y ninguna de ellas resulta agradable
- Invertir en actualizaciones muy costosas y a menudo complejas que ya apenas tienen justificación económica sobre todo cuando el sistema se mantiene operativo únicamente para cumplir con las obligaciones de retención documental de la Agencia Tributaria.
- Ignorar los resultados y asumir brechas de seguridad críticas que en caso de ciberataques o violaciones del RGPD pueden derivar rápidamente en desastrosas consecuencias legales y financieras.
- O bien archivar el ecosistema cumpliendo estrictamente con el marco legal para seguir garantizando el acceso corporativo a la información. Un proceso totalmente seguro para auditorías en pleno cumplimiento normativo y considerablemente más económico que mantener la plataforma encendida.
Conclusión. Quien no archiva asume riesgos inasumibles
El test de penetración saca a la luz lo que muchos sospechan desde hace tiempo los ecosistemas heredados son extremadamente vulnerables. Quien no archiva hoy mismo corre el inmenso peligro de ser el responsable directo de graves brechas de seguridad en un futuro muy cercano. En tiempos donde las ciberamenazas crecen sin cesar el archivado corporativo ha dejado de ser un capricho prescindible para convertirse en un pilar integral de la ciberseguridad moderna.
¿Tienes previsto archivar un sistema antiguo?