Cuidado con ese viejo router que tienes en casa, porque podría ser un nido de malware. No porque tú hayas hecho nada malo, no, sino porque el fabricante podría haber dejado de ofrecer actualizaciones de seguridad si ha pasado el periodo de soporte.
Que es justo lo que ha pasado con una familia de routers de D-Link en los que se ha revelado una vulnerabilidad crítica que permite la ejecución de código remoto y pone en riesgo a sus usuarios. D-Link no va a actualizar esos routers porque el ciclo de soporte oficial ha finalizado, así que estamos ante un ejemplo claro de hardware vulnerable para siempre (y cada vez hay más).
Otra consecuencia de la obsolescencia programada
Los fabricantes de hardware suelen definir ciclos de vida y de soporte para sus productos: cuando acaban esos periodos, dejan de dar actualizaciones a esos productos, lo que puede provocar problemas muy serios en algunos casos.
We are entering the era of forever vulnerable hardware. D-Link router with CVSS 10.0 vuln won't get a patch because it is EOL. https://t.co/dLEAmC0YxS
— Chris Wysopal (@WeldPond) 7 de octubre de 2019
Esos ciclos de soporte son ya muy conocidos en el caso de los sistemas operativos como Windows, que en sus distintas versiones ha ido contando con diversos periodos en los que las actualizaciones llegan sin problemas.
Luego llegan periodos extendidos con actualizaciones de seguridad, tras lo cual los sistemas operativos dejan de tener soporte oficial, algo que es una invitación "forzosa" a dar el salto a nuevas versiones de esos desarrollos.
Con Windows XP se ha producido una situación algo diferente, y Microsoft extendió el soporte bastante más allá de su ciclo de vida debido a la gran popularidad de este sistema operativo años después de que finalizara el periodo oficial de actualizaciones.
Los que siguen utilizando esos sistemas operativos sin soporte se arriesgan a que un cibercriminal aproveche alguna nueva vulnerabilidad del sistema para adentrarse en equipos gobernados por el software, y lo mismo ocurre con el hardware.
D-Link como ejemplo del problema
La firma Fortinet y su división FortiGuard Labs indicó recientemente que varios de los antiguos routers de D-Link están afectados por una vulnerabilidad (CVE-2019-16920) descubierta en septiembre de 2019. Los modelos afectados son los de las familias DIR-655, DIR-866L, DIR-652, y DHP-1565.
Tras descubrir el problema y comunicárselo a D-Link, la firma indicó que esos productos ya han superado su ciclo de vida (están en la fase EOL, End Of life), y por tanto no se ofrecerían parches para corregir el problema. El D-Link DIR-655 es un producto con https://wikidevi.com/wiki/D-Link_DIR-655 que se lanzaron entre 2006 y 2013, por ejemplo, pero todas ellas están ya fuera del periodo de soporte.
La situación no afecta únicamente a D-Link, desde luego, y la mayoría de fabricantes hardware dejan claros los ciclos de vida de sus productos y especifican los periodos de soporte tras los cuales esos productos pasan a entrar en la fase EOL.
En algunos casos el fabricante sí puede publicar actualizaciones de seguridad para esos productos hardware ya descatalogados, pero son muchas más las ocasiones en las que esos productos cuentan con una vulnerabilidad que nunca es parcheada y que pone en riesgo a sus usuarios.
Los expertos recomiendan tener muy en cuenta esos ciclos de vida para reemplazar productos hardware y software cuando sea necesario, sobre todo en el caso de instituciones educativas o sanitarias, por ejemplo, pero lo cierto es que lidiar con ese efecto colateral de la obsolescencia programada de estos dispositivos es complicado en muchos escenarios.