Adif posee 2.945 ordenadores sin actualizaciones de Microsoft. La compañía norteamericana dejó de dar soporte a esta versión en enero de 2020, por lo cual no facilita actualizaciones, entre las que se incluyen parches de seguridad para mejorar la protección frente a determinados virus. Adif está inmersa en una licitación abierta para migrar estos equipos a Windows 10.
El hecho de no haber actualizaciones para estos equipos implica grandes riesgos de seguridad, como el hecho de poder infectarse de virus con mayor facilidad que en ordenadores con los últimos parches de Microsoft instalados.
"Los equipos con Windows 7 son potencialmente vulnerables a virus. La inmensa mayoría de los parches que sacan los sistemas operativos son por problemas de seguridad. Si algún fabricante anuncia que ya no va a sacar más y alguien descubre una vulnerabilidad esos equipos son atacables. Ese es el problema de usar sistemas operativos no soportados. Cuando usas esos ordenadores te metes en un jardín. En entornos industriales no es extraño ver equipos sin soporte, pese a los riesgos que esto supone", explica Eusebio Nieva, director técnico de Check Point para España y Portugal.
Por su parte José de la Cruz, director técnico de Trend Micro Iberia, indica que "el mayor riesgo al que se enfrentan las compañías hoy en día es el ransomware, que ha pasado a convertirse en un conjunto de ataques que afectan a varios servicios (correo electrónico, los puestos de trabajo, servidores, la red, etcétera). Una de las técnicas utilizadas por los atacantes para infectar sistemas es el ataque a vulnerabilidades no parcheadas a nivel de sistema operativo. La solución natural a estas vulnerabilidades consiste en parchear, es decir, instalar las actualizaciones de seguridad. Mientras la actualización no esté instalada, el sistema estará en riesgo".
La mayoría de los parches que se sacan son por problemas de seguridad
Adif, un parque de 10.000 equipos
Hay vulnerabilidades que hoy en día siguen activas, a pesar de tener el soporte extendido de Microsoft, que incluye actualizaciones de seguridad sin coste, así como actualizaciones no relacionadas con la seguridad. Entre ellas se encuentra, por poner un ejemplo, la de escalamiento de privilegios locales (LPE), que afecta a Windows 7 y Windows 2008 R2. Esto permitiría a un atacante aumentar los privilegios en cualquier sistema a pesar de estar completamente parcheado o actualizado.
Desde Adif aseguran a preguntas de este medio que se trata de sólo unos 3.000 ordenadores del total de 10.000 que forman parte de su parque completo de equipos y que se ha optado por no utilizar determinadas funcionalidades que podrían poner en riesgo los ordenadores.
Por su parte, hay que destacar que el Centro Criptológico Nacional (CCN) excluye de su Guía de Seguridad de las TIC correspondiente al mes de mayo de 2021 a Windows 7 en el listado de los sistemas operativos seguros. Esta guía detalla que hay "Productos Aprobados y Productos y Servicios Cualificados. En el apartado de Productos Aprobados se recogen aquellos productos que se consideran adecuados para el manejo de información clasificada, mientras que en el apartado de Productos y Servicios Cualificados se
incluyen aquellos que cumplen los requisitos de seguridad exigidos para el manejo de información sensible en el ENS, en cualquiera de sus categorías (ALTA, MEDIA y BÁSICA)", como decimos, Windows 7 directamente no se contempla en el documento. Sí aparecen otros como Windows 2015, Windows 2016 o Windows Enterprise.
El contrato de actualización a Windows 10 asciende a un total aproximado de 629.000 euros. "Los equipos a migrar cuentan con licencia OEM - Windows 7 Professional y serán migrados a Windows 10 Professional última versión con las últimas actualizaciones disponibles en cada momento, corriendo por cuenta del adjudicatario el coste de las correspondientes licencias de actualización que pasarán a ser titularidad de ADIF", detalla el pliego de condiciones.
Los equipos se encuentran ubicados en centros de Adif de Madrid, Barcelona, Bilbao, Valencia, Sevilla y León. El concurso se lanzó en agosto de 2020 y las empresas que deseen proponer una oferta pueden hacerlo hasta pasado mañana, 24 de junio de 2021. A partir de entonces Adif seleccionará la que más se ajuste en precio y condiciones.