Barracuda full logo

Mes de concienciación en ciberseguridad: Mantenga su software actualizado

Temas:
17 oct 2025
|
Christine Barry

Uno de los temas recurrentes del Mes de Concienciación en Ciberseguridad (CAM) es que el software debe mantenerse actualizado. Los sistemas operativos, aplicaciones, firmware y utilidades son candidatos a actualizaciones, y aplicar estas actualizaciones de manera oportuna es una de las defensas más poderosas que tenemos. Las vulnerabilidades se descubren con frecuencia, a menudo a través de programas de recompensas por errores o pruebas internas. Con diligencia y un poco de suerte, podemos parchear estos vacíos de seguridad antes de que un atacante se infiltre.

Días cero y otras cosas

Algunas vulnerabilidades solo se descubren después de que los actores de amenazas las han atacado. Estos se conocen informalmente como ‘días cero’ porque el proveedor literalmente tiene cero días para corregir el fallo antes de que se explote. Al descubrirlas, las vulnerabilidades y las instrucciones de mitigación se divulgan públicamente y se rastrean con identificadores únicos y otros datos.

No todas las vulnerabilidades de software representan el mismo nivel de riesgo. Este gráfico muestra la gravedad de las vulnerabilidades publicadas entre 2001 y 2022:

 

Instituto Nacional de Estándares y Tecnología (NIST). Distribución de la severidad del CVSS a lo largo del tiempo.

Los proveedores suelen entregar un parche de seguridad u otra mitigación lo antes posible cuando se encuentra una vulnerabilidad grave.

A veces, un proveedor optará por eliminar una pieza de software en lugar de emitir un parche. Microsoft abordó seis vulnerabilidades de día cero en las actualizaciones de Microsoft del 14 de octubre de 2025, incluyendo una que había sido incluida con el sistema operativo desde Windows Vista. Esta vulnerabilidad es CVE-2025-24990 y se origina en un controlador que admite datos analógicos y módems de fax, que son sistemas heredados que rara vez se utilizan hoy en día. En lugar de corregir la vulnerabilidad, Microsoft emitió una actualización para eliminar el controlador. Los usuarios que dependen del controlador necesitarán encontrar un reemplazo después de instalar la actualización del 14 de octubre.

Las actualizaciones abordaron varios otros días cero que involucraban componentes del sistema operativo como el Administrador de Conexión de Acceso Remoto (RasMan), los Servicios de Actualización de Windows Server (WSUS), componentes de Entra ID y servicios Bluetooth. Los componentes del sistema operativo de Microsoft están bajo un intenso escrutinio, pero aún se están descubriendo y explotando vulnerabilidades. Incluso las últimas actualizaciones no pueden protegerle de una vulnerabilidad no descubierta.

Eternamente azul

Y luego están aquellas actualizaciones que se emiten pero nunca se instalan. Hay algunas razones principales por las que las actualizaciones de seguridad no se instalan:

  • Miedo a la interrupción o al tiempo de inactividad: Los equipos de TI pueden preocuparse de que la instalación de actualizaciones rompa los sistemas e introduzca nuevos errores. Debido a esto, algunas empresas esperarán hasta haber probado las actualizaciones en sistemas que no están en producción. A veces los usuarios simplemente aceptarán el riesgo de la vulnerabilidad en lugar de instalar las actualizaciones.
  • Conciencia limitada: Los usuarios no técnicos pueden percibir las actualizaciones como opcionales o poco importantes. Ignoran las notificaciones de actualización y asumen que su antivirus o firewall los protegerá. Simplemente no saben cuán significativas pueden ser estas actualizaciones.
  • Inconvenientes y sobrecarga administrativa: Las actualizaciones pueden tomar tiempo, requerir reinicios o exigir privilegios administrativos, lo cual los usuarios encuentran inconveniente. Algunos sistemas no están configurados para actualizaciones automáticas, o las actualizaciones pueden fallar si el espacio en disco u otros recursos son escasos. Los equipos de TI pueden tener un tedioso proceso de aprobación de parches en marcha. Estos problemas pueden crear brechas de seguridad significativas en toda la red.

Estos sistemas no parcheados pueden crear enormes problemas. Este fue el caso en 2017 cuando la campaña de ransomware 'Wannacry' utilizó el exploit 'EternalBlue' contra el protocolo SMB de Microsoft. Microsoft había lanzado un parche de seguridad dos meses antes de este ataque de ransomware a nivel mundial, pero cientos de miles de máquinas afectadas permanecieron sin parchear. A pesar de la naturaleza global y de alto perfil del ataque, no hubo una solución fácil o un arreglo rápido. Un artículo de SecureList describió las consecuencias:

El fabricante de automóviles Renault tuvo que cerrar su fábrica más grande en Francia y los hospitales en el Reino Unido tuvieron que rechazar pacientes. El gigante de transporte alemán Deutsche Bahn, la empresa española Telefónica, la compañía de distribución de energía de Bengala Occidental, FedEx, Hitachi y el Ministerio del Interior ruso también fueron afectados. Un mes después de que el brote inicial había sido contenido, WannaCry seguía causando víctimas, incluyendo a Honda, que se vio obligada a cerrar una de sus instalaciones de producción, y 55 cámaras de velocidad en Victoria, Australia.

Cientos de miles de ordenadores fueron comprometidos a través de una vulnerabilidad divulgada y parcheada dos meses antes. ¿Cuánto daño se puede hacer a los sistemas Windows 10 no parcheados dentro de dos meses?

End of Life de Windows 10

Microsoft lanzó la última de las actualizaciones gratuitas de Windows 10 el 14 de octubre. Nos dieron suficiente aviso, y a estas alturas la mayoría de los usuarios empresariales habrán actualizado a Windows 11 o comprado actualizaciones extendidas para Windows 10. Si aún no lo ha hecho, ahora es el momento de actuar. Puede optar por las Actualizaciones de Seguridad Extendidas (ESU) para Windows 10 o actualizar a Windows 11. La solución ESU está disponible por tres años, pero eso debería ser tiempo suficiente para cambiar a otro sistema operativo. Permanecer en una versión no compatible de Windows 10 es un riesgo de seguridad que seguirá creciendo.

No se trata solo de Windows

Si bien Windows 10 atrae mucha atención, los atacantes también se dirigen a otros componentes que no son tan visibles para el usuario. Estas vulnerabilidades pueden ser más difíciles de parchear, especialmente si están presentes en dispositivos críticos para la misión. A los actores de amenazas les encantan objetivos como este porque las víctimas están bajo más presión para pagar un rescate si estos dispositivos de producción son comprometidos.  

Una gestión sólida de parches requiere visibilidad en todas las capas de software y hardware, así como la priorización de los componentes de alto riesgo. Actualizar a Windows 11 o adquirir ESU para Windows 10 puede cerrar algunos vectores de ataque importantes, pero la defensa no termina ahí. El firmware, las aplicaciones, los sistemas integrados y los sistemas operativos de dispositivos móviles deben formar parte de su programa de gestión de parches.

 

 

Christine Barry

Christine Barry, narradora principal de historias sobre ciberseguridad y gestora de contenidos en Barracuda. Antes de unirse a Barracuda, Christine fue ingeniera de campo y gestora de proyectos para clientes de K12 y PYMES durante más de 15 años. Posee varias credenciales en tecnología y gestión de proyectos, una licenciatura en Artes y un Máster en Administración de Empresas. Es graduada de la Universidad de Míchigan.

Conéctate con Christine en LinkedIn aquí.

 

¡Únete a nuestra comunidad de Reddit!

Publicaciones relacionadas:
Mes de Concienciación en Ciberseguridad: Manteniéndose al día frente a las amenazas de phishing en evolución
Mes de Concienciación en Ciberseguridad: Manteniéndose al día frente a las amenazas de phishing en evolución
 Mes de Concienciación sobre la Ciberseguridad: el MFA importa más que nunca
Mes de Concienciación sobre la Ciberseguridad: el MFA importa más que nunca
 Mes de la concienciación en ciberseguridad: Cómo crear hábitos de seguridad con contraseñas seguras
Mes de la concienciación en ciberseguridad: Cómo crear hábitos de seguridad con contraseñas seguras
 Mes de la Concienciación sobre la Ciberseguridad: Pasos sencillos para la seguridad cibernética en 2025
Mes de la Concienciación sobre la Ciberseguridad: Pasos sencillos para la seguridad cibernética en 2025
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.