Llega el final de Adobe Flash: cómo gestionar el cambio y mantenerse seguro

Como aplicación, Adobe Flash ha proporcionado fantásticas experiencias en Internet. Desde que fue lanzado por primera vez en 1996, hizo posibles juegos, animaciones y otros servicios a través de los navegadores. Sin embargo, pregunte a cualquier profesional de la seguridad sobre Adobe Flash y su respuesta será contundente. Según CVE Details, en los últimos 15 años se han descubierto más de 1.000 problemas de seguridad en Flash Player, y algunos de ellos han sido problemas críticos que han afectado a millones de personas.

Adobe ha ido actualizando regularmente Flash a lo largo de su vida, pero hace tres años anunció que eliminaría el soporte el 31 de diciembre de 2020. Con esa fecha cada vez más cerca, las empresas ya deberían estar totalmente preparadas.

Al menos, esa es la teoría. En la práctica, Flash hacía algo más que ejecutar juegos en sesiones de navegador de Internet; se utilizaba para potenciar las herramientas de gestión de los sistemas y aplicaciones empresariales, así como para garantizar que las aplicaciones pudieran ejecutarse en varios navegadores de forma coherente. Por lo tanto, la planificación del final de la vida útil de Flash es más compleja que la simple eliminación del plug-in de los navegadores.

Conoce tu estado

La popularidad de Flash durante tantos años supone que todavía está instalado en muchas máquinas. Desde su época dorada hace cinco años, cuando podía llegar a alrededor de mil millones de dispositivos y aplicaciones potenciadas a través de Android y Facebook, hoy en día no está habilitado por defecto y se anima a los desarrolladores a utilizar otras tecnologías como HTML5. Sin embargo, Flash sigue estando disponible para muchas organizaciones, ya sea en sus propias aplicaciones internas o como parte de otras herramientas de software.

Los sistemas de gestión de almacenamiento y de TI de empresas como HPE e Hitachi Vantara utilizan Flash dentro de sus herramientas de middleware y de gestión. Estos sistemas tendrán que ser actualizados para poder seguir funcionando, o arriesgarse a posibles problemas. Por lo tanto, es esencial obtener visibilidad de estos sistemas con Flash junto con cualquier puesto de trabajo.

Para prepararse, empiece por conocer su estado actual: ¿se sigue instalando Flash en cualquier puesto de trabajo que posea la empresa? Si es así, ¿es necesario y para qué? Esto requerirá la colaboración entre el equipo de gestión de activos de TI y otros departamentos para acceder a una lista de activos actuales o crear dicha lista de activos.

Sin esto, es muy difícil prepararse para cualquier escenario de fin de vida de software. La pandemia del Coronavirus además ha dificultado aún más el tema: el teletrabajo ha hecho que los empleados puedan estar usando sus propios ordenadores personales en lugar de los de la oficina, y éstos pueden tener el plug-in de Flash instalado. Cualquiera que sea la situación, conseguir una lista de activos completa – no sólo los de la red corporativa – es el primer paso esencial. Qualys, por ejemplo, puede ayudarte a realizar este descubrimiento e inventariado de activos y de software, de una manera sencilla podrás tener un listado actualizado y vivo de todos los activos que están utilizando cualquier aplicación que quieras monitorizar.

Prepárate para consecuencias inesperadas

Una vez que se complete esa lista de activos, ya tendremos una mejor visión de la situación actual. Tal vez sólo haya Flash en unos pocos puntos finales y se pueda eliminar despiadadamente antes de diciembre. Si es así, felicidades.

Sin embargo, puede que haya más instalaciones de Flash de lo que esperábamos, o puede que tengamos una aplicación actual que todavía necesite Flash. Esto significará que hay que planificar la gestión del cambio. Para los equipos de seguridad informática, esto implicará saber qué aplicaciones están involucradas, lo críticas que son y cualquier plan de mitigación que tenga que ser implementado. En estas circunstancias, no es sólo visibilidad lo que se necesita, sino observabilidad – esto significa ser capaz de tomar datos y utilizarlos para planificar acciones a lo largo del tiempo.

El etiquetado de determinados activos de software puede ayudar en este sentido. Una vez tengamos este inventariado, Qualys te permite realizar de una forma muy intuitiva un etiquetado de los activos a vigilar en esta transición y además poder medir la evolución de la misma. Realizar un seguimiento de elementos de software específicos como Flash y luego utilizar la lista de activos para ayudar a planificar las acciones, puede facilitar la observación de cómo va cualquier proceso en el cumplimiento de los objetivos. Estos datos también pueden utilizarse para que otros equipos vean el progreso a través de cuadros de mando u otros informes. 

Para los equipos de gestión de servicios de TI, se requerirá ver las implementaciones de software y el estado actual. Esto implicará examinar cualquier implementación de software y cómo se manejará el final de la vida útil. Por ejemplo, es posible que una aplicación de gestión reciba una actualización antes de que finalice el año para eliminar cualquier dependencia del Flash; en este caso, se implementará la actualización y se comprobará que no hay problemas. En este ejemplo, el impacto potencial es bajo y cualquier cambio debe realizarse tan pronto como sea razonable.

Alternativamente, puede que no haya ninguna actualización en camino. Esto lleva a un dilema: no moverse dejará instalado un componente de software potencialmente inseguro, mientras que moverse a una nueva solución puede implicar un gran gasto de capital. En estas circunstancias, es importante ver cómo se puede mitigar cualquier problema potencial. Por ejemplo, es posible que la aplicación de gestión sólo necesite conectarse a algunos sistemas internos, por lo que el acceso externo a Internet puede bloquearse por defecto. Esto debería detener cualquier ataque dirigido, y dar tiempo para planificar cualquier esfuerzo de migración a largo plazo.

En el caso de las aplicaciones a las que acceden los usuarios, esto puede ser más difícil. Sin embargo, si bien Flash proporciona un tiempo de ejecución útil, no es el único complemento que puede utilizarse en los navegadores, mientras que la funcionalidad puede ser soportada con estándares como HTML5. Por lo tanto, esto puede significar que los sistemas pueden necesitar ser actualizados o re-desarrollados. 

Y después…

Después de un cambio, seguirá habiendo problemas que surjan con el tiempo. El ejemplo más común probablemente implicará a los usuarios con aplicaciones más antiguas y poco utilizadas que todavía dependen de Flash. Éstas deberían ser descubiertas durante cualquier auditoría de ITAM o de aplicaciones que se realice, pero pueden pasar desapercibidas debido a que sólo se utilizan con poca frecuencia.

En estas circunstancias, los analistas del servicio de asistencia técnica deberían tener un proceso y un guion preparados para llevarlos a cabo con el usuario. Los detalles pueden utilizarse luego para planificar cualquier respuesta, desde la actualización o el reemplazo de la aplicación hasta el sandboxing de la aplicación para que pueda funcionar de manera más segura.

Para cualquier proyecto de software al final de su vida útil, el impacto potencial puede ser significativo. El uso de enfoques de gestión de activos como el etiquetado dinámico puede ayudar a mejorar el enfoque para software específico y ubicuo como Flash, pero los mismos principios pueden aplicarse a otras cuestiones como las vulnerabilidades del software u otros cambios necesarios y urgentes. En cualquier eventualidad, será necesario planificar con antelación a través de los equipos de ITAM, ITSM y seguridad. Esto comienza con la conciencia de la importancia del problema, pero los siguientes pasos dependerán de las circunstancias, los costes y las prioridades internas. A unos seis meses de la fecha oficial de fin de vida de Flash, la colaboración será esencial para que este proceso sea simple y efectivo.

La entrada Llega el final de Adobe Flash: cómo gestionar el cambio y mantenerse seguro aparece primero en Globb Security.