Si su enrutador tenía una vulnerabilidad de seguridad grave y era un enrutador que se había estado actualizando durante la última década, probablemente esperaría que recibiera una actualización para corregir la vulnerabilidad de seguridad. Después de todo, Microsoft incluso lo ha hecho un par de veces con Windows XP cuando se descubrieron vulnerabilidades críticas como WannaCry. Sin embargo, ese no es el caso de D-Link y, si tiene un enrutador antiguo, no solo es vulnerable a un ataque de ejecución de código remoto, sino que también deberá comprar un enrutador completamente nuevo para estar seguro.

D-Link es muy consciente del problema y ofrece un 20 % de descuento a los usuarios que tengan un enrutador afectado y que vivan en los EE. UU. Si bien se podría decir que es una buena oferta para aquellos enrutadores que llegaron al final de su vida útil hace una década, para los enrutadores que llegaron al final de su vida útil en mayo de este año, es un poco difícil de aceptar. Los enrutadores afectados son los siguientes:

• DSR-150
• DSR-150N
• DSR-250
• DSR-250N
• DSR-500N
• DSR-1000N

D-Link dijo lo siguiente en suaviso de seguridad:

“Esta vulnerabilidad afecta a este enrutador D-Link heredado y a todas las revisiones de hardware que han llegado al final de su ciclo de vida útil (EOL) o al final de su vida útil (EOS). Los productos que han llegado a su EOL o EOS ya no reciben actualizaciones de software ni parches de seguridad y ya no reciben soporte técnico”.

¿Es esto realmente justo para los consumidores?

Tiene sentido...hasta cierto punto

Si dejamos de lado los routers que llegaron al final de su vida útil hace mucho tiempo, no es descabellado pensar que D-Link esperó a revelar esta vulnerabilidad de seguridad hasta que esos otros routers llegaron al final de su vida útil. No estoy afirmando que lo hayanhecho, pero si tienes un router afectado que acaba de llegar al final de su vida útil, estoy seguro de que podrías tener algunas preguntas.

En segundo lugar, quienes se dedican a la red sabrán que el fin de la vida útil no siempre significa el fin de las actualizaciones. Por ejemplo, Cisco publica unboletín de fin de vida útilpara sus productos, que define claramente en qué puntos los distintos aspectos del producto dejarán de recibir soporte. Normalmente, las actualizaciones de nuevas funciones terminan mucho antes que las actualizaciones de seguridad y, aunque esto es más para el hardware de nivel empresarial, es muy claro seguir y ver que el fin de la vida útil no siempre significa una falta de actualizaciones de seguridad, en particular para vulnerabilidades de seguridad críticas. Incluso en elmundo de los teléfonos inteligentes, la mayoría de los dispositivos tienen una ventana de actualización de funciones y una ventana de actualización de seguridad independientes.

Se podría argumentar que los productos que han llegado al final de su vida útil (que ya no reciben actualizaciones) deberíanreemplazarseen lugar de actualizarse, pero cuando surgen problemas como este, no siempre es práctico esperar que todos reemplacen su hardware. Además, si funciona bien, lo único que hace una fecha de caducidad con una vulnerabilidad crítica es contribuir al creciente problema de los desechos electrónicos. No eranecesariotirarlo, pero debido a un problema que D-Link podría solucionar pero no lo hará, la gente tendrá que comprar un nuevo enrutador para reemplazarlo.

No me malinterpreten, lo entiendo para los productos que tienen más de una década, pero unos meses después de la fecha de vencimiento han dejado a muchas personas preguntándose si realmente era la manera correcta de proceder. Como ya se mencionó, actualizar software después de una fecha de vencimiento no es algo exactamente inaudito. Microsoft lanzó parches para WannaCry en Windows XP, Windows Server 2003 y Windows 8, ya que se trataba de una vulnerabilidad crítica que estaba causando daños en el mundo real. Obviamente, se trata de un problemasignificativamentemayor que un RCE que afecta a una cantidad (relativamente) pequeña de enrutadores, pero el concepto es el mismo.

Relacionado

5 cosas que debe saber sobre las redes eléctricas y cuándo utilizarlas

Los adaptadores de línea eléctrica tienen su lugar, pero debes estar seguro de que los necesitas para obtenerlos.

Posts2

¿Qué puedes hacer?

Algunos de estos enrutadores admiten OpenWRT

La mejor opción si no desea reemplazar su hardware es instalar un firmware personalizado como OpenWRT en su enrutador. En cuanto a D-Link, la mejor manera de adelantarse a problemas como estos es abrirtodoel código fuente una vez que un dispositivo llega al final de su vida útil. La razón es simple: D-Link podría desentenderse del problema mucho más fácilmente, ya que la comunidad podría crear parches para solucionarlo.

Por supuesto, exigir a los usuarios que instalen un firmware personalizado no sería lo ideal, pero definitivamente suavizaría el golpe. Después de todo, la oferta de D-Link de "nuestros productos tenían un problema, así que compre nuestros nuevos productos" parece mucho peor cuando no hay una alternativa. Si fuera "puede instalar un firmware personalizadooactualizarlo", parecería mucho mejor, especialmente para las personas a las que les importa la red y son las que más se preocupan por ella.

El desastre de D-Link plantea interrogantes sobre qué constituye el "fin de vida útil" y si las empresas deberían verse obligadas a prevenir los desechos electrónicos y a publicar actualizaciones en situaciones como estas. El problema fue descubierto por un investigador taiwanés y muchos de estos enrutadores fueron distribuidos por proveedores de servicios de Internet en Asia.¿Esperaría que su proveedor de servicios de Internet reemplazara su enrutador? No es solo D-Link el que pone a las personas en riesgo, es una práctica cuestionable en general que debería plantear preguntas sobre cómo tratamos el hardware antiguo y qué puede o debe hacer con él.