La amenaza oculta de la seguridad que plantean los sistemas tecnológicos envejecidos

Mientras las conversaciones sobre la adopción de tecnología basada en la nube dominan los debates industriales, muchos asumen que la infraestructura informática tradicional en las instalaciones se ha vuelto obsoleta. Sin embargo, una investigación colaborativa reciente entre IBM y Forrester Consulting, titulada «The Key to Enterprise Hybrid Cloud Strategy», revela una realidad diferente. Los hallazgos demuestran que la infraestructura en las instalaciones sigue manteniendo una importancia sustancial en numerosas organizaciones en todo el mundo.

Según los resultados de la investigación, las empresas no están abandonando sus sistemas tecnológicos localizados. De hecho, el estudio descubrió que las empresas tienen la intención de expandir su gasto en infraestructura en las instalaciones. Entre los responsables de decisiones de TI encuestados, el 85 por ciento reconoció que el mantenimiento de la infraestructura en las instalaciones sigue siendo esencial para sus enfoques generales de nube híbrida. Esta perspectiva se refuerza aún más por el hecho de que el 75 por ciento de los responsables de decisiones de TI indican planes para aumentar sus inversiones en infraestructura durante el próximo período de dos años.

A pesar de estas intenciones declaradas, la realidad organizativa frecuentemente diverge de la planificación estratégica. Los proyectos de modernización de infraestructura en las instalaciones a menudo se convierten en víctimas de la batalla continua por recursos presupuestarios limitados. Cuando emergen prioridades en competencia o circunstancias inesperadas disrumpen las operaciones —como desafíos relacionados con la pandemia como COVID-19—, las actualizaciones de infraestructura se encuentran entre las primeras iniciativas que enfrentan aplazamiento o cancelación. La investigación de Forrester destacó una tendencia preocupante: el 70 por ciento de las organizaciones participantes reportaron haber retrasado los esfuerzos de modernización de infraestructura múltiples veces durante los últimos cinco años o más. Esto representa un aumento notable desde 2019, cuando ese porcentaje era del 61 por ciento.

Cuando los departamentos de TI evalúan proyectos en competencia y prioridades organizacionales, la actualización de la infraestructura envejecida en las instalaciones se convierte en una candidata conveniente para el aplazamiento. A diferencia de las iniciativas innovadoras nuevas que captan la atención ejecutiva y generan entusiasmo, la modernización de infraestructura carece de la narrativa convincente requerida para justificar gastos significativos ante el liderazgo senior. Cuando los equipos de TI deben equilibrar múltiples proyectos simultáneos o navegar presupuestos reducidos, el análisis de costo-beneficio para posponer las actualizaciones de infraestructura puede parecer favorable a corto plazo. Los responsables de decisiones frecuentemente racionalizan que los sistemas existentes continúan funcionando adecuadamente para las demandas operacionales actuales, haciendo que un caso fuerte para el retraso parezca razonable.

Sin embargo, este cálculo pragmático frecuentemente pasa por alto vulnerabilidades críticas. La infraestructura envejecida conlleva implicaciones sustanciales de seguridad que se extienden más allá de preocupaciones meramente funcionales. Cuanto más tiempo permanezcan sin actualizar los sistemas tecnológicos, más expuestos se vuelven a amenazas evolutivas y vectores de explotación. Estos riesgos no son teóricos: se manifiestan como incidentes de seguridad tangibles con consecuencias reales para las operaciones organizacionales y la protección de datos.

La investigación de Forrester confirmó estas preocupaciones empíricamente. Los hallazgos revelaron que entre los responsables de decisiones de TI, aproximadamente la mitad reportó haber descubierto problemas de seguridad y vulnerabilidades del sistema específicamente dentro de su infraestructura después de diferir los esfuerzos de modernización necesarios. Este patrón de descubrimiento sugiere que los compromisos de seguridad pueden ser más prevalentes de lo que las organizaciones inicialmente comprenden, potencialmente pasando desapercibidos hasta que evaluaciones formales o incidentes fuercen la conciencia.

Esta situación crea un desafío paradójico para el liderazgo de TI. Mientras que las soluciones basadas en la nube reciben inversión sustancial y atención estratégica, los sistemas fundamentales en las instalaciones en los que muchas organizaciones continúan dependiendo languidecen en estados de obsolescencia tecnológica. La infraestructura que respalda las operaciones críticas para la misión envejece incrementalmente, acumulando riesgos de seguridad que pueden permanecer dormidos hasta ser activados por ataques sofisticados o exposición accidental.

Las implicaciones se extienden más allá de las organizaciones individuales. Cuando la modernización de infraestructura se pospone consistentemente debido a presiones presupuestarias o prioridades en competencia, el efecto acumulativo entre empresas aumenta la superficie de ataque disponible para los actores maliciosos. Los sistemas heredados que carecen de parches de seguridad actuales y mecanismos protectores representan objetivos atractivos para los actores de amenazas que buscan vulnerabilidades organizacionales para explotar.

La investigación subraya un imperativo estratégico crítico: las organizaciones deben reconocer que la modernización de infraestructura constituye no meramente un requisito de mantenimiento técnico, sino una inversión fundamental en seguridad. Diferir estas actualizaciones para acomodar otras prioridades inadvertidamente intercambia alivio presupuestario a corto plazo por exposición de seguridad a largo plazo. Conforme las empresas continúan desarrollando estrategias de nube híbrida que integran recursos en las instalaciones y basados en la nube, garantizar que la infraestructura fundamental reciba inversión adecuada y modernización oportuna se vuelve cada vez más esencial para mantener la resiliencia organizacional y proteger activos de datos sensibles.

Servidores envejecidos, riesgos crecientes: por qué el retraso en la actualización de infraestructura se está convirtiendo en una responsabilidad de seguridad

Cuando la mitad de los líderes de TI corporativos admiten que descubrieron brechas de seguridad graves solo después de posponer las actualizaciones de hardware, el costo de retrasar las actualizaciones de infraestructura se vuelve evidente. Una nueva investigación encargada por IBM y realizada por Forrester Consulting muestra que descuidar los sistemas en las instalaciones ya no es simplemente una táctica presupuestaria: es una amenaza de seguridad creciente que se repercute en los entornos de nube híbrida.

Las empresas han invertido miles de millones en servicios en la nube, pero los servidores que funcionan en los centros de datos de la empresa siguen siendo indispensables. Según el estudio de Forrester, el 85 por ciento de los responsables de decisiones todavía considera la infraestructura en las instalaciones como crítica para sus hojas de ruta de nube híbrida, y el 75 por ciento planea aumentar el gasto en ella durante los próximos dos años. La encuesta también expone un patrón preocupante: el 70 por ciento reconoció haber posicionado las actualizaciones principales de hardware en una lista de prioridades más baja al menos una vez en los últimos cinco años. Ahora ese patrón les está alcanzando: aproximadamente la mitad reportó descubrir problemas de seguridad vinculados directamente al equipo envejecido una vez que finalmente comenzaron las actualizaciones, según el estudio The hidden danger of outdated infrastructure.

Esos hallazgos forman parte de una evaluación más amplia de la industria sobre cómo las organizaciones equilibran la innovación contra el mantenimiento. Incluso mientras la adopción de la nube se acelera, Gartner advierte que «hasta 2025, el 99 por ciento de los fallos de seguridad en la nube serán culpa del cliente», a menudo porque las empresas manejan mal las configuraciones u overlook los eslabones más débiles que conectan los sistemas heredados y en la nube cloud security evolution.

Las empresas construyeron sus estrategias híbridas bajo la premisa de que las cargas de trabajo pueden ejecutarse donde se desempeñan mejor: algunas en nubes públicas para elasticidad, algunas en centros de datos privados para control. Pero la capa en las instalaciones típicamente recibe mucha menos atención ejecutiva que los proyectos digitales de alto perfil. Los equipos de infraestructura, presionados para respaldar nuevas aplicaciones mientras mantienen engranajes heredados en línea, han utilizado aplazamientos como una válvula de alivio de presión. El resultado es una brecha cada vez mayor entre la postura de seguridad que los ejecutivos asumen que tienen y la realidad dentro de los racks del centro de datos.

Señales de alerta temprana

Las brechas de seguridad derivadas de firmware obsoleto, sistemas operativos no compatibles y equipos de red envejecidos rara vez atraen titulares hasta que algo se rompe. Para entonces, la remediación es exponencialmente más difícil. Los encuestados de Forrester dijeron que una vez que sus actualizaciones fueron finalmente aprobadas y estaban en marcha, descubrieron vulnerabilidades latentes que nunca habían evaluado: firewalls mal configurados, certificados de encriptación vencidos y consolas de administración desparche abiertas a Internet.

La situación se agrava por dinámicas de personal. Muchas organizaciones han centralizado la experiencia en seguridad en la nube pero dejaron la infraestructura heredada a equipos más pequeños o proveedores externos. Con plazos de proyectos en competencia, esos equipos a menudo trabajan de manera reactiva —aplicando parches solo cuando una alerta crítica se activa— en lugar de ejecutar un ciclo de actualización proactivo. Cada actualización omitida acorta la ventana restante en la que el equipo puede recibir actualizaciones de seguridad del fabricante, cada vez más forzando a los administradores a confiar en controles compensatorios que añaden complejidad y costo.

Por qué ocurren los retrasos

Las entrevistas realizadas para el informe IBM-Forrester apuntan a un culpable familiar: el triaje presupuestario. Las actualizaciones de infraestructura rara vez generan retornos llamativos de aplicaciones orientadas al cliente, y pueden ser difíciles de explicar a ejecutivos no técnicos. Cuando la pandemia de COVID-19 trastornó los presupuestos corporativos, muchas organizaciones diferieron el gasto de capital en favor de proyectos que respaldaran necesidades inmediatas de trabajo remoto. Incluso a medida que mejoraron las condiciones económicas, los ciclos de actualización continuaron deslizándose. Algunos líderes asumieron que el cambio a la nube hizo que el equipo en las instalaciones fuera menos crítico, una percepción que el estudio contradice.

La seguridad se convierte en el punto de inflexión

La investigación reposiciona el gasto en actualizaciones como una inversión de seguridad en lugar de meramente operacional. Con una superficie de ataque en expansión, los actores de amenazas cada vez más investigan debilidades en capas de infraestructura raramente monitoreadas. Debido a que los centros de datos alojan cargas de trabajo críticas para la misión —piense en sistemas de planificación de recursos empresariales o bases de datos de clientes—, los exploits allí pueden producir beneficios mayores que ataques en servicios de interfaz. Una vez dentro, los atacantes pueden pivotar lateralmente entre plataformas heredadas y en la nube, aprovechando las configuraciones erróneas predichas por la estadística de culpa del cliente del 99 por ciento de Gartner.

Las organizaciones visionarias están reformulando sus solicitudes de capital en consecuencia. En lugar de presentar proyectos de actualización como intercambios de hardware «como por como», los jefes de infraestructura están cuantificando el costo de posibles incidentes que el equipo envejecido amplifica: interrupciones del sistema, multas regulatorias, daño reputacional y el gasto de parches de emergencia. Esa narrativa centrada en la seguridad está ayudando a algunos asegurar aprobación ejecutiva donde los argumentos puramente operacionales fallaron.

El acto de equilibrio de lo híbrido

Las estrategias de nube híbrida fueron diseñadas para combinar agilidad con control, pero el entorno dual requiere coordinación disciplinada. Las cargas de trabajo más nuevas a menudo heredan herramientas de seguridad modernas por defecto —seguridad de contenedores, aplicación de políticas automatizada, gobernanza de identidad— mientras que los activos en las instalaciones deben integrarse manualmente. Si esos activos se ejecutan en software u hardware no compatible, las opciones de integración mismas pueden ser limitadas, dejando brechas.

Los hallazgos de Forrester subrayan esa realidad: las organizaciones que invierten fuertemente en la nube aún pueden exponerse a través de la mitad olvidada de su patrimonio. El enfoque de «lift-and-shift» solo mueve un problema si el sistema operativo subyacente o el middleware permanecen obsoletos. Mientras tanto, datos de alto valor que permanecen en las instalaciones por razones de cumplimiento —registros médicos, transacciones financieras— dependen de la seguridad de los sistemas mismos que probablemente estén funcionando más allá de su vigencia.

Un caso de punto: las interfaces de administración mal configuradas son un vector recurrente en brechas reportadas, y el equipo más antiguo a menudo carece de características de autenticación o encriptación modernas. Una vez que los atacantes localizan tal interfaz —a veces indexada por motores de búsqueda— pueden evitar defensas perimetrales por completo. Los ciclos de actualización regulares proporcionan la base de hardware requerida para protecciones avanzadas como seguridad con raíces de hardware y validación de arranque seguro.

Cerrar la brecha entre presupuesto y riesgo

El estudio recomienda varios pasos prácticos para alinear las decisiones de actualización con la gestión de riesgos:

• Inventariar y clasificar activos críticos en las instalaciones: Al mapear dependencias empresariales, los equipos de TI pueden destacar cómo el tiempo de inactividad o el compromiso afectaría los ingresos y el cumplimiento.

• Cuantificar el riesgo de mantenimiento diferido: Traducir vulnerabilidades en pérdidas monetarias potenciales reformula las actualizaciones como evitación de costos.

• Integrar hitos de actualización en hojas de ruta de nube híbrida: Tratar las actualizaciones de infraestructura física con la misma gobernanza dada a los despliegues de aplicaciones.

• Aprovechar la compra basada en consumo: Modelos híbridos como infraestructura en las instalaciones como servicio pueden suavizar picos de capital mientras garantizan hardware actualizado.

• Vincular KPI a la postura de seguridad: Métricas como tiempo medio para parche, número de sistemas no compatibles y puntuaciones de vulnerabilidad ayudan a mantener la atención ejecutiva.

Los errores en la nube aún son importantes

Incluso los centros de datos mejor mantenidos no pueden compensar la mala higiene en la

Fuentes

• https://www.ibm.com/think/insights/the-hidden-danger-of-outdated-infrastructure-security-risk
• https://www.ibm.com/think/insights/cloud-security-evolution-progress-and-challenges