Pregunta a cualquier equipo de TI si mantienen Windows actualizado y la respuesta será, con razón, que sí: Windows Update se encarga y todos lo damos por hecho. Ahora hazles la segunda pregunta, la que incomoda: ¿quién actualiza Chrome, Adobe Acrobat, Zoom, 7-Zip, Java, Firefox o esa app que cada usuario instaló por su cuenta? Ahí las miradas empiezan a esquivarse. Y en ese silencio vive la mitad olvidada de la superficie de ataque.
Por qué el sistema operativo no es el problema
El parcheo del sistema operativo está más o menos resuelto en casi todas partes: Windows Update es automático, ruidoso e insistente. El resultado es que la atención —y las herramientas— se concentran ahí. Pero los atacantes no se limitan al sistema operativo; van a donde está la puerta más floja. Y las aplicaciones de terceros ofrecen justo eso: son las que más usa la gente, las que manejan contenido de fuera (páginas web, archivos PDF, documentos), y las que menos se vigilan. Un navegador o un lector de PDF desactualizado es una de las rutas de entrada más rentables que existen.
El malentendido que cuesta caro: "Windows Update lo cubre"
No lo cubre. Windows Update mantiene los productos de Microsoft —y ni siquiera todos por defecto—, pero no toca el software de otros fabricantes. Cada aplicación de terceros trae, en el mejor de los casos, su propio mecanismo de actualización: uno que suele pedir permisos de administrador que el usuario no tiene, o que corre solo si la app está abierta, o que el usuario pospone una y otra vez con ese "recordármelo más tarde" eterno. El resultado es un parque con decenas de aplicaciones distintas, cada una en una versión distinta, y nadie con la foto completa de qué está expuesto.
Por qué es un dolor de cabeza operativo
La dificultad no es conceptual, es de escala y dispersión:
- Muchos fabricantes, muchos calendarios: cada vendor libera cuando quiere, con su propio empaquetado y su propio instalador.
- Software que TI ni sabe que existe: las apps que los usuarios instalaron por su cuenta no aparecen en ningún inventario, pero sí en la superficie de ataque.
- El updater propio no basta: depende de que la app se abra, de permisos y de que el usuario no lo posponga —tres cosas que fallan seguido—.
Hacer esto a mano, aplicación por aplicación y equipo por equipo, es inviable en cuanto pasas de un puñado de máquinas. Por eso simplemente no se hace, y las versiones viejas se acumulan.
Cómo se cierra la brecha
La solución tiene dos partes, y la primera es la que casi siempre falta: visibilidad. No puedes parchar lo que no sabes que tienes, así que el punto de partida es un inventario real de qué aplicaciones —y qué versiones— corren en cada equipo. La segunda es automatizar el parcheo de terceros con el mismo rigor que el del sistema operativo: una plataforma que reconozca las aplicaciones más comunes, detecte las versiones vulnerables y las actualice según políticas, sin depender del updater de cada fabricante ni de que el usuario coopere. Es exactamente el terreno de una herramienta de gestión de parches seria —y la razón por la que el parcheo, incluido el de terceros, es el producto y no un añadido en plataformas como Action1—.
En la práctica
El hallazgo típico al levantar el inventario por primera vez es incómodo: navegadores varias versiones atrás, lectores de PDF de hace años, herramientas de compresión y de videollamada que nadie recordaba haber instalado, todas con vulnerabilidades conocidas y parcheables. Ninguna de ellas aparecía en el radar mientras la conversación giraba solo en torno a Windows. Al sumarlas al parcheo automatizado, esa mitad invisible de la superficie de ataque deja de serlo —y el esfuerzo operativo es prácticamente el mismo que ya se hacía para el sistema operativo—. Es de las mejoras de seguridad con mejor relación esfuerzo/resultado que existen, precisamente porque parte de algo que estaba completamente descuidado.
La pregunta que conviene hacerse
La pregunta no es "¿está Windows actualizado?" —eso ya lo tienes—, sino ¿sé qué aplicaciones de terceros corren en mis equipos, en qué versión, y quién se asegura de que estén al día? Si la respuesta es "cada usuario, cuando le sale la ventanita", entonces esa mitad de tu superficie de ataque está sin vigilar. Ese es justo el ángulo que mide nuestro evaluador de gestión de parches y endpoints, y cerrarlo —inventario más parcheo automatizado de terceros— es parte de la defensa del endpoint que implementamos con Action1. La otra mitad —por qué el parcheo del sistema es hoy la brecha número uno— la contamos en el parche que no se aplicó.
El vocabulario detrás de todo esto —CVE, CVSS, día cero, cómo atacan— lo desglosamos sin jerga en la guía completa de vulnerabilidades.