BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Lo bueno, lo malo y lo demás de Windows 10
Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Cómo hacer frente a los problemas de seguridad de los parches de Windows 10

El nuevo enfoque de Microsoft sobre los parches obligatorios de Windows 10 plantea nuevos problemas de seguridad para las empresas. Paul DeGroot explica cuáles son y cómo tratar con ellos.

Con Windows 10, Microsoft está terminando su enfoque de larga data con los parches. Para la mayoría de los usuarios, las actualizaciones ahora se descargarán e instalarán automáticamente. Esto plantea un dilema para los clientes de empresariales sobre cómo retrasar la instalación de los parches de Windows 10 hasta que hayan sido investigados adecuadamente.

La aplicación de parches al software defectuoso o vulnerable es esencial para mantener la seguridad del sistema; sin embargo, las empresas necesitan controlar el proceso de actualización. Un parche de Windows 10 puede eliminar una vulnerabilidad crítica del sistema, pero, al mismo tiempo, hacer que una aplicación antigua quede inoperable; y algunas actualizaciones pueden traer nuevas vulnerabilidades.

El dilema de la gestión de parches resulta de una disposición en los términos de licencia de software de Windows 10, también conocido como acuerdo de licencia de usuario final (EULA), que establece:

"Actualizaciones. El software comprueba periódicamente por actualizaciones del sistema y las aplicaciones, y las descarga e instala para usted. Usted puede obtener actualizaciones solo de Microsoft o de fuentes autorizadas, y Microsoft puede necesitar actualizar su sistema para proporcionarle dichas actualizaciones. Al aceptar este acuerdo, accede a recibir este tipo de actualizaciones automáticas sin ningún tipo de notificación adicional".

Dos disposiciones de esta nueva política de actualización saltan. En primer lugar, ¿qué significa, "Usted puede obtener actualizaciones solo de Microsoft o de fuentes autorizadas"? ¿Quiere decir, por ejemplo, que descargar una utilidad que impide a  Microsoft Update instalar actualizaciones y nuevas aplicaciones de forma automática –muchas de las cuales pueden surgir en el próximo año– es una violación de los términos de la licencia?

Y en segundo lugar, qué ocurrirá si una actualización con errores de Windows 10 derriba la de un cliente por un tiempo prolongado o entra en conflicto con una aplicación personalizada crítica? El EULA le da a Microsoft un pase sobre las alegaciones jurídicas para "cualquier daño", pero los usuarios de negocios necesitan considerar cómo manejar la responsabilidad en caso de daños que resulten de una actualización de Windows.

Problemas de seguridad de los parches de Windows 10

Simultáneamente, con el nuevo protocolo de aplicación de parches de Windows 10, Microsoft ha dicho a los clientes que ya no entregará más detalles completos sobre los parches que proporciona. Como consecuencia de ello, los clientes pueden ser incapaces de distinguir entre un problema de seguridad y una actualización.

Por ejemplo: ¿Es una pantalla azul o un bucle de arranque el resultado de un ataque de malware o de un parche oficial de Windows 10, responsable de este tipo de problemas durante el programa de Windows 10 Insider? ¿Es el borrado de la plantilla predeterminada de Word, Normal.dot, en el cual muchas organizaciones almacenan macros, configuraciones por defecto y otros parámetros, un virus o un parche de Microsoft que salió mal? ¿Deberían ser culpados los hackers o las actualizaciones de software de Microsoft por los problemas con el uso o la instalación de aplicaciones en Windows 10?

Algunas empresas necesitan un control completo sobre todos los elementos del sistema operativo Windows, porque sus computadoras están conectadas a equipos especiales o software que debe ser certificado respecto a proporcionar rendimiento, estabilidad y características que un fabricante o un organismo regulador como la Administración de Alimentos y Medicamentos aprobará. Incluso un cambio benigno –una DLL actualizada, por ejemplo– puede requerir un ejercicio costoso de recertificación.

Dada la experiencia de muchos primeros usuarios de Windows 10, los problemas como los bucles de inicio o las pantallas azules indican que no todas las actualizaciones de Windows 10 son benignas. Una actualización defectuosa podría poner a muchos empleados en  permiso pagado por horas o forzar actualizaciones o recodificar otras aplicaciones, aunque esos riesgos deben sopesarse contra los riesgos que resultan de la ejecución de software sin parches, que puede tener sus propias vulnerabilidades.

La actualización de Windows en la empresa

Con Windows 8.1 y versiones anteriores, los clientes pueden controlar qué actualizaciones se aplican. Tienen la opción de instalar automáticamente todas las actualizaciones; descargar actualizaciones, pero no instalarlas de forma automática; o no obtener actualizaciones a menos que ejecuten Windows Update y las descarguen de forma selectiva.

La práctica más común en las empresas es desactivar la actualización automática de cualquier tipo y configurar un servidor de Windows Server Update Services interno que recoge todas las actualizaciones de Microsoft. Luego, el personal de TI de la organización revisa y prueba todas las actualizaciones antes de desplegarlas a las PC.

Muchas empresas no permiten las actualizaciones automáticas porque tienen miles de aplicaciones –muchas de los cuales son muy especializadas o hechas a la medida– que un mal parche o actualización pueden bloquear.

Ramas de servicios para la actualización de Windows 10

El nuevo modelo de actualización de Microsoft ofrece tres ramas de servicios para las actualizaciones de Windows 10. El valor por defecto, "Rama actual" o "Actualización del Consumidor", es la única opción para las PC que utilizan la versión de consumo de Windows 10. Microsoft actualizará el sistema operativo y todas las aplicaciones de Microsoft en él, siempre y cuando quiera, sin notificación.

Microsoft ofrece a los clientes de las ediciones empresariales, de negocios y de educación más opciones para la gestión de parches. La Rama actual para Negocios, disponible para las ediciones de negocios y educación de Windows, permite a las organizaciones retrasar las actualizaciones del sistema operativo por un máximo de ocho meses, dándoles tiempo para las pruebas, pero finalmente las actualizaciones serán instaladas. La virtud principal de este enfoque es que si Microsoft lanza un mal parche de Windows 10, la empresa puede retirar, o parchar, el parche y lanzar una versión fiable antes de que el cliente deba instalarlo.

La Rama de servicio a largo plazo (LTSB) ofrece a los clientes la capacidad de suspender todas las actualizaciones, pero solo está disponible con la edición Windows Enterprise y requiere la compra de Software Assurance a un precio de 30 a 50 dólares por PC al año, dependiendo de los descuentos por volumen.

Opciones y estrategias de seguridad de los parches de Windows 10

Puesto que Windows 10 tiene parches obligatorios, algunas organizaciones pueden preferir quedarse con Windows 7 hasta que puedan actualizar las aplicaciones heredadas para ser compatibles con Windows 10. Microsoft continuará proporcionando parches de seguridad gratuitos para Windows 7 hasta el 14 de enero de 2020, y los clientes pueden esperar que los parches para una vulnerabilidad dada sean desplegados de forma simultánea para Windows 7, 8 y 10 hasta ese momento.

Debido a que Windows 10 podría romper las aplicaciones heredadas sin previo aviso, los clientes de negocios y empresariales van a querer utilizar la Rama actual para Negocios para detener las actualizaciones de Microsoft por un máximo de ocho meses. En algunos casos, ellos pueden querer evitar por completo Windows 10 a favor de una imagen de Windows 7, sobre la cual tienen más de control.

Incluso entonces, los clientes que no están dispuestos a pagar una prima a Microsoft por el LTSB no tienen garantía de que cualquier aplicación personalizada o de terceros está a salvo de romperse bajo una actualización o parche de Microsoft. La mejor solución para muchas organizaciones es alejarse de las aplicaciones con dependencias hacia el sistema operativo. La gran mayoría de las nuevas aplicaciones empresariales están escritas para ejecutarse en servidores y ser accedidas a través de un navegador web. Esto permite que una aplicación sea escrita una vez y se pueda acceder desde una multitud de dispositivos y sistemas operativos, sin ser perturbados por alteraciones sorpresivas a los sistemas operativos de los dispositivos.

Las organizaciones que permiten que BYOD sean actualizados a voluntad mientras usan el LTSB en los dispositivos de propiedad de la empresa todavía tendrán que hacer frente a un entorno de sistema operativo heterogéneo. En general, esta es la regla en la empresa, ya que ninguna empresa puede migrar todas sus PCs a un nuevo sistema operativo en menos de unos pocos meses. Las empresas globales pueden tardar más de un año para migrar, y aun así la mayoría seguirá ejecutando todos los sabores de Windows, desde Windows XP a Windows 10, por lo menos en algunos de sus equipos.

Es posible que la reducción de opciones sobre la instalación de los parches pueda retrasar las actualizaciones a Windows 10 entre los clientes empresariales, que encuentran los riesgos reales y están dispuestos a seguir con Windows 7 el mayor tiempo posible. La esperanza es que Microsoft se aleje de una política de actualización que podría tener consecuencias inesperadas.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close