La adquisición de VMware por Broadcom ha traído consigo una de las peores noticias para los usuarios con licencias perpetuas: si no se paga una suscripción activa, no se pueden descargar parches de seguridad.
Este cambio de política pone en peligro miles de infraestructuras críticas, ya que las últimas vulnerabilidades detectadas en VMware ESXi son explotables de forma remota. Lo que antes era una licencia de por vida con actualizaciones garantizadas, ahora se ha convertido en un modelo de suscripción forzada.
Parches de seguridad bloqueados: una política peligrosa
En marzo de 2025, Broadcom anunció varias vulnerabilidades críticas en VMware ESXi que ya están siendo explotadas activamente por ciberdelincuentes:
- CVE-2025-22224 (CVSS 9.3, crítica): permite a un atacante con privilegios dentro de una máquina virtual ejecutar código arbitrario en el hipervisor del host, lo que supone compromiso total del sistema.
- CVE-2025-22225 (CVSS 8.2, importante): facilita escrituras arbitrarias en el kernel, permitiendo escapar del hipervisor.
- CVE-2025-22226 (CVSS 7.1, importante): posibilita filtraciones de memoria desde el proceso VMX, lo que puede facilitar ataques posteriores.
A pesar de la gravedad de estas vulnerabilidades, Broadcom ha bloqueado el acceso a los parches para los usuarios con licencias perpetuas que no tengan un contrato de soporte activo.
Esto significa que, incluso si se ha pagado miles de euros por una licencia VMware con la expectativa de recibir actualizaciones, los clientes se quedan sin acceso a parches de seguridad a menos que paguen más.
Confirmación oficial: VMware obliga a pagar por parches de seguridad
Para comprobar esta nueva política, se realizó una consulta con soporte de Broadcom sobre cómo descargar un parche de seguridad para VMware ESXi 6.7 con una licencia perpetua. La respuesta fue clara y alarmante:
Pregunta: ¿Cómo se puede descargar el parche de seguridad para VMware ESXi 6.7 si se tiene una licencia perpetua?
Respuesta de Broadcom:
«Tras una investigación adicional, la licencia asociada al sitio ID XXXXXXX expiró el 23 de enero de 2025. Para descargar el parche, es necesario renovar el contrato de soporte. Además, la versión actual de la clave de licencia es 7, por lo que para acceder al parche de la versión 6.7, la clave debe ser degradada a dicha versión.»
En otras palabras, aunque se haya adquirido legalmente una licencia perpetua, si no se renueva el contrato de soporte, no es posible descargar parches de seguridad. Y si se necesita un parche para una versión anterior, se debe solicitar una degradación de licencia.
El impacto real de esta decisión: un peligro para la ciberseguridad
La política de Broadcom no solo es un abuso contra sus clientes, sino que pone en riesgo la seguridad global al impedir que los administradores de sistemas protejan sus infraestructuras.
Las principales consecuencias de este cambio incluyen:
- Los parches de seguridad se convierten en un servicio de pago. Si no se renueva el contrato de soporte, la infraestructura queda expuesta a ciberataques.
- Se empuja a los clientes a migrar a vSphere 8. Broadcom busca forzar la actualización a versiones más caras en lugar de permitir mantener sistemas seguros.
- Empresas e instituciones quedan en riesgo. Miles de organizaciones no podrán proteger sus entornos virtualizados si no pueden acceder a actualizaciones de seguridad.
- Se convierte una licencia perpetua en una suscripción forzada. Lo que antes era una compra única ahora se convierte en una tarifa recurrente disfrazada.
¿Qué significa esto para el sector tecnológico?
La decisión de Broadcom sienta un peligroso precedente en la industria del software.
- Los clientes deben pagar para protegerse, aunque ya hayan comprado el producto.
- Las infraestructuras empresariales quedan en riesgo si no pueden pagar soporte.
- Las empresas están obligadas a replantearse su dependencia de VMware.
Esto no solo perjudica a los clientes actuales de VMware, sino que pone en duda la viabilidad de seguir confiando en la plataforma a largo plazo.
¿Qué pueden hacer los usuarios afectados?
Si una organización se ha visto afectada por esta política, algunas opciones viables incluyen:
- Buscar alternativas a VMware. Soluciones como Proxmox VE, KVM o Microsoft Hyper-V pueden ser opciones viables.
- Presionar a Broadcom y VMware públicamente. Exponer esta política en redes sociales, foros y medios especializados para exigir una solución.
- Revisar opciones con distribuidores. Algunos partners de VMware podrían ofrecer parches sin un contrato directo con Broadcom.
- Implementar medidas de mitigación. Aunque no es la solución ideal, reforzar firewalls, segmentación de red y monitorización puede reducir el impacto de vulnerabilidades sin parche.
Conclusión: Broadcom apuesta por el dinero, no por la seguridad
El bloqueo de parches de seguridad esenciales a clientes con licencias perpetuas es una práctica abusiva e irresponsable. Broadcom está enviando un mensaje claro a sus clientes:
- Pagar por soporte es obligatorio si se quiere estar protegido.
- Si no se renueva el contrato, la infraestructura VMware quedará expuesta a ataques.
Las consecuencias de esta política van mucho más allá del coste económico. Empresas, gobiernos y organizaciones críticas ahora deben replantearse su dependencia de VMware antes de que sea demasiado tarde.
