Natalia Pérez Muñoz y Paula Moraga Monterolenguaje de COBOL sigue siendo confiable, y perciben un riesgo potencial en el cambio o la migración a nuevos sistemas. Estas entidades

de 26

Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020

Contenido 1. Introducción ....................................................................................................................................................... 3 2. ¿Qué es un sistema legacy? .............................................................................................................................. 4 3. Desafíos de los sistemas legacy ........................................................................................................................ 5

3.1. COBOL: sistema legado y controversia ................................................................................................... 5 3.2. Razones esgrimidas para mantener sistemas legacy ............................................................................. 5 3.3. Argumentos para modernizar los sistemas ............................................................................................ 6

4. Modernización de sistemas legacy ................................................................................................................... 8 4.1. Modelos de evaluación ............................................................................................................................ 8 4.2. Métodos de modernización ..................................................................................................................... 8 4.3. Migraciones exitosas ................................................................................................................................ 9

5. Estado de sistemas .......................................................................................................................................... 10 5.1. Sistemas operativos actuales y sistemas legacy ................................................................................... 10

5.1.1. Windows con soporte ................................................................................................................... 10 5.1.2. Windows sin soporte .................................................................................................................... 10 5.1.3. Linux con soporte .......................................................................................................................... 11 5.1.4. Linux sin soporte ........................................................................................................................... 11 5.1.5. MAC con soporte .......................................................................................................................... 13 5.1.6. MAC sin soporte ............................................................................................................................ 13

5.2. Servidores Web Legacy .......................................................................................................................... 14 5.2.1. Apache con soporte ...................................................................................................................... 14 5.2.2. Apache sin soporte........................................................................................................................ 14 5.2.3. Nginx con soporte ......................................................................................................................... 14 5.2.4. Nginx sin soporte ........................................................................................................................... 14 5.2.5. IIS con soporte ............................................................................................................................... 15 5.2.6. IIS sin soporte ................................................................................................................................ 15

5.3. Gestores de contenidos actuales y legacy ............................................................................................ 15 5.3.1. Wordpress con soporte ................................................................................................................ 15 5.3.2. Wordpress sin soporte .................................................................................................................. 15 5.3.3. Joomla! Con soporte ..................................................................................................................... 16 5.3.4. Joomla! Sin soporte ....................................................................................................................... 16 5.3.5. Drupal con soporte ....................................................................................................................... 17 5.3.6. Drupal sin soporte ......................................................................................................................... 17

6. Resultados ........................................................................................................................................................ 18 6.1. Sistemas Operativos Legacy en Chile .................................................................................................... 18

6.1.1. Sistemas Windows en Chile sin soporte ...................................................................................... 18 6.1.2. Sistemas Linux en Chile sin soporte ............................................................................................. 18

6.2. Sistemas web legacy en Chile ................................................................................................................ 19 6.2.1. Sistemas Apache en Chile sin soporte ......................................................................................... 19 6.2.2. Sistemas Nginx en Chile sin soporte............................................................................................. 19 6.2.3. Sistemas IIS en Chile sin soporte .................................................................................................. 20

7. ¿Cuál es la real amenaza en materia de ciberseguridad? ............................................................................. 21 8. Conclusiones .................................................................................................................................................... 26

Autores: Natalia Pérez M. y Paula Moraga M. Director: Carlos Landeros C. Edición: Katherina Canales M. Diseño: Jaime Millán G. Corrección: Patricio Quezada A - Carolina Covarrubias E. Correo: [email protected] Santiago de Chile, 01 de septiembre de 2020

de 26


1. Introducción Los sistemas legacy o sistemas heredados son soluciones computacionales en contextos tecnológicos ya superados, pero que siguen vinculados a activos críticos centrales en las organizaciones. En otros términos, son soluciones del pasado que representan un problema en retrospectiva. Este tipo de sistemas son un desafío para las organizaciones que los sostienen en el actual contexto global, dado que la disponibilidad de tecnologías depende de múltiples soluciones en una industria que, además avanza a un ritmo acelerado, donde los sistemas tecnológicos de épocas pasadas están destinados a la obsolescencia. En consecuencia, los sistemas heredados se pueden entender como soluciones parche a problemas de fondo, los que tarde o temprano debemos enfrentar con estrategias de mediano o largo plazo, dependiendo de la dimensión del desafío. Este artículo busca poner en perspectiva un problema que tratamos de ignorar muchas veces al interior de las organizaciones, especialmente dada la magnitud del costo que puede significar la solución, y por la desconfianza en el uso de sistemas que no han sido del todo probados en áreas específicas, como la banca, los sistemas de salud o gobierno. El desafío de este artículo fue crear un acotado panorama de los sistemas legacy en nuestro ecosistema nacional, para lo cual se acompañan algunas tablas estadísticas que indican que tipo de software cuentan o carecen de soporte –en general-, y cuantos sistemas expuestos a internet estarían dentro de esta categoría.

de 26


2. ¿Qué es un sistema legacy? Un sistema legacy o sistema heredado se refiere a un sistema basado en dispositivos computacionales que pueden estar aún en uso pero que carecen de soporte por parte de los proveedores, por lo tanto, no pueden ser actualizados.1 Un sistema heredado también puede hacer referencia a procedimientos y procesos vinculados a tecnologías específicas, pero en general se describen a sistemas antiguos, críticos y centrales en las organizaciones, cuyo uso se ha extendido por un tiempo mayor a las tecnologías que los soportan porque son capaces de satisfacer necesidad de las organizaciones que los cobijan y pero que no cumplen los estándares de la evolución tecnológica. Estos sistemas pueden ser analizados por el software de la aplicación, el soporte, el hardware del sistema, los datos de la aplicación, los procesos de negocios en su uso, las reglas y políticas del sistema. El término fue incorporado a la literatura de la tecnología de la información en la década de los 1990, en relación a softwares complejos de manejar pero que constituyen una parte esencial de las organizaciones.2 Estos sistemas heredados utilizan técnicas que son obsoletas, pero siguen realizando un trabajo útil, y en algunos casos, su reemplazo puede representar un riesgo para la continuidad de una actividad. Los sistemas heredados presentan como principal desafío la necesidad de mantenimiento, y alternativamente, su actualización o migración. En todos los casos, los retos asociados son técnicos y no técnicos, con el objetivo de proporcionar seguridad, confidencialidad e integridad de los activos informáticos que almacenan. En este sentido, es necesario enfatizar que la literatura solo reconoce a los sistemas que son esenciales para el desarrollo de una actividad como sistemas legacy.

1 Rana, M. y Ab Rahman, W., A Review of Cloud Migration Techniques and Models for Legacy Applications: Key Considerations and Potential Concerns, Advanced Science Letters, Vol. 24, 2018, p. 1710. 2 Vs. Bennett, K., Legacy systems: coping with success, IEEE Softw. 12, 1995.

de 26


3. Desafíos de los sistemas legacy Una forma de comprender un sistema legacy es asumir que las organizaciones, en gran medida, dependen de las soluciones del pasado para su funcionamiento actual, pero se enfrentan al dilema inevitable de la obsolescencia tecnológica de esas soluciones. No importa cuán crítica sea la operación de una organización, el cambio tecnológico no es una excepción, sino una norma de la que no se puede escapar. 3.1. COBOL: sistema legado y controversia El uso del lenguaje de programación COBOL en los sistemas bancarios es un ejemplo de soluciones razonables de otras épocas que, en retrospectiva, hoy representan un problema. COBOL (sigla en inglés de Common Business-Oriented Language) es un lenguaje de programación que fue creado a finales de la década de 1950 y que aún está operativo, con alrededor de 200 billones de líneas de código que se utilizan en sistemas comerciales y administrativos, especialmente en la banca, sistemas de salud y agencias gubernamentales alrededor del mundo. Hoy COBOL representa lo que se define como una de brecha de habilidades en la industria de software, dado que la mayoría de los desarrolladores actualmente se forman en lenguajes de codificación dinámicos como Java o Python, y aquellos que tienen experiencia con este tipo de lenguaje están desapareciendo del mercado. La última versión del programa se lanzó en 2014, y el promedio de edad de los profesionales que utilizan COBOL supera la barrera de los 45 años. Todos estos factores hacen que la mantención de los sistemas COBOL sea cada vez más compleja y costosa.3 La persistencia en el uso de COBOL está vinculada al papel central del área económica que depende de su uso, lo que genera una serie de fricciones que van más allá del propio lenguaje de programación y automatización de los sistemas, y que afloran en la interacción de infraestructuras asimétricas dados los diferentes tipos de lenguajes de programación que se utilizan. Para estas organizaciones el lenguaje de COBOL sigue siendo confiable, y perciben un riesgo potencial en el cambio o la migración a nuevos sistemas. Estas entidades prefieren seguir ejecutando lo que se denomina como “computación de crisis”,4 sin capacidad de mantención en el futuro, y en muchos casos a través de soluciones entregadas por proveedores, pero cuya respuesta sigue siendo confiable en el presente, postergando así confrontar el problema hasta el último momento posible. 3.2. Razones esgrimidas para mantener sistemas legacy Cómo se destacó en el punto anterior, los sistemas heredados aún representan activos valiosos para las organizaciones por múltiples aspectos, como la funcionalidad específica que prestan a un sistema específico, la inversión que significa optar por un nuevo sistema, las dificultades en la implementación de nuevas soluciones y la inseguridad –o miedo- a la modernización, principalmente, por la fidelidad de los resultados de los sistemas instalados.

3 Vs. https://logapps.com/white_paper/moving-from-your-legacy-system-cobol-conversion-cost-and-consequences/ 4 Vs. Ristasdatter, L., Unwrapping Cobol: Lessons in Crisis Computing, Tesisdoctoral, Universidad de Malmo, Facultad de Cultura y Sociedad. 2020.

de 26


Además de estas razones, podemos esgrimir otros argumentos que hacen renuente la decisión por el cambio o migración, entre estas destacan:

Si bien mantener un sistema legado es costoso, las alternativas de modernización representan una inversión inicial y riesgo mayor.

La capacitación en el uso de un nuevo sistema no solo significa costos en la capacitación de personal, sino una inversión de tiempo de adaptación y asumir la ocurrencia de imprevistos durante la etapa de transición.

Los sistemas heredados tienden a tener una disponibilidad constante, por lo que no se

pueden sacar de servicio, y el costo de diseñar un nuevo sistema con un nivel de

disponibilidad similar es alto.

El miedo de trasladar todos o parte de los sistemas de una empresa o un departamento, a un nuevo sistema inspira resistencia, por la cantidad de cambios que sucederán.

No son pocas las dificultades que implica el cambio de sistemas. El software heredado podría estar construido con un lenguaje de programación obsoleto que dificulte encontrar personal con las habilidades para realizar la migración. Además, si el sistema no está suficientemente documentado y los desarrolladores originales han abandonado la empresa, podrían generar un obstáculo para los profesionales a cargo de la modernización del sistema. A veces, simplemente planificar la migración de datos desde un sistema heredado y definir el alcance de los requisitos para un nuevo sistema son abrumadores

Una organización podría definir que no hay motivos para cambiar un sistema que funciona satisfactoriamente. En muchos casos todo se reduce a un dicho: “si no está roto, no lo arregle”.

No se comprende bien la forma en que funciona el sistema. Tal situación puede ocurrir cuando los diseñadores del sistema han abandonado la organización y el sistema no se ha documentado completamente o se ha perdido la documentación.

3.3. Argumentos para modernizar los sistemas En el mediano o largo plazo, la renuencia a implementar nuevos sistemas podría afectar negativamente la evolución de la organización, interrumpiendo la entrega de servicios o afectando el cumplimiento de sus necesidades comerciales, por ejemplo. El papel de los directivos o líderes de las organizaciones es central en la toma de decisiones que permitan avanzar a las entidades para implementar nuevas soluciones. Estos no solo deben estar informados sobre los riesgos que significan mantener sistemas heredado, sino los desafíos y beneficios de los cambios, también deben ser conscientes sobre los avances tecnológicos y la rápida obsolescencia tecnológica. Entre los argumentos para migrar los sistemas legacy de una organización se pueden contar los siguientes:

Altos costos de mantenimiento. Pocas o nulas posibilidades de crecimiento tecnológico. Difícil o poca integración entre sistemas antiguos y nuevos.

de 26


Seguridad reducida. Al no poseer actualizaciones, no habrá mitigaciones o parches disponibles frente a las nuevas vulnerabilidades en sistemas operativos o aplicaciones más antiguos. También puede haber configuraciones de producción que causen problemas de seguridad. En consecuencia, al no poseer actualizaciones, las fallas no tendrán solución.

Un sistema heredado podría no estar equipado para cumplir normas exigidas por los reguladores sobre atributos de seguridad.

Y finalmente, existe la necesidad de no perder información importante o histórica almacenada en los sistemas.

de 26


4. Modernización de sistemas legacy Luego de su desarrollo, la evolución de un software depende de su mantenimiento, la capacidad de modernización, o el remplazo del sistema. Asumiendo que, por un lado, el mantenimiento no implica mayores cambios estructurales, mientras que el reemplazo o discontinuidad de un sistema depende de su contribución en la organización, para los casos en que es necesario preservar un sistema la modernización surge como única opción para los sistemas que son necesarios en una organización. La modernización de un sistema heredado pasa necesariamente por los resultados de la evaluación del mismo, el que se puede definir por el entorno del sistema y la propia aplicación.5 El entorno se evalúa en relación a aspectos como la coyuntura tecnológica y los proveedores, mientras que la aplicación se mide por los atributos no funcionales del sistema, como aspectos técnicos, comerciales y de infraestructura organizacional.6 La modernización requiere la aplicación de procesos de evaluación con métodos acordes a las complejidades del propio sistema, para así, permitir su actualización con el uso de tecnologías de última generación que le permitan respaldar y ejecutar operaciones. Sin embargo, la adecuación de cambios no es sencilla, porque demanda cumplir múltiples requisitos del sistema antiguo enfrentado a la seguridad de las nuevas tecnologías y protocolos. 4.1. Modelos de evaluación Los modelos de evaluación dependen necesariamente de los beneficios que las organizaciones buscan obtener sobre una escala de prioridades. Bajo esa consideración, la evaluación exige definir los criterios a evaluar del sistema. Cuatro aspectos se pueden considerar para realizar esta evaluación:

1) Soporte: (Incluye el análisis del software, hardware y soporte) Examina la disponibilidad del código fuente y el equipo de respaldo.

2) Modelo de negocios: (Incluye el modelo de negocios y las políticas de la organización) Dependerá de este aspecto la decisión de mantener el sistema y la magnitud del desafío, su reemplazo, la migración o su terminación.

3) Arquitectura: Tiene relación con la forma en que los usuarios inter-operan con el sistema a través de sus funcionalidades, los patrones de incorporación e interacción de datos.

4) Tecnología: Discute la tecnología adoptada en un sistema legacy y si esta es apropiada en relación a las necesidades del negocio.

4.2. Métodos de modernización En general, hay cuatro conceptos estratégicos para identificar la solución más apropiada en la modernización de un sistema heredado:

5 Summerville, I., Software Engineering, 2010. 6 Alkazemi, B., A Framework to Assess Legacy Software Systems, Departamento de Ciencia y Computación, Umm Al-Qura University, Arabia Saudita.

de 26


Reemplazar sistemas con nuevas soluciones Mantener los sistemas heredados con una evolución limitada Rediseñar la arquitectura del sistema manteniendo la funcionalidad intacta Mantener el sistema, utilizar interfaces y estándares para la interacción con otros sistemas

Cada estrategia implica una investigación rigurosa del impacto de estas soluciones en el futuro y los retos de su implementación deben ser limitados. 4.3. Migraciones exitosas Si la decisión final implica la migración a nuevos sistemas, las organizaciones deben considerar a menos tres condiciones para que este tránsito a un nuevo o mejorado sistema sea exitoso:

La migración de datos de un sistema heredado comienza por asegurarse de que todo se pueda extraer de forma segura.

Transformando datos para que coincidan con los nuevos formatos. Esto es vital para garantizar que el nuevo sistema comprenda los datos del sistema heredado.

Limpieza de los datos durante el proceso de migración. Es un buen momento para limpiar los datos eliminando las duplicaciones, los datos incompletos y los datos que no están formateados correctamente.

de 26


5. Estado de sistemas Las autoras consideraron como sistema legacy aquellos que no poseen soporte por parte de la marca, mientras que definieron como a los sistemas operativos como aquellos que poseen soporte por parte del fabricante (considerando las últimas versiones que se encuentran en el mercado). Ambas nociones sirvieron para realizar búsquedas utilizando shodan para construir un panorama de los sistemas operativos y los sistemas legacy expuestos a internet en el ecosistema cibernético nacional. 5.1. Sistemas operativos actuales y sistemas legacy A continuación, se enlistan los sistemas operativos legacy y sistemas operativos no legacy para Windows, Linux (versión de kernel) y MAC. 5.1.1. Windows con soporte

Nombre de producto Última versión Fecha de disponibilidad Soporte hasta

Convencional Extendido

Windows Server 2012 NT 6.2.9200 Septiembre 4, 2012 Octubre 9, 2018 Octubre 10, 2023

Windows 8.1 NT 6.3.9600 Octubre 17, 2013 Enero 9, 2018 Enero 10, 2023

Windows Server 2012 R2 NT 6.3.9600 Octubre 18, 2013 Octubre 9, 2018 Octubre 10, 2023

Windows 10 NT 10.0.18363 Julio 29, 2015 18 desde la última versión

Windows Server 2016 NT 10.0.14393 Octubre 12, 2016 Enero 11, 2022 Enero 12, 2027

Windows Server 2019 NT 10.0.17763 Octubre 2, 2018 Enero 9, 2024 Enero 9, 2029

5.1.2. Windows sin soporte

Nombre de producto Última versión Fecha de disponibilidad

Windows 1.0 1.01 Noviembre 20, 1985

Windows 2.0 2.03 Diciembre 9, 1987

Windows 2.1 2.11 Mayo 27, 1988

Windows 3.0 3.0 Mayo 22, 1990

Windows 3.1 3.1 Abril 6, 1992

Windows For Workgroups 3.1 3.1 Octubre 1992

Windows NT 3.1 NT 3.1.528 Julio 27, 1993

Windows For Workgroups 3.11 3.11 Agosto 11, 1993

Windows 3.2 3.2 Noviembre 22, 1993

Windows NT 3.5 NT 3.5.807 Septiembre 21, 1994

Windows NT 3.51 NT 3.51.1057 Mayo 30, 1995

Windows 95 4.0.950 Agosto 24, 1995

Windows NT 4.0 NT 4.0.1381 Julio 31, 1996

Windows 98 4.10.1998 June 25, 1998

Windows 98 SE 4.10.2222 Mayo 5, 1999

Windows 2000 NT 5.0.2195 Febrero 17, 2000

Windows Me 4.90.3000 Septiembre 14, 2000

Windows XP NT 5.1.2600 Octubre 25, 2001

Windows XP 64-bit Edition NT 5.2.3790 Marzo 28, 2003

Windows Server 2003 NT 5.2.3790 Abril 24, 2003

Windows XP Professional x64 Edition NT 5.2.3790 Abril 25, 2005

Windows Fundamentals for Legacy PCs NT 5.1.2600 Julio 8, 2006

Windows Vista NT 6.0.6003 Enero 30, 2007

Windows Home Server NT 5.2.4500 Noviembre 4, 2007

Windows Server 2008 NT 6.0.6003 Febrero 27, 2008

Windows 7 NT 6.1.7601 Octubre 22, 2009

de 26


Windows Server 2008 R2 NT 6.1.7601 Octubre 22, 2009

Windows Home Server 2011 NT 6.1.8400 Abril 6, 2011

Windows 8 NT 6.2.9200 Octubre 26, 2012

5.1.3. Linux con soporte

Versión Fecha de lanzamiento Última versión Soporte hasta

4.4 10 Enero 2016 4.4.232 Enero 2016 a Febrero 2022. Canonical soporte extendido

Abril 2021. Soporte hasta 2026, posible 2036.

4.9 11 Diciembre 2016 4.9.232 Diciembre 2016 a Enero 2023.

4.14 12 Noviembre 2017 4.14.193 Noviembre 2017 a Enero 2024

4.19 22 Octubre 2018 4.19.139 Octubre 2018 a Diciembre 2024.

5.4 24 Noviembre 2019 5.4.58 Noviembre 2019 a Diciembre 2025

5.7 31 Mayo 2020 5.7.15

5.8 2 Agosto 2020 5.8.1

5.1.4. Linux sin soporte

Versión Fecha de lanzamiento Última versión

0.01 17 Septiembre 1991 0.03

0.02 05 Octubre 1991

0.10 Noviembre 1991 0.12

0.95 08 Marzo 1992 0.99.15

1.0 14 Marzo 1994 1.0.9

1.1 06 Abril 1994 1.1.95

1.2 07 Marzo 1995 1.2.13

1.3 12 Julio 1995 1.3.100

pre2.0 12 Mayo 1996 pre2.0.14

2.0 9 Julio 1996 2.0.40

2.2 26 Enero 1999 2.2.26

2.4 4 Enero 2001 2.4.37.11

2.6 17 Diciembre 2003 2.6.10

2.6.11 2 Marzo 2005 2.6.11.12

2.6.12 18 Julio 2005 2.6.12.6

2.6.13 28 Agosto 2005 2.6.13.5

2.6.14 27 Octubre 2005 2.6.14.7

2.6.15 2 Enero 2006 2.6.15.7

2.6.16 20 Marzo 2006 2.6.16.62

2.6.17 17 Julio 2006 2.6.17.14

2.6.18 20 Septiembre 2006 2.6.18.8

2.6.19 26 Noviembre 2006 2.6.19.7

2.6.20 4 Febrero 2007 2.6.20.21

2.6.21 25 Abril 2007 2.6.21.7

2.6.22 8 Julio 2007 2.6.22.19

2.6.23 9 Octubre 2007 2.6.23.17

2.6.24 24 Enero 2008 2.6.24.7

2.6.25 16 Abril 2008 2.6.25.20

2.6.26 13 Julio 2008 2.6.26.8

2.6.27 9 Octubre 2008 2.6.27.62

2.6.28 24 Diciembre 2008 2.6.28.10

2.6.29 23 Marzo 2009 2.6.29.6

2.6.30 9 Julio 2009 2.6.30.9

2.6.31 9 Septiembre 2009 2.6.31.14

2.6.32 2 Diciembre 2009 2.6.32.71

de 26


2.6.33 24 Febrero 2010 2.6.33.20

2.6.34 16 Mayo 2010 2.6.34.15

2.6.35 1 Agosto 2010 2.6.35.14

2.6.36 20 Octubre 2010 2.6.36.4

2.6.37 4 Enero 2011 2.6.37.6

2.6.38 14 Marzo 2011 2.6.38.8

2.6.39 18 Mayo 2011 2.6.39.4

3.0 21 Julio 2011 3.0.101

3.1 24 Octubre 2011 3.1.10

3.2 4 Enero 2012 3.2.102

3.3 18 Marzo 2012 3.3.8

3.4 20 Mayo 2012 3.4.113

3.5 21 Julio 2012 3.5.7

3.6 30 Septiembre 2012 3.6.11

3.7 10 Diciembre 2012 3.7.10

3.8 18 Febrero 2013 3.8.13

3.9 28 Abril 2013 3.9.11

3.10 30 Julio 2013 3.10.108

3.11 2 Septiembre 2013 3.11.10

3.12 3 Noviembre 2013 3.12.74

3.13 19 Enero 2014 3.13.11

3.14 30 Marzo 2014 3.14.79

3.15 8 Julio 2014 3.15.10

3.16 3 Agosto 2014 3.16.85

3.17 5 Octubre 2014 3.17.8

3.18 7 Diciembre 2014 3.18.140

3.19 8 Febrero 2015 3.19.8

4.0 12 Abril 2015 4.0.9

4.1 22 Julio 2015 4.1.52

4.2 30 Agosto 2015 4.2.8

4.3 1 Noviembre 2015 4.3.6

4.5 13 Marzo 2016 4.5.7

4.6 15 Mayo 2016 4.6.7

4.7 24 Julio 2016 4.7.10

4.8 25 Septiembre 2016 4.8.17

4.10 19 Febrero 2017 4.10.17

4.11 30 Abril 2017 4.11.12

4.12 2 Julio 2017 4.12.14

4.13 3 Septiembre 2017 4.13.16

4.15 28 Enero 2018 4.15.18

4.16 1 Abril 2018 4.16.18

4.17 3 Julio 2018 4.17.19

4.18 12 Agosto 2018 4.18.20

4.20 23 Diciembre 2018 4.20.17

5.0 3 Marzo 2019 5.0.21

5.1 5 Mayo 2019 5.1.21

5.2 7 Julio 2019 5.2.20

5.3 15 Septiembre 2019 5.3.18

5.5 26 Enero 2020 5.5.19

5.6 29 Marzo 2020 5.6.19

de 26


5.1.5. MAC con soporte

Versión Nombre Fecha de

lanzamiento Soporte hasta Última versión

macOS 10.13 High Sierra Septiembre 25, 2017 Noviembre 30, 2020 10.13.6 (17G14019) (Julio 15, 2020)

macOS 10.14 Mojave Septiembre 24, 2018 Septiembre 2021 10.14.6 (18G6020) (Julio 15, 2020)

macOS 10.15 Catalina Octubre 7, 2019 TBA 10.15.6 (19G73) (Julio 15, 2020)

5.1.6. MAC sin soporte

Versión Nombre Fecha de lanzamiento

Rhapsody Developer Release Grail1Z4 / Titan1U Agosto 31, 1997

Mac OS X Server 1.0 Hera Marzo 16, 1999

Mac OS X Developer Preview Marzo 16, 1999

Mac OS X Public Beta Kodiak Septiembre 13, 2000

Mac OS X 10.0 Cheetah Marzo 24, 2001

Mac OS X 10.1 Puma Septiembre 25, 2001

Mac OS X 10.2 Jaguar Agosto 24, 2002

Mac OS X 10.3 Panther Octubre 24, 2003

Mac OS X 10.4 Tiger Abril 29, 2005

Mac OS X 10.5 Leopard Octubre 26, 2007

Mac OS X 10.6 Snow Leopard Agosto 28, 2009

Mac OS X 10.7 Lion Julio 20, 2011

OS X 10.8 Mountain Lion Julio 25, 2012

OS X 10.9 Mavericks Octubre 22, 2013

OS X 10.10 Yosemite Octubre 16, 2014

OS X 10.11 El Capitan Septiembre 30, 2015

macOS 10.12 Sierra Septiembre 20, 2016

Mac OS X 10.6 Snow Leopard Agosto 28, 2009

Mac OS X 10.7 Lion Julio 20, 2011

OS X 10.8 Mountain Lion Julio 25, 2012

OS X 10.9 Mavericks Octubre 22, 2013

OS X 10.10 Yosemite Octubre 16, 2014

OS X 10.11 El Capitan Septiembre 30, 2015

macOS 10.12 Sierra Septiembre 20, 2016

de 26


5.2. Servidores Web Legacy Se realizó una consulta general sobre los servidores web legacy y actuales para Apache, Nginx e IIS, la que entregó los siguientes resultados. 5.2.1. Apache con soporte

Nombre de producto Última versión Fecha de lanzamiento

Apache 2.4 2.4.46 Agosto 7, 2020

5.2.2. Apache sin soporte

Nombre de producto Última versión Fecha

Apache 2.4 2.4.43 Abril 1, 2020

Apache 2.3 2.3.16 Diciembre 19, 2011

Apache 2.2 2.2.34 Julio 24, 2017

Apache 2.1 2.1.9 Noviembre 5, 2005

Apache 2.0 2.0.65 Julio 2, 2013

Apache 1.3 1.3.42 Marzo 5, 2010

5.2.3. Nginx con soporte

Versión Última versión Fecha de lanzamiento

1.19 1.19.2 Agosto 11, 2020

1.19 (Windows) Windows-1.19.2 Agosto 11, 2020

1.18 1.18.0 1.14.2

1.18 (Windows) Windows-1.18.0 Abril 21, 2020

5.2.4. Nginx sin soporte

Versión Última versión Fecha de lanzamiento

1.16 1.16.1 Agosto 13, 2019

1.16 (Windows) Windows-1.16.1 Agosto 13, 2019

1.14 1.14.2 Diciembre 4, 2018

1.14 (Windows) Windows-1.14.2 Diciembre 4, 2018

1.12 1.12.2 Octubre 17, 2017

1.12 (Windows) Windows-1.12.2 Octubre 17, 2017

1.10 1.10.3 Enero 31, 2017

1.10 (Windows) Windows-1.10.3 Enero 31, 2017

1.8 1.8.1 Enero 26, 2016

1.8 (Windows) Windows-1.8.1 Enero 26, 2016

1.6 1.6.3 Abril 7, 2015


1.4 1.4.7 Marzo 18, 2014

1.4 (Windows) Windows-1.4.7 Marzo 18, 2014

1.2 1.2.9 Mayo 13, 2013

1.2 (Windows) Windows-1.2.9 Mayo 13, 2013

1.0 1.0.15 Abril 12, 2012


0.8 0.5.55 Julio 19, 2011

0.8 (Windows) Windows-0.8.55 Julio 19, 2011

0.7 0.7.69 Julio 19, 2011

0.7 (Windows) Windows-0.7.69 Julio 19, 2011

0.6 0.6.39 Septiembre 14, 2009

0.5 0.5.38 Septiembre 14, 2009

de 26


5.2.5. IIS con soporte Versión Fecha lanzamiento Sistema operativo

IIS/10.0 12/10/2016 W10, WS2016 y WS2019

IIS/8.5 13/11/2013 W8.1 y WS2012 R2

IIS/8.0 30/10/2012 W8 y WS2012

IIS/7.5 22/10/2009 W7 y WS2008 R2

5.2.6. IIS sin soporte

Versión Fecha lanzamiento Sistema operativo Fin soporte

IIS/7.0 25/01/2007 W Vista y WS2008 14/01/2020

IIS/6.0 28/05/2003 W XP x64 y WS2003 14/04/2009

IIS/5.1 31/12/2001 Windows XP 08/04/2014

IIS/5.0 17/05/2000 Windows 2000 13/07/2010

IIS/4.0 15/11/1997 Windows NT 4.0 RTM

IIS/3.0 20/03/1997 Windows NT 4.0 SP3 31/03/2000

IIS/2.0 27/10/1996 Windows NT 4.0 30/06/1997

IIS/1.0 27/07/1993 Windows NT 3.51 SP3

5.3. Gestores de contenidos actuales y legacy A continuación, se encuentran Gestores de contenidos (CMS) legacy y no legacy para Wordpress, Joomla! y Drupal. 5.3.1. Wordpress con soporte


5.5 Agosto 11, 2020 5.5

5.3.2. Wordpress sin soporte


5.4 Junio 10, 2020 5.4.2

5.3 Junio 10, 2020 5.3.4

5.2 Junio 10, 2020 5.2.7

5.1 Junio 10, 2020 5.1.6

5.0 Junio 10, 2020 5.0.10

4.9 Junio 10, 2020 4.9.15

4.8 Junio 10, 2020 4.8.14

4.7 Junio 10, 2020 4.7.18

4.6 Junio 10, 2020 4.6.18

4.5 Junio 10, 2020 4.5.22

4.4 Junio 10, 2020 4.4.23

4.3 Junio 10, 2020 4.3.24

4.2 Junio 10, 2020 4.2.28

4.1 Junio 10, 2020 4.1.31

4.0 Junio 10, 2020 4.0.31

3.9 Junio 10, 2020 3.9.32

3.8 Junio 10, 2020 3.8.34

3.7 Junio 10, 2020 3.7.34

de 26


3.6 Septiembre 11, 2013 3.6.1

3.5 Junio 21, 2013 3.5.2

3.4 Septiembre 6, 2012 3.4.2

3.3 Junio 27, 2012 3.3.3

3.2 Julio 12, 2011 3.2.1

3.1 Junio 29, 2011 3.1.4

3.0 Abril 26, 2011 3.0.6

2.9 Febrero 15, 2010 2.9.2

2.8 Noviembre 12, 2009 2.8.6

2.7 Febrero 10, 2009 2.7.1

2.6 Noviembre 25, 2008 2.6.5

2.5 Abril 25, 2008 2.5.1

2.3 Febrero 5, 2008 2.3.3

2.2 Septiembre 24, 2007 2.2.3

2.1 Septiembre 24, 2007 2.1.3

2.0 Septiembre 24, 2007 2.0.11

1.5 Septiembre 24, 2007 1.5.2

1.2 Septiembre 24, 2007 1.2.2

1.0 Septiembre 24, 2007 1.0.2-blakey

0.71 Septiembre 24, 2007 0.71-gold

5.3.3. Joomla! Con soporte


3.9 Agosto 25, 2020 3.9.21 Lanzamiento 4.0

5.3.4. Joomla! Sin soporte


3.8 Septiembre 19, 2017 3.8.13 Lanzamiento 3.9

3.7 Abril 25, 2017 3.7.5 Lanzamiento 3.8

3.6 Julio 12, 2016 3.6.5 Lanzamiento 3.7

3.5 Marzo 21, 2016 3.5.1 Lanzamiento 3.6

3.4 Febrero 24, 2015 3.4.8 Lanzamiento 3.5

3.3 Abril 20, 2014 3.3.6 Lanzamiento 3.4

3.2 Noviembre 6, 2013 3.2.7 Octubre 2014

3.1 Abril 24, 2013 3.1.6 Diciembre 2013

3.0 Septiembre 27, 2012 3.0.4 Mayo 2013

2.5 Enero 24, 2012 2.5.28 Diciembre 31, 2014

1.7 Julio 19, 2011 1.7.5 Febrero 2012

1.6 Abril 22, 2009 1.6.6 Agosto 2011

1.5 Enero 22, 2008 1.5.26 Septiembre 2012

1.0 Septiembre 22, 2005 1.0.15 Julio 22, 2009

de 26


5.3.5. Drupal con soporte Versión Fecha de lanzamiento Soporte hasta 9.0.3 Agosto 5, 2020 Junio 2021

8.9.3 Agosto 5, 2020 Noviembre 2021

8.8.8 Junio 17, 2020 Diciembre 2020

7.7.2 Junio 17, 2020 Noviembre 2022

5.3.6. Drupal sin soporte


8.6.0 Septiembre 5, 2018 8.6.18 Diciembre 2019

8.5.0 Marzo 7, 2018 8.5.15 Octubre 2018

8.4.0 Octubre 4, 2017 8.4.8 Mayo 2018

8.3.0 Abril 5, 2017 8.3.9 Noviembre 2017

8.2.0 Octubre 5, 2016 8.2.8 Mayo 2017

8.1.0 Abril 20, 2016 8.1.10 Noviembre 2016

8.0.0 Noviembre 19, 2015 8.0.6 Junio 2016

6 Noviembre 2006 6.38 Febrero 24, 2016

5 Enero 2007 5.23 Enero 2011

4 Junio 2002 4.7.11

de 26


6. Resultados 6.1. Sistemas Operativos Legacy en Chile Utilizando Shodan con el tag “OS”, se realizó una búsqueda de los Sistemas Operativos en Chile que ya no cuenten con soporte. Lo resultados fueron los siguientes: 6.1.1. Sistemas Windows en Chile sin soporte

Sistema Operativo Cantidad Top servicios Cantidad (servicios)

Windows XP / 5.1 33 HTTP 25

Windows 7 468 SMB 438

Windows 7 u 8 30 Puerto 139 20

Windows 8 14 SMB 11

Windows Server 2003 11 SMB 9

Windows Server 2008 / R2 375 SMB 353

6.1.2. Sistemas Linux en Chile sin soporte Sistema Operativo Cantidad Top servicios Cantidad (servicios)

Linux 3.X 167 HTTP 37

Linux 2.6.X 35 HTTP 10

Linux 2.4-2.6 4 HTTP 3

4%

50%

3%2%1%

40%

Windows Legacy en Chile

Windows XP / 5.1 Windows 7 Windows 7 u 8

Windows 8 Windows Server 2003 Windows Server 2008 / R2

81%

17%

2%

Linux Legacy en Chile

Linux 3.X Linux 2.6.X Linux 2.4-2.6

de 26


6.2. Sistemas web legacy en Chile Utilizando Shodan con tags específicos se realizó una búsqueda de los sistemas web que ya no cuenten con soporte. Lo resultados fueron los siguientes: 6.2.1. Sistemas Apache en Chile sin soporte

Versiones Cantidad Top servicios Cantidad (servicios)

2.4.0 – 2.4.43 13283 HTTP 976

2.3.0 – 2.3.16 628 HTTP 60

2.2.0 – 2.2.34 6431 HTTP 734

2.1.0 – 2.1.9 9 Puerto 8081 7

2.0.0 – 2.0.65 508 HTTP 284

1.3.0 – 1.3.42 906 HTTP 101

6.2.2. Sistemas Nginx en Chile sin soporte


1.16.0 – 1.16.1 511 HTTPS 60

1.14.0 – 1.14.2 1016 HTTP 140

1.12.0 – 1.12.2 332 HTTP 62

1.10.0 – 1.10.3 1360 HTTPS 105

1.8.0 – 1.8.1 174 Puerto 8080 77

1.6.0 – 1.6.3 253 HTTP 54

1.4.0 – 1.4.7 121 HTTP 65

1.2.0 – 1.2.9 34 HTTP 13

1.0.0 – 1.0.15 145 HTTP 89

0.8.0 – 0.8.55 5 Puerto 8081 4

0.7.0 – 0.7.69 7 HTTP 6

0.6.0 – 0.6.39 22 HTTPS 13

0.5.0 – 0.5.38 0 - -

61%

3%

30%

0%

2% 4%

Apache Legacy en Chile

2.4.* 2.3.* 2.2.* 2.1.* 2.0.* 1.3.*

de 26


6.2.3. Sistemas IIS en Chile sin soporte


IIS/7.0 458 HTTP 64

IIS/6.0 716 HTTP 58

IIS/5.1 23 HTTP 16

IIS/5.0 87 HTTP 58

IIS/4.0 167 HTTP 23

IIS/3.0 170 HTTP 49

IIS/2.0 13 HTTP 6

IIS/1.0 256 Puerto 8081 29

13%

26%

8%34%

4%

6%3%

1%4% 0% 0% 1%

Nginx Legacy en Chile

1.16.* 1.14.* 1.12.* 1.10.* 1.8.* 1.6.* 1.4.*

1.2.* 1.0.* 0.8.* 0.7.* 0.6.* 0.5.*

24%

38%

1%

5%

9%

9%

1% 13%

IIS Legacy en Chile

IIS/7.0 IIS/6.0 IIS/5.1 IIS/5.0 IIS/4.0 IIS/3.0 IIS/2.0 IIS/1.0

de 26


7. ¿Cuál es la real amenaza en materia de ciberseguridad? Las amenazas, en un entorno dinámico de interconectividad, pueden venir de cualquier parte, sea interna o externa, e íntimamente relacionada con el entorno de las organizaciones. Las vulnerabilidades son una debilidad en la tecnología o en los procesos asociados con la información, y como tal, se consideran características propias de los sistemas o de la infraestructura que lo soporta. Para mantener un cierto grado de protección de la información conectada a la red, las organizaciones, entidades y personas en general, deben comprender que su seguridad, y las formas en que esta se trata de vulnerar, mejoran constantemente. Los atacantes siempre buscan vulnerabilidades en los softwares y sistemas operativos que se emplean. Una vulnerabilidad podría ser algo tan fácil como encontrar un punto de acceso a su red de Windows. Las empresas de desarrollo de software ponen todo su empeño en crear parches y actualizaciones que resuelven estas vulnerabilidades, por lo que es una recomendación básica en ciberseguridad mantener actualizado los softwares y sistemas operativos a su última versión. Tomamos de muestra la versión legacy de Windows Server versión 2003 la cual carece de soporte por parte de los proveedores desde el 14 de julio de 2015, a la fecha existen reportadas un total de 426 vulnerabilidades para esa versión de Windows y de ellas 127 son críticas con un score 9-10.

Tabla vulnerabilidades Windows Server 2003

Año # de

Vulnerabilidades DoS

Code Execution

Overflow Memory

Corruption XSS

Directory Traversal

Bypass something

Gain Information

Gain Privileges

2002 1 1

2003 11 2 8 7 1 1

2004 35 12 21 14 1 3

2005 58 14 32 21 1 5

2006 45 13 28 23 7 1 1 1 3

2007 31 8 16 10 6 1 5

2008 20 6 12 6 2 1 3

2009 38 8 25 16 8 1 1 4

2010 72 13 32 14 10 2 5 4 21

2011 85 12 13 13 9 3 1 64

2012 7 2 1 1 4

2013 8 7 8

2015 15 1 1 1 2 3 12

Total 426 89 190 133 44 7 1 9 14 132

89

190

133

447 1 9 14

132

Vulnerabilidades por tipo

de 26


Listado de vulnerabilidades críticas en Windows Server 2003 (score 10 - 9)7

# CVE ID Tipo de vulnerabilidad Publicación Puntaje Elevación de

privilegios Acceso Complejidad Autenticación

1 CVE-2003-0528 Exec Code Overflow 17-09-2003 10.0 Admin Remote Low Not required



4 CVE-2004-0209 Exec Code 03-11-2004 10.0 Admin Remote Low Not required









13 CVE-2005-0050 DoS Exec Code 02-05-2005 10.0 None Remote Low Not required

14 CVE-2005-0551 Overflow +Priv 02-05-2005 10.0 Admin Remote Low Not required







21 CVE-2006-5583 Exec Code Overflow Mem.

Corr. 12-12-2006 10.0 Admin Remote Low Not required

22 CVE-2006-6901 31-12-2006 10.0 Admin Remote Low Not required

23 CVE-2006-6902 31-12-2006 10.0 Admin Remote Low Not required



26 CVE-2009-0568 10-06-2009 10.0 None Remote Low Not required


28 CVE-2010-0231 10-02-2010 10.0 None Remote Low Not required

29 CVE-2010-0269 Exec Code 14-04-2010 10.0 None Remote Low Not required

30 CVE-2010-0476 DoS Exec Code Mem. Corr. 14-04-2010 10.0 None Remote Low Not required


32 CVE-2011-0654 DoS Exec Code Overflow 15-02-2011 10.0 None Remote Low Not required




Corr. 16-06-2011 10.0 None Remote Low Not required

7 Vs. https://www.cvedetails.com/product/2594/?q=Windows+2003+Server

de 26


36 CVE-2003-0825 DoS Exec Code 03-03-2004 9.3 Admin Remote Medium Not required

37 CVE-2004-0200 Exec Code Overflow 28-09-2004 9.3 Admin Remote Medium Not required




41 CVE-2006-0020 DoS Exec Code Overflow Mem.

Corr. 10-01-2006 9.3 Admin Remote Medium Not required

42 CVE-2006-1311 Exec Code Mem. Corr. 13-02-2007 9.3 Admin Remote Medium Not required

43 CVE-2006-2379 Exec Code Overflow 13-06-2006 9.3 None Remote Medium Not required



45 CVE-2007-0038 DoS Exec Code Overflow Mem.


46 CVE-2007-0069 DoS Exec Code Mem. Corr. 08-01-2008 9.3 None Remote Medium Not required

47 CVE-2007-0214 Exec Code 13-02-2007 9.3 Admin Remote Medium Not required


49 CVE-2007-1765 DoS Exec Code Mem. Corr. 29-03-2007 9.3 None Remote Medium Not required

50 CVE-2007-2218 DoS Exec Code 12-06-2007 9.3 Admin Remote Medium Not required







57 CVE-2008-0020 Exec Code Mem. Corr. 07-07-2009 9.3 None Remote Medium Not required

58 CVE-2008-0083 Exec Code 08-04-2008 9.3 None Remote Medium Not required







65 CVE-2008-3465 DoS Exec Code Overflow 10-12-2008 9.3 None Remote Medium Not required



Corr. 15-04-2009 9.3 None Remote Medium Not required






73 CVE-2009-2493 Exec Code Bypass 29-07-2009 9.3 None Remote Medium Not required

de 26







79 CVE-2009-2507 Mem. Corr. 14-10-2009 9.3 None Remote Medium Not required




83 CVE-2009-4210 DoS Mem. Corr. 12-12-2009 9.3 None Remote Medium Not required





88 CVE-2009-4313 DoS Exec Code Overflow 12-12-2009 9.3 None Remote Medium Not required


90 CVE-2010-0027 22-01-2010 9.3 None Remote Medium Not required















105 CVE-2010-1885 Exec Code Bypass 15-06-2010 9.3 None Remote Medium Not required









de 26










122 CVE-2006-4696 Exec Code 10-10-2006 9.0 Admin Remote Low Single system

123 CVE-2008-1456 Exec Code 13-08-2008 9.0 Admin Remote Low Single system

124 CVE-2008-1457 Exec Code 13-08-2008 9.0 None Remote Low Single system

125 CVE-2009-0230 10-06-2009 9.0 None Remote Low Single system

126 CVE-2009-1544 DoS +Priv Mem. Corr. 12-08-2009 9.0 Admin Remote Low Single system

127 CVE-2010-0020 Exec Code Overflow 10-02-2010 9.0 Admin Remote Low Single system

de 26


8. Conclusiones Este artículo tenía como propósito, por una parte, construir una imagen de los sistemas heredados que están expuestos a la internet en organizaciones locales, y por otra, abrir un debate en las organizaciones sobre el incierto futuro que arrastran las instituciones que no pueden dar soporte a los sistemas que utilizan en sus operaciones informáticas y que podrían tener consecuencias que pueden poner en peligro la continuidad operacional de sus servicios. La necesidad de poner en la balanza la necesidad de mejorar, mudar o cambiar ciertas tecnologías por cuestiones de soporte y seguridad, frente a los costos que esos cambios representan, es una reflexión necesaria y que, en algunos casos, no puede ser postergada. Las autoras entienden que parte del problema tecnológico. La inviabilidad de dar soporte a ciertas versiones de las tecnologías o sistemas completos, es parte de la “naturaleza” de esta cuarta revolución industrial. No importa quién sea el actor que se vea enfrentado al problema, o su peso político o económico al interior de la sociedad, el avance tecnológico no hace distinciones ni excepciones, y la obsolescencia puede transformarse en la ruina del propio negocio. Sin embargo también consideran que la escasa consciencia y educación en la materia, no permiten ponderar los riesgos que traen aparejados los sistemas heredados. La actualización y protección de sistemas es inviable cuando no existe soporte tecnológico disponible. Las vulnerabilidades de los sistemas pueden ser explotadas con facilidad por los atacantes, y tener un sistema de esta naturaleza multiplica los factores de riesgo. La evaluación de riesgos y las mitigaciones a los sistemas son un debate necesario, en todo nivel. La evaluación de migrar a nuevas soluciones, incluidas las migraciones en la nube en forma segura, son alternativas que están disponibles, las que deben ser creadas en la medida que las organizaciones q las necesiten, las cuales deben ser asimiladas y reflexionadas en profundidad por quienes toman las decisiones.

2020-09-01T22:19:01-0400CSIRT Gobierno de Chile

Documents

Natalia Pérez Muñoz y Paula Moraga Monterolenguaje de COBOL sigue siendo confiable, y perciben un riesgo potencial en el cambio o la migración a nuevos sistemas. Estas entidades