¡Actualizarse o morir! Nuestros negocios dependen de equipos con software que utilizamos para: comunicarnos por correo, utilizar herramientas de videoconferencia, editar documentos de texto o multimedia, llevar la contabilidad, gestionar la cartera de clientes o las nóminas, etc. A menudo, durante su vida útil se descubre que tienen fallos de seguridad, por los que podría exponerse nuestra información confidencial, servir de entrada a software malicioso o dar acceso a delincuentes con intenciones poco éticas. Para solucionar estos fallos, los fabricantes de software publican actualizaciones de seguridad que tenemos que instalar para parchear los fallos de seguridad descubiertos. ¿Vas a ponérselo fácil a los delincuentes usando software obsoleto o desactualizado o eres de los que actualizas e instalas los parches de seguridad? ¿Tienes una política de actualizaciones?
Para evitar problemas de seguridad hay que revisar y estar al tanto de la existencia de actualizaciones y parches de seguridad para nuestro software. Además es recomendable elaborar procedimientos para instalarlos de forma segura y controlada, es decir, verificando que no causen interrupción del servicio o pérdida de funcionalidad.
¿Qué tengo que actualizar?
Todo el software es susceptible de necesitar actualizaciones por motivos de seguridad, esto incluye el firmware de los equipos electrónicos, los sistemas operativos y aplicaciones informáticas e incluso los propios programas antimalware. También afecta a todo tipo de equipos, incluidos equipos de red, de videoconferencia, impresoras, móviles y dispositivos IoT. Los fabricantes de software lanzan actualizaciones y parches para mejorarlos, añadir nuevas funcionalidades y corregir fallos de seguridad.
Si no mantenemos convenientemente actualizados nuestros equipos y aplicaciones nos exponemos a todo tipo de riesgos. Los sistemas no actualizados pueden ser aprovechados por los delincuentes para introducirse en ellos y dejarlos inactivos, infectarlos con cualquier clase de malware como un ransomware, aprovechar su capacidad de proceso para crear botnets con fines delictivos o minar criptomonedas y robar todo tipo de datos (credenciales de acceso, datos confidenciales, etc.).
¿Cómo sé cuándo hay que actualizar?
En primer lugar, tenemos que buscar la forma de estar avisados de la necesidad de actualizar y parchear todo nuestro software.
Para ello, es útil tener un inventario del software y el firmware instalado y de los fabricantes. Si se descubren errores o fallos de seguridad tendremos que corregirlos como nos diga el fabricante para garantizar su seguridad.
Algunos sistemas operativos y aplicaciones incluyen la función de actualizaciones automáticas que es recomendable activar. Así el propio programa nos va a avisar cada vez que haya una actualización y nos permitirá instalarla o no a nuestro criterio.
En los casos de actualización manual tenemos que visitar la página del fabricante y obtener de ella la actualización verificando que la página desde la que hacemos la descarga sea de confianza. En los casos en los que tengamos servicios subcontratados a terceros, también exigiremos que el software este convenientemente actualizado.
También es práctico configurar un sistema de alertas (RSS o Google Alerts) para recopilar avisos y notificaciones sobre vulnerabilidades, actualizaciones y parches de seguridad del software utilizado. Estas alertas pueden consistir en:
- boletines genéricos sobre avisos y vulnerabilidades como el boletín de Incibe, el del CERTSI o el de alguno de los otros CERTS españoles entre ellos: CESICAT, CCN-CERT o CIRST-CV;
- boletines específicos sobre actualizaciones y novedades que nos ofrecen los fabricantes o proveedores o comunidades de soporte por ejemplo: Apple Security Updates, Drupal Security Advisories, Wordpress o Mozzilla F. Security Advisories.
Por otra parte, existen herramientas de diagnóstico que revisan si el software de nuestros equipos está actualizado o no. Una vez detectadas las actualizaciones pendientes, podemos proceder a su instalación en todos los equipos de manera centralizada. Esto puede ser útil en entornos con muchos equipos en los que queremos que el software instalado sea homogéneo y esté especialmente controlado.
¿Qué precauciones debo tomar a la hora de actualizar?
El equipo técnico determinará el momento en el que ejecutar las actualizaciones para no interferir con las operaciones de la empresa. Antes de su instalación consideraremos la utilidad de las nuevas mejoras y la gravedad de los errores que subsanan, así como los requisitos hardware/software necesarios.
Además debemos valorar la necesidad de disponer de un entorno de pruebas donde instalar y probar las actualizaciones, para verificar que su funcionamiento es el esperado. Es recomendable este paso en actualizaciones de aplicaciones críticas instaladas en servidores (CMS, servidores web, servidores de correo, etc.).
Antes de aceptar la instalación de una actualización, verificaremos si es posible deshacer los cambios realizados. Así si el comportamiento del software actualizado no responde a lo esperado podremos volver a la situación anterior. Siempre es recomendable disponer de copias de seguridad recientes localizadas y probadas para poder revertir cualquier cambio que hagamos.
Por último, llevaremos un registro de las actualizaciones que se han instalado en nuestros sistemas. De esta forma, podremos tener en todo momento un conocimiento exhaustivo del software operativo en nuestros equipos.
Pero todo el software tiene un ciclo de vida, por lo que llegado el momento puede quedar obsoleto y sin soporte oficial por parte del fabricante. En ese momento es un blanco fácil para los ciberdelincuentes (sobre todo si estamos conectados a Internet) y deberíamos dejar de utilizarlo.
Verifica que no se te olvida nada
En la Política de actualizaciones software dispones de un checklist para comprobar que los procesos de actualización siguen los criterios de seguridad de tu organización. Puedes editarla a tu gusto y personalizarla para que se adapte a tu empresa, añadir los controles que puedan ser más prácticos o quitar aquellos que no sean necesarios. No olvides analizar periódicamente todos los controles, pues si el software de tu empresa no está actualizado, puedes ser objeto de algún ataque.