En un cambio que ha causado malestar entre los profesionales de seguridad, los avisos de seguridad de VMware ahora solo son accesibles para aquellos usuarios que se registren para obtener una cuenta de soporte de Broadcom.
Aunque registrarse es gratuito, este cambio, anunciado a principios de semana, podría añadir fricción para los expertos en ciberseguridad que buscan detalles sobre las vulnerabilidades que necesitan solucionar.
Actualización del 9 de mayo
Broadcom parece haber reconsiderado su decisión y ahora los avisos de seguridad de VMware son visibles para todos sin necesidad de iniciar sesión en el portal de soporte de Broadcom. Según Monty Ijzerman de VMware, «hemos aprendido que NO es necesario iniciar sesión en el Portal de Soporte de Broadcom para ver una lista de avisos de seguridad de VMware».
Los avisos de seguridad para productos como VMware Cloud Foundation, Tanzu, Application Networking and Security, y Software Defined Edge están disponibles sin necesidad de iniciar sesión.
Anuncio inicial
VMware anunció el cambio el martes a través de una publicación en su blog sin especificar las razones detrás de lo que muchos perciben como un retroceso en términos de apertura y transparencia. Consultados al respecto, Broadcom no respondió de inmediato. Los enlaces a antiguos avisos de seguridad de VMware seguirán funcionando y redirigirán al Portal de Soporte de Broadcom.
Los productos de computación para usuarios finales (EUC) son la excepción, ya que sus avisos de seguridad seguirán apareciendo en el feed antiguo y no se trasladarán al portal de Broadcom.
Además, hay planes para permitir que las cuentas de soporte de Broadcom reciban notificaciones automáticas sobre nuevos avisos de seguridad o modificaciones, pero esta función aún no está operativa.
Reacciones de la comunidad de seguridad
La comunidad de seguridad ha criticado ampliamente el movimiento. Las principales preocupaciones giran en torno a la transparencia reducida y las dificultades adicionales para gestionar la exposición a vulnerabilidades. Algunos expertos en seguridad incluso han instado a las agencias nacionales de seguridad en la UE y EE.UU. a intervenir, calificando la medida de «inaceptable».
Sean Wright, experto en seguridad de aplicaciones, comentó que este cambio podría complicar el seguimiento de vulnerabilidades para los equipos de seguridad, ya que muchos pueden no estar dispuestos a crear una cuenta adicional solo para este propósito.
Contexto y temores en torno a la adquisición
Desde mucho antes de la adquisición de VMware por Broadcom en 2023, ya había temores sobre el futuro de la compañía. Los clientes de Symantec, otra adquisición de Broadcom, habían observado una desaceleración en la evolución del producto y un aumento en los precios, lo que generó preocupaciones similares entre los clientes de VMware.
Broadcom eliminó las licencias perpetuas de VMware en favor de un modelo de suscripción, lo que provocó críticas de organizaciones como CISPE. Esta organización expresó preocupaciones sobre la agrupación de productos no deseados y las significativas subidas de precios, que en algunos casos aumentaron entre un 500% y un 600%.
Además, se plantearon cuestiones de seguridad específicas sobre el soporte de parches para los titulares de licencias perpetuas de VMware. CISPE criticó que solo se ofrecieran parches para vulnerabilidades críticas a menos que los clientes se suscribieran, calificándolo casi de «extorsión».
Broadcom afirma estar comprometido con proporcionar valor a sus clientes y socios, asegurando que ha tomado en cuenta sus comentarios en sus ofertas. Sin embargo, los cambios recientes en la accesibilidad de los avisos de seguridad de VMware bajo la administración de Broadcom han suscitado preocupaciones significativas en la comunidad de ciberseguridad y entre los clientes de VMware, destacando la necesidad de equilibrio entre la seguridad y la accesibilidad de la información crítica.
