jueves, 18 de septiembre de 2025

El 14 de octubre de 2025 es el día que Microsoft decretó para el final de vida (End of Life) de ese sistema operativo. De esta manera, dejará de brindar soporte oficial y no habrá más actualizaciones de seguridad ni correcciones. Esto toma real trascendencia si se tiene en cuenta que, según estimaciones de julio, cerca del 47 % de usuarios globales utilizaban Windows 10. Ante este escenario, ESET, compañía líder en detección proactiva de amenazas, analiza qué se puede hacer, y a qué riesgos se podría estar expuesto a partir del 14 de octubre si se decide mantener ese sistema operativo y no llevar a cabo ninguna acción preventiva.

“Seguir utilizando Windows 10 después del 14 de octubre trae aparejadas consecuencias reales que pueden traer impacto tanto para usuarios como para las empresas. Los sistemas sin soporte se transforman en un entorno de alto riesgo y en un objetivo más que apetecible para los ciberatacantes. Se brinda la posibilidad de quedar expuesto a problemas de seguridad, así como la información personal y la operatoria de muchas empresas”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Algunos puntos destacados para tener en cuenta con relación al fin del soporte son la exposición al cibercrimen, ya que los cibercriminales saben que millones de usuarios seguirán en Windows 10 debido a que no tiene el hábito de actualizar el software, transformándolos en un blanco tan recurrente como vulnerable.

Sin parches de seguridad ni actualizaciones, las vulnerabilidades no serán corregidas y así quedarán las puertas abiertas al malware y diversos tipos de exploits. Por otro lado, es importante tener en cuenta que la compatibilidad con ciertas aplicaciones será cada vez menor, por lo cual podrían no instalarse o bloquearse por políticas de soporte. A su vez, se perderá el soporte en navegadores, que puede exponer a los usuarios a fallos críticos vía web y ciertos drivers y hardware podrían no funcionar correctamente.

También se podrían evidenciar bloqueos en entornos corporativos: servicios como Microsoft 365, Teams o Zoom podrían impedir su uso por compliance, y podrían existir restricciones en servicios en la nube, ya que OneDrive, Google Drive y Dropbox (por citar algunos) pueden limitar sus funciones. Por último, están las obligaciones legales, ya que el riesgo legal y de cumplimiento existe para algunos sectores, donde usar un sistema operativo sin soporte puede implicar sanciones o pérdida de certificaciones.

Ante este escenario, desde ESET repasan de qué manera es importante prepararse para no quedar expuestos a los riesgos innecesarios:

• Migrar a Windows 11: la primera opción sería migrar a Windows 11, que es gratuita si el equipo cumple con los requisitos mínimos requeridos. Esto se comprueba a través de: Menú Inicio > Configuración > Actualización y seguridad > Windows Update > Buscar actualizaciones. Siguiendo esos pasos se podrá identificar si un equipo es compatible o no.

Migrar a Windows 11 asegura el seguir recibiendo soporte, actualizaciones y correcciones, además cuenta con dos upgrades importantes a nivel seguridad. Por un lado, Win 11 que ofrece un Control de aplicaciones inteligentes (Smart App Control) que proporciona una capa de seguridad extra al permitir que solamente se instalen aplicaciones con buena reputación, funciona como una barrera para filtrar apps falsas o que esconden alguna intención maliciosa detrás, con base en su reputación en la nube.

Por otro lado, integra las Passkeys, con Windows Hello, lo que significa que los usuarios de Windows 11 podrán sustituir las contraseñas por Passkeys para sus sitios web y aplicaciones. Estas claves digitales son almacenadas y protegidas con cifrado en el dispositivo, por lo cual no pueden ser interceptadas por actores maliciosos.

• Programa de actualizaciones de seguridad extendidas: el ESU (Extended Security Updates), puede ser útil para aquellas personas o empresas que necesitan más tiempo antes de migrar ya que este programa puede proteger cualquier dispositivo con Windows 10 hasta un año después del 14 de octubre de 2025. La inscripción tiene un costo variable dependiente del tipo de usuario, y solo proporciona el acceso a actualizaciones de seguridad críticas e importantes, pero no a otro tipo de correcciones, mejoras de funciones ni mejoras del producto, ni tampoco incluye soporte técnico.

• Long-term servicing channel: las versiones LTSC son pensadas puntualmente para organizaciones y ofrecen un ciclo de soporte mucho más largo que el de las versiones convencionales. En ese contexto, para los usuarios que ya cuenten con este tipo de licencia, no habrá costos adicionales asociados al soporte extendido, ya que forma parte del paquete original. Y podría extenderse hasta 2032, según la versión que se tenga instalada obviamente.

• Migrar a Linux: existe una última opción y es migrar a Linux. Obviamente que esta decisión puede requerir el tener que invertir algo de tiempo en la curva de aprendizaje, pero existen diversas distribuciones para explorar, como Fedora, Linux Mint y o Ubuntu, entre tantas otras. Y un dato no menor: es gratuito.

Hay ejemplos icónicos en la historia reciente de la ciberseguridad sobre parches no aplicados a tiempo. En 2017 el ransomware WannaCry provocó un hackeo mundial al infectar a miles de computadoras en más de 150 países del mundo. Los actores maliciosos aprovecharon una vulnerabilidad que Microsoft ya había corregido, pero muchos sistemas no habían instalado el parche.

Otro ejemplo fue Zerologon, una falla crítica en el protocolo Netlogon que permitía a un atacante autenticarse como administrador de dominio sin credenciales a través de una vulnerabilidad. En ese caso, la CISA emitió una directiva de emergencia para que todas las agencias federales lo parchearan. Y, aunque el parche estuvo disponible desde septiembre del 2020, meses después muchas organizaciones fueron comprometidas por no haber aplicado el parche.

Lo mismo ocurrió con ProxyLogon, que fue explotado masivamente incluso después de que Microsoft lanzara el parche. En este caso, una vulnerabilidad en Microsoft Exchange permitió a atacantes instalar web shells y robar datos de más de 60,000 organizaciones. Si bien el parche fue lanzado rápidamente, miles de servidores siguieron expuestos por la falta de actualización.