Muerte de Windows XP desampara a cajeros

Microsoft dejará de dar soporte al sistema el 8 de abril, situación que podría generar una crisis; las empresas e instituciones que no actualicen su sistema serán vulnerables a ataques informáticos.
windows xp  (Foto: Cortesía CNNMoney)
David Z. Morris

Después del 8 de abril de 2014, Microsoft dejará de dar soporte, incluyendo parches de seguridad automáticos, a su sistema operativo Windows XP de 13 años de edad. Esto podría sonar como un inconveniente principalmente para agencias gubernamentales, pero otro grupo importante de usuarios de Windows XP son los cajeros automáticos y los sistemas de venta por tarjeta de crédito que manejan miles de millones de dólares de transacciones diarias.

Aunque es probable que los principales minoristas y bancos estén bien preparados para el final de XP, los sistemas financieros basados en este software también están en manos de una mezcolanza de amplio alcance de operadores de cajeros automáticos independientes y pequeñas empresas. A pesar de las abundantes advertencias, los analistas de la industria y los expertos concuerdan en que el alto costo y la inconveniencia mantendrán a muchos de estos pequeños participantes de la industria ejecutando un software obsoleto durante muchos meses por venir; con graves consecuencias para la seguridad de sus sistemas.

Jerry Nevins, copropietario del bar de cócteles Kansas City Snow & Co., se encuentra cerca de ese dilema. Snow & Co. compró un sistema de punto de venta hace menos de un año al proveedor de servicios de pagos Micros, sólo para que dijeran algunos meses después que era necesaria una actualización a Windows 7, con un costo de 1,700 dólares por el sistema para una sola tienda. Por suerte, Snow & Co. todavía estaba bajo un contrato de servicios, por lo que su actualización fue gratuita. Pero, como Nevins lo plantea: “Si eres una pequeña empresa, un costo inesperado de 1,700 dólares podría significar un: 'Mmm, seguiré adelante y tomar mis riesgos'. Más aún, Nevins describe una “enorme fila” de clientes en espera de una actualización. Está cruzando los dedos para que Snow & Co. sea actualizado antes de la fecha límite del 8 de abril.

Los costos de los procesadores minoristas de tarjetas de crédito variarán ampliamente, dice John Berkeley de Mercury Payment Systems. “Si tienes el hardware adecuado, simplemente puedes actualizar el sistema operativo, pero para algunos comerciantes actualizar de XP a Windows 7 puede significar un hardware completamente nuevo”, lo cual probablemente cuesta mucho más que esos 1,700 dólares.

Nota relacionada: Microsoft se aferra a entrar a tu correo

Los retos de la modernización se vuelven aún mayores en el caso de los cajeros automáticos. Los fabricantes de cajeros automáticos están ofreciendo actualizaciones de software para las máquinas que aún están basadas en XP; aunque algunas de ellas han estado disponibles desde apenas menos de un mes. Pero el costo de actualizarlas puede ser impactante.

Según Jay Weber, vicepresidente a cargo de los sistemas de cajeros automáticos y débito de Norteamérica de FIS Global, “un cajero automático adquirido en los últimos cinco años... necesitaría una actualización de software de entre 4,000 y 5,000 dólares por máquina”. El costo del software es tan alto, en parte, debido a que gran parte del programa especializado escrito para Windows XP no puede trasladarse fácilmente a un nuevo sistema operativo. Pero los cajeros automáticos de 10 años de antigüedad o más tendrían que ser reemplazados por completo, y Weber dice que los nuevos cajeros automáticos de gama alta pueden costar por lo menos entre 50,000 y 60,000 dólares por dispositivo.

Los operadores de cajeros automáticos y dueños de negocios en gran medida tienen la decisión final de si deben actualizar o no, dice Weber. “Las organizaciones están tratando de analizar la inversión de la actualización y sopesarla contra su percepción de riesgo”, y muchos parecen estar dispuestos a arriesgarse”. (El 9 de abril) llegará y se irá, y habrá algunos comerciantes que no lo hayan hecho todavía”, dice Berkeley. Weber especula que “será un enfoque de goteo, una incremento lento con muchos que operarán sin una actualización -y que permanecerán oficialmente inseguros- hasta finales de 2014.

Esta indecisión podría empeorarse debido a que los operadores están recibiendo mensajes contradictorios acerca de su riesgo. El Payments Card Industry Security Standards Council ha emitido advertencias públicas acerca de la necesidad de que los minoristas actualicen sus sistemas de punto de venta, pero su actual conjunto de normas, que son utilizadas para determinar la elegibilidad para operar en las redes de tarjetas de crédito, no lo requieren. Y el propio Weber parece optimista: “El riesgo es difícil de cuantificar. Hay mucha tecnología instalada en el mercado para ayudar a mitigar el riesgo”, así como el “entorno de telecomunicaciones bastante cerrado” en el que la mayoría de los sistemas de pago funcionan.

Pero Bogdan Botezatu, analista senior de amenazas electrónicas para la compañía de software antimalware Bitdefender, no podría estar más en desacuerdo. Habla sobre el tema con el terror apenas contenido de un padre que ve a su hijo adolescente manejar solo un auto por primera vez. “No están cayendo en el pánico”, dice, “y, de hecho, eso me hace caer a mí en pánico”.

Botezatu, quien recorre los foros clandestinos de hacking para mantener un ojo sobre las próximas amenazas de seguridad, afirma que los hackers se están preparando para atacar a las repentinamente inseguras máquinas XP en el minuto en que el soporte de Microsoft termine. “Cuando se anuncia que un sistema operativo hay llegado al final de su vida útil, (los hackers) están buscando frenéticamente vulnerabilidades, porque entonces pueden usarlas de forma indefinida”, dice. “Es el Santo Grial del malware”.

Nota relacionada: Microsoft abarata Windows para empresas

Para sacar el máximo provecho a la situación, los vendedores del mercado negro que venden nuevas vulnerabilidades de XP las han estado almacenando, esperando para liberarlas hasta después de que Microsoft ya no esté vigilando ni reparando fallos de seguridad. Aunque las empresas de seguridad de terceros continuarán actualizando los programas antimalware para XP, los usuarios que no ejecuten o actualicen dicho software podrían estar permanentemente expuestos a un conjunto cada vez mayor de vulnerabilidades. John Berkeley de Mercury Payment Systems confirma que “si un hacker descubre (una vulnerabilidad) uno o dos meses después del final (del soporte a XP), tendrá más tiempo para explotar eso”.

Estas hazañas pueden ir desde el robo de información de tarjetas de crédito a pequeños vendedores hasta formas de robo aún más dramáticas, muchas de las cuales eluden fácilmente las medidas de seguridad externas, tales como la red de pagos semicerrados. Botezatu dice que ha habido reportes de una vulnerabilidad de cajero automático a través de un teléfono móvil conectado a través del lector de tarjetas de un cajero automático. También cita un truco legendario del experto en seguridad Barnaby Jack, en la conferencia de seguridad Black Hat en 2010, que demostró un hackeo tipo Jackpot “que vació fácilmente un cajero automático basado en Windows XP. Según Botezatu, Jack, quien murió en 2013, nunca reveló la naturaleza de esta hazaña, lo que significa que podría seguir siendo una vulnerabilidad sin parchar en máquinas basadas en XP.

Nota relacionada: Móviles: el reto de Nadella en Microsoft

Lo más preocupante de todo, como predice Botezatu, es que las máquinas XP de todos los tipos sin seguridad se verán comprometidas por los hackers para formar nuevos botnets. Este tipo de sistemas, en el que los procesadores de sistemas hackeados son programados para hacer nuevas tareas sin que lo sepan sus dueños, puede ser utilizado para todo, desde ataques masivos de denegación de servicio hasta para minar criptomonedas; y aumentarían considerablemente la inseguridad del Internet como un todo. “Veo muchos problemas”, advierte Botezatu.

¿Quieres más noticias como esta?
Conoce las innovaciones y las tendencias tecnológicas más relevantes.

Aún está por verse si el 9 de abril traerá una plaga de cajeros automáticos que vomiten efectivo, computadoras zombis o lectores de tarjetas de crédito que roben. Pero Botezatu suena exasperado por el hecho de que deba considerar siquiera estos escenarios. “Es un sistema operativo que fue lanzado hace 13 años. Todos deberían haber comenzado la migración hace dos o tres años” para evitar las prisas histéricas y los riesgos que conlleva el final del soporte. Él espera que, al menos, este episodio motive a los usuarios actuales a pensar en el futuro.

“Esto va a suceder pronto con otros sistemas operativos”, dice Botezatu. “Debes comenzar la actualización desde Windows 7 ahora”.

Ahora ve
México es la cuna de la nochebuena, la flor de la Navidad
No te pierdas
×