Como
muchos ya sabrán, el 8 de abril de 2014 Microsoft
deja de ofrecer soporte para Windows XP. Esto es, ya no habrá más
actualizaciones de seguridad, ni parches para errores no ligados a la seguridad,
ni opciones de soporte, etc. A partir del 8
de abril, Windows XP deja de ser un sistema operativo soportado y pasa a la
zona roja, sistemas en uso sin soporte oficial y sobre los que aún se invierte
para destapar fallos de seguridad.
Lo que fue
XP supuso el bautismo digital de
toda una generación. XP nació un 25 de octubre de 2001 con la tarea de suceder
a los dos sistemas insignia de la compañía de Redmon: El ampliamente extendido
y valorado en el mundo empresarial Windows 2000 y Windows Me, un sistema
maldito desde su nacimiento, último heredero del DOS y denostado por casi todos
los usuarios de escritorio del precedente Windows 98.
XP fue el primer sistema "para usuarios y empresas" que se
basaba en el núcleo NT. Por fin, Microsoft, se deshacía del inmortal DOS y
podía ofrecer su “nueva tecnología” a todos los clientes. XP lo tuvo fácil para
desterrar a Windows Me (algunos ya ni se acuerdan de su existencia) pero
Windows 2000 se le atragantó…
El omnipresente campo de Napa,
California, podría pasar por ser la fotografía que más usuarios han tenido de
fondo de escritorio en la historia de los ordenadores personales. No hay
estadísticas, al menos formales, pero la verde integral cortando con sinuosidad
el cálido azul cielo californiano conquistó hasta algunos usuarios del bando "enemigo". Obra de Charles O’Rear,
titulada "Bliss"
(felicidad).
Sin embargo, algunos
administradores y usuarios avanzados no veían con buen agrado que esa felicidad
se deslizara en sus escritorios así por las buenas. El nuevo chaval del
vecindario iba a tener que demostrar que era algo más que una bonita barra azul
y una suerte de coloridos iconos, fuegos de artificio. Algunos terminaron por
volver a la solidez y tranquilidad de la espartana interfaz del reciente destronado
Windows 2000. Irónicamente, años después, los usuarios harían la misma
operación al volver a XP tras el fiasco de experiencia con el malogrado Windows
Vista.
Al igual que el ahora
prehistórico Windows 95, XP puso otra marca en el sendero de
Microsoft. Fue el
sistema que llevó a la compañía a dar un giro en el problema de la seguridad.
La cada vez más incesante aparición de amenazas,
como
la explosiva infección del gusano Blaster y las críticas desde todos los
frentes sobre la política de seguridad de Microsoft, hicieron que reaccionase
tomando medidas y liberando un Service Pack, el SP2, que añadía notables
medidas de seguridad a XP.
Podría decirse que SP2 fue el
primer paso con acento de Microsoft sobre la protección a los usuarios en
general de sus sistemas. SP2 incluía el centro de seguridad, un cortafuegos,
DEP (Data Execution Prevention) y actualizaciones activadas por defecto.
Estábamos entonces en agosto de 2004.
Lo que es
Windows XP sigue siendo el
segundo sistema operativo más instalado de la familia Windows. El primer
puesto, con algo más del 50% de cuota, le pertenece a Windows 7.
XP aún mantiene
un espléndido 18%,
llegando a casi el 50%
en países como China. Estamos hablando de sistemas operativos en general,
incluyendo, según StatCounter, dispositivos móviles. Llama la atención que
Windows 8 mantenga una ligeramente discreta cuota de poco más del 7% a 18 meses
de su lanzamiento. Si solo hablamos de sistemas de escritorio, las cifras
pueden elevarse por encima del 27%.
Muchas empresas se encuentran
ahora en una difícil encrucijada al poseer sistemas estables con instalaciones
sobre XP, en algunos casos incluso sin paquetes de servicio o parches críticos
sin aplicar. Existe un miedo comprensible a “tocar” aquello que funciona, en
algunos casos por la completa falta de alternativas en otros por el coste de
servicio tras estudiar la migración a sistemas con soporte.
Un sector importante, la banca,
ha sido objeto últimamente de titulares en medios generalistas con la
problemática de los cajeros automáticos. Dichos sistemas no son más que
ordenadores comunes conectados a un hardware especial, una grandísima cantidad
de ellos corriendo Windows XP. Hay una preocupación sobre el que pasará, el día
después, cuando dichos sistemas crucen la línea de confort que supone el
soporte de la compañía.
Lo que no será
No solo se acaba el soporte para
Windows XP, también para Office 2003. Sin duda, para Microsoft, Windows XP ha
significado uno de sus sistemas operativos de mayor éxito e implantación en
todo el mundo.
Según la política de Microsoft,
los productos para Empresa y Desarrolladores, entre los cuales se incluyen los
sistemas operativos Windows y Microsoft Office, disponen de un mínimo de 10
años de soporte. Windows XP se presentó en el mercado el 25 de octubre de 2001,
lo que quiere decir que lleva ya más de 12 años en circulación.
Es evidente el problema de
seguridad al que esto nos enfrenta, cientos de millones de ordenadores y
sistemas con un software carente de actualizaciones. Se sabe, que muchos
atacantes han estado guardando sus exploits 0-day a la espera de la fatídica
fecha. Después de ese día podrán lanzar sus ataques con tranquilidad, no habrá
actualización posible. Quien sabe que ataques pueden estar en hibernación en el
disco duro de un atacante, esperando a la luz verde. Click y no habrá remedio.
Los primeros en ponerse al día
han sido un gran número de empresas y gobiernos, para los que la migración ha
sido algo casi obligado y para los que Microsoft ha puesto las cosas más
sencillas. Realmente se ha notado como la cuota de mercado ha ido descendiendo
en los últimos dos años según las compañías iban migrando a los sistemas
operativos más modernos de Microsoft.
Para los usuarios domésticos,
donde la renovación de un sistema operativo no es tan importante la cosa puede
llegar a ser realmente grave. Un usuario final, se puede ver obligado a
adquirir una licencia (lo más recomendable será un Windows 7 u 8), con un coste
asociado que posiblemente no esté al alcance un usuario medio.
Y aunque a finales de junio de
2008 se dejó de vender, hay que recordar que hace pocos años volvió a incluirse
como sistema operativo en muchos netbooks; ya que Microsoft ofreció XP libre de
royalties para frenar la implantación de netbooks con sistemas gratuitos como
Android o Linux. Aun en la actualidad es posible encontrar netbooks (nuevos)
con Windows XP como sistema operativo.
Otro problema que tampoco hay que
descuidar es las implicaciones que puede tener para el resto de usuarios, no
hay que dejar de lado que estos sistemas puedes ser víctimas sencillas de
botnets o similares y ser empleados como fuente de ataques al resto de usuarios.
Lamentablemente a los usuarios que aún siguen con XP, pocas opciones
les quedan, migrar a otros sistemas como Android o Linux, actualizar a una
versión superior de Windows, cambiar de ordenador, o quedarse expuestos a todo
tipo de ataques, malware y problemas.
Eso si, Microsoft va a seguir actualizando, por lo menos durante un tiempo, las
firmas para Microsoft Security Essencials, lo que podría ser un bálsamo de alivio
para cierto tipo de agujeros (Conficker, parcheado por el boletín MS08-067) que
podrían provocar el colapso en algunas redes. Esta carta en la manga es la que
se guarda Microsoft para contener epidemias de este tipo. Una cosa es no
liberar un parche para evitar ejecución remota de código al visitar una web, el
producto estará fuera de soporte y se entiende, pero otra cosa muy diferente es
salir en los titulares de la prensa generalista mientras una pandilla de
gusanos devora el tráfico de media Internet.
En Hispasec hablamos de XP
En una-al-día como no podía ser
menos tratamos en muchas ocasiones a Windows XP y la seguridad de este sistema
como punto central:
una-al-dia (15/04/2001) Windows
XP, ¿el final de los virus informáticos?
http://unaaldia.hispasec.com/2001/04/windows-xp-el-final-de-los-virus.html
una-al-dia (20/12/2001)
Importante agujero en Windows XP
http://unaaldia.hispasec.com/2001/12/importante-agujero-en-windows-xp.html
una-al-dia (13/09/2002) Services
Pack para Internet Explorer 6.0 y Windows XP
http://unaaldia.hispasec.com/2002/09/services-pack-para-internet-explorer-60.html
Incluso
dos años después de su presentación, aún seguía siendo el sistema operativo
estrella. Uno de los mayores problemas provenía del número de fallos que
presentaba la versión instalada por defecto y actualizaciones necesarias para
solucionar esa gran cantidad de problemas de seguridad. Algunos de ellos de tal
gravedad que podían permitir a un virus o gusano introducirse en el ordenador
con solo estar conectado a Internet, operación necesaria para la actualización
del sistema. Además, el número y tamaño de las actualizaciones necesarias era
tan grande (46 actualizaciones que podían ocupar casi 50 MB) que la ventana de tiempo
que transcurría entre la instalación y la actualización fuera tan prolongada
que la infección era casi segura.
una-al-dia (28/12/2003) Windows
XP: sobrevivir al primer día
http://unaaldia.hispasec.com/2003/12/windows-xp-sobrevivir-al-primer-dia.html
una-al-dia (01/05/2004) Gusano
Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerables
http://unaaldia.hispasec.com/2004/05/gusano-sasser-infecta-automaticamente.html
una-al-dia (02/05/2004) Microsoft
alerta sobre el gusano Sasser y su nueva variante Sasser.B
http://unaaldia.hispasec.com/2004/05/microsoft-alerta-sobre-el-gusano-sasser.html
La
publicación del Service Pack 2, también fue un tema controvertido.
Especialmente en los primeros meses tras su publicación. Ya que muchas
aplicaciones dejaban de funcionar correctamente tras su aplicación (incluyendo
antivirus, juegos, herramientas de backup, clientes de FTP, correo, mensajería
instantánea, y hasta soluciones de la propia Microsoft). El problema provenía
de la activación por defecto del firewall personal.
SP2 no se consideró como una
actualización "para”' el sistema operativo, sino más bien como una
actualización "de" sistema operativo.
una-al-dia (16/08/2004)
Aplicaciones incompatibles con el Service Pack 2 para Windows XP
http://unaaldia.hispasec.com/2004/08/aplicaciones-incompatibles-con-el.html
una-al-dia (20/08/2004) Retrasar
la instalación del Service Pack 2 para Windows XP
http://unaaldia.hispasec.com/2004/08/retrasar-la-instalacion-del-service.html
Y cuatro años después
Microsoft
se vio obligada a publicar un tercer Service Pack, y aunque no presentaba
importante mejoras ni cambios sustanciales (como sí hiciera el SP2) sino por
obtener en un solo paquete todas las actualizaciones aparecidas hasta el
momento (que podían suponer casi 100 parches para estar al día).
una-al-dia (07/05/2008) Service
Pack 3 para Windows XP y otras 'macroactualizaciones'
http://unaaldia.hispasec.com/2008/05/service-pack-3-para-windows-xp-y-otras.html
Más información:
El 8 de abril de 2014 finaliza el
Soporte paraWindows XP SP3 y Office 2003
http://www.microsoft.com/es-es/windows/endofsupport.aspx
Top 7 Desktop, Tablet & Console OSs From Feb 2013 to Jan
2014
http://gs.statcounter.com/#os-ww-monthly-201302-201401
China Warns of Risks in Plan to Retire
Windows XP
http://nyti.ms/1gjYbmy
XP - the operating system that will not die
http://www.bbc.com/news/technology-26432473
una-al-dia (11/08/2003)
W32/Blaster, un gusano con una alta incidencia
http://unaaldia.hispasec.com/2003/08/w32blaster-un-gusano-con-una-alta.html
una-al-dia (15/04/2001) Windows
XP, ¿el final de los virus informáticos?
http://unaaldia.hispasec.com/2001/04/windows-xp-el-final-de-los-virus.html
una-al-dia (20/12/2001)
Importante agujero en Windows XP
http://unaaldia.hispasec.com/2001/12/importante-agujero-en-windows-xp.html
una-al-dia (13/09/2002) Services
Pack para Internet Explorer 6.0 y Windows XP
http://unaaldia.hispasec.com/2002/09/services-pack-para-internet-explorer-60.html
una-al-dia (28/12/2003) Windows
XP: sobrevivir al primer día
http://unaaldia.hispasec.com/2003/12/windows-xp-sobrevivir-al-primer-dia.html
una-al-dia (01/05/2004) Gusano
Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerables
http://unaaldia.hispasec.com/2004/05/gusano-sasser-infecta-automaticamente.html
una-al-dia (02/05/2004) Microsoft
alerta sobre el gusano Sasser y su nueva variante Sasser.B
http://unaaldia.hispasec.com/2004/05/microsoft-alerta-sobre-el-gusano-sasser.html
una-al-dia (16/08/2004)
Aplicaciones incompatibles con el Service Pack 2 para Windows XP
http://unaaldia.hispasec.com/2004/08/aplicaciones-incompatibles-con-el.html
una-al-dia (20/08/2004) Retrasar
la instalación del Service Pack 2 para Windows XP
http://unaaldia.hispasec.com/2004/08/retrasar-la-instalacion-del-service.html
una-al-dia (07/05/2008) Service
Pack 3 para Windows XP y otras 'macroactualizaciones'
http://unaaldia.hispasec.com/2008/05/service-pack-3-para-windows-xp-y-otras.html
David García
dgarcia@hispasec.com
Twitter: @dgn1729
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
