La seguridad informática es un tema de creciente importancia en un mundo cada vez más digitalizado, donde las organizaciones dependen de una variedad de softwares y hardwares para operar de manera eficiente. Sin embargo, uno de los desafíos más persistentes en ciberseguridad es el manejo adecuado de los productos que han llegado al final de su ciclo de vida, conocidos como EoL (End of Life). Estos productos, que ya no reciben actualizaciones ni parches de seguridad, representan un riesgo considerable para las infraestructuras tecnológicas de las empresas. A este respecto, un grupo de gigantes tecnológicos ha presentado una propuesta para estandarizar la forma en que se divulga esta información crucial de seguridad relacionada con el fin del soporte de productos. En abril de 2025, una coalición formada por Cisco, Microsoft, Dell, IBM, Oracle y Red Hat, entre otros, presentó el borrador de un estándar denominado OpenEoX a través del organismo de normalización OASIS.
La iniciativa busca resolver un problema común: la actual dispersión y falta de uniformidad en las notificaciones de fin de vida de productos tecnológicos, que a menudo son confusas, ambiguas y difíciles de seguir para los equipos de seguridad. Esta dispersión genera una visibilidad limitada sobre qué sistemas continúan recibiendo soporte y cuáles enfrentan un riesgo aumentado debido a la ausencia de parches o actualizaciones. El modelo OpenEoX propone un formato de datos compartido, estandarizado y legible por máquinas, que puede integrarse en distintas herramientas del ecosistema tecnológico, tales como los SBOM (Software Bill of Materials) y los avisos de seguridad. La idea es facilitar que tanto los desarrolladores como los usuarios puedan seguir de manera automatizada el ciclo de vida de sus sistemas y tomar decisiones informadas en cuanto al manejo de riesgos. El borrador se acompaña de un documento técnico de 29 páginas que detalla el marco conceptual y los beneficios esperados de esta normativa.
Para transformar la gestión del ciclo de vida del producto, OpenEoX define cuatro hitos uniformes que deben comunicarse mediante este formato: la disponibilidad general (fecha de lanzamiento inicial del producto), el fin de ventas (último día para adquirir el producto), el fin del soporte de seguridad (fecha en que se emiten los últimos parches de seguridad) y el fin de vida total (fecha en que se concluye cualquier tipo de soporte del fabricante). Esta estandarización permitiría a proveedores, reguladores, auditores de la cadena de suministro y clientes monitorear más eficazmente el estatus de soporte de los productos, en lugar de depender de múltiples fuentes informativas dispersas y a menudo poco claras. La relevancia de esta propuesta es aún más palpable debido al creciente uso de sistemas anticuados dentro de la infraestructura tecnológica de muchas organizaciones, un factor que complica la gestión de vulnerabilidades y amplifica el riesgo de ataques cibernéticos. En industrias con sistemas complejos y cadenas de suministro tecnológicas vastas, mantener la trazabilidad de cuáles componentes tienen soporte activo es un verdadero desafío. La falta de visibilidad dificulta las tareas de los equipos de seguridad, que se ven forzados a operar con información incompleta, lo que incrementa la probabilidad de brechas de seguridad.
Otra innovación destacada de esta propuesta es su potencial aplicación más allá del software y hardware tradicionales. Los autores han previsto que el esquema de ciclo de vida pueda ser también aplicado a los modelos de inteligencia artificial (IA), un área en rápida expansión y reciente en términos de regulación y estándares de seguridad. Sabiendo cuándo un modelo de IA deja de recibir soporte o actualizaciones será fundamental para evaluar sus riesgos y mantener la fiabilidad de los sistemas que dependen de esta tecnología emergente. Omar Santos, ingeniero de software en Cisco y co-presidente del comité técnico de OpenEoX, enfatizó la importancia de esta iniciativa declarando que conocer con precisión las fechas de finalización del soporte no debe ser un juego de adivinanzas. Santos subrayó que la gestión efectiva del ciclo de vida del producto requiere colaboración entre todo el ecosistema, desde vendedores comerciales hasta mantenedores de proyectos open source.
La iniciativa se encuentra aún en una etapa inicial, pero tiene como objetivo que el formato propuesto se convierta en un estándar universal aceptado y adoptado por la industria. La membresía en el comité técnico OpenEoX está abierta a proveedores, investigadores, organismos gubernamentales y cualquier interesado a través del proceso de membresía de OASIS. Se está invitando además a la comunidad a brindar retroalimentación pública para mejorar el borrador antes de su formalización. Ejemplos recientes de vulnerabilidades críticas explotadas en productos EoL demuestran la urgencia de crear un estándar como OpenEoX. Casos como puertas traseras en routers Juniper, fallas explotadas en productos VMware o avisos sobre la cercanía al fin de vida de OpenSSL 1.
1.1 reflejan cómo las brechas en el soporte pueden terminar en riesgos de seguridad graves y difíciles de mitigar. Sumado a ello, la transparencia que brindará este estándar facilitará también la labor de reguladores y auditores de ciberseguridad, quienes podrán supervisar con mayor precisión el estado del soporte en las infraestructuras tecnológicas. Esto, a su vez, promoverá mejores prácticas dentro del ecosistema y alentará a los fabricantes a comunicar con mayor claridad sus políticas de soporte y ciclos de vida. La estandarización del reporte del fin del soporte tecnológico representa, asimismo, una respuesta necesaria ante la complejidad actual de las cadenas de suministro de software y hardware.
En ellas intervienen múltiples actores y componentes de distintas generaciones tecnológicas, lo que dificulta la gestión unificada del riesgo y la toma de decisiones respecto a sustituciones o actualizaciones. La propuesta OpenEoX tiene la fortaleza de aprovechar formatos legibles por máquinas, lo que permitirá la integración automática en sistemas de gestión de vulnerabilidades, soluciones de inventario tecnológico y plataformas de evaluación de riesgos. Esto permitirá a las organizaciones contar con información actualizada y detallada directamente en sus sistemas de monitoreo, logrando respuestas más rápidas y efectivas ante la detección de productos obsoletos sin soporte. En conclusión, la iniciativa de los líderes del sector tecnológico para crear un estándar común de divulgación de seguridad al final del ciclo de vida del producto responde a una necesidad crítica del mercado actual. La uniformidad en la comunicación de las fechas de disponibilidad, fin de ventas, fin de soporte de seguridad y fin de vida total será un avance decisivo para mitigar los riesgos derivados del uso continuado de sistemas obsoletos y así fortalecer la defensa cibernética de las organizaciones.
Su adopción ampliada promete transformar la gestión del riesgo asociada a productos tecnológicos, favoreciendo un ecosistema más seguro, transparente y colaborativo.
