ProcrasTInación: El riesgo oculto de la obsolescencia y la deuda tecnológica.
La deuda tecnológica surge de decisiones que priorizan la rapidez o el ahorro inmediato sobre la sostenibilidad, generando más riesgo, costo y menor agilidad.
Por: Marcos Polanco. Director Ejecutivo de Gobierno Corporativo y CISO. Scitum – TELMEX.
En octubre, el mes de la ciberseguridad, es común que hablemos de los grandes temas del momento: inteligencia artificial, ransomware o phishing. Todos son relevantes y forman parte de la conversación estratégica para proteger a las organizaciones en un entorno cada vez más digital y expuesto. Sin embargo, existe un riesgo silencioso, menos glamoroso, que se esconde detrás de la rutina operativa y erosiona poco a poco la capacidad de defensa de las organizaciones: obsolescencia y la deuda tecnológica. No suelen ocupar titulares ni figurar en los foros de innovación, pero se encuentran en la raíz de muchos incidentes que afectan la continuidad, la reputación y la resiliencia corporativa.
Cuando hablamos de obsolescencia y deuda tecnológica nos referimos a esos sistemas, aplicaciones o equipos que han llegado a su fin de soporte o fin de vida útil (EOL/EOS), pero siguen activos y productivos dentro de una organización. También incluye aquellos que salieron a producción con vulnerabilidades “temporales”, con promesas de corrección que nunca se concretaron, o infraestructura con parches disponibles que no se aplican por falta de tiempo, prioridad o coordinación. En muchas organizaciones, actualizar o retirar sistemas viejos no resulta tan “sexy” o “innovador” como lanzar un nuevo servicio en la nube o un chatbot basado en inteligencia artificial; los beneficios de corregir no son visibles de inmediato, mientras que los impactos sí lo son.
La deuda tecnológica es, en esencia, la consecuencia de decisiones tomadas para “salir del paso”, priorizar la entrega rápida o el ahorro inmediato sobre la sostenibilidad del entorno, lo cual tarde o temprano nos cobra “intereses”: más riesgo, más costo y menos agilidad. Gartner estima que hasta un 40% de los equipos de TI reconocen arrastrar deuda técnica relevante en sus activos tecnológicos de todo tipo.
En algunos casos, las prioridades de negocio y las de las áreas de tecnología y ciberseguridad se desalinean: por un lado, se busca mantener la operación sin interrupciones, mientras que, por el otro, se insiste en detenerla para actualizar, como resultado de esta tensión, la mitigación del riesgo se posterga.
La complejidad creciente de los ecosistemas tecnológicos agrava el problema. Cuanto más interconectado es un entorno —nube, aplicaciones, APIs, OT, IoT— más se percibe cualquier cambio como un riesgo. Surge el pensamiento clásico: “Si funciona, no le muevas, y menos si está conectado a todo lo demás.” Esa lógica, comprensible desde el punto de vista de la operación, termina inmovilizando a la organización.
A esto se suma la falta de visibilidad, muchas organizaciones simplemente no saben con precisión cuántos activos tienen, qué versiones ejecutan o cuáles han quedado fuera de soporte. Sin esa claridad, priorizar actualizaciones se vuelve casi imposible.
Pocas decisiones son tan difíciles para la organización: ¿Detener la operación por un tiempo para aplicar parches o cambiar un sistema, o correr el riesgo de detenerla días o incluso semanas por un incidente?
En la práctica, muchas empresas optan por lo segundo… aunque no lo hacen explícita o conscientemente. Prefieren mantener la continuidad aparente y retrasar las actualizaciones, hasta que el incidente ocurre y la operación se detiene de forma abrupta, caótica y mucho más costosa. La ironía es clara: lo que se hace para “evitar una interrupción” en algunas ocasiones desemboca en una interrupción más larga ocasionando mayores consecuencias.
El caso de WannaCry (2017) en el National Heatlh Service (NHS) británico nos dejó una lección: hospitales enteros detuvieron cirugías, cancelaron citas y perdieron acceso a historiales médicos porque seguían usando Windows XP sin soporte. El paro duró días; el impacto se estimó en más de $100 millones de dólares.
También casos como el de Equifax (2017), que fue comprometida por un parche pendiente en Apache Struts, o Accellion FTA (2021), que fue explotado por mantener un producto fuera de soporte, demuestran que la obsolescencia es un problema real, causa recurrente de crisis empresariales.
Los riesgos que se derivan de esta situación van más allá de lo técnico pues no solo se incrementa la exposición técnica; también compromete la gobernanza, el cumplimiento y la sostenibilidad del negocio por ejemplo con la ventana de exposición constante, la fácil propagación, costos operativos y de reputación, así como el riesgo sistémico.
Abordar este problema requiere no solo invertir más, sino también cambiar la manera de gobernar y medir la tecnología.
La obsolescencia y deuda tecnológica, combinada con una alta complejidad y la falta de visibilidad, no solo es un riesgo técnico, sino un riesgo de negocio que impacta directamente la continuidad, cumplimiento y reputación. Las organizaciones que temen detener su operación por mantenimiento pueden terminar deteniéndose igual, pero por causas asociadas con brechas y/o ciberataques. Además, la pérdida de confianza de los clientes y socios rara vez se recupera con un parche.
Y tú ¿estás gestionando la obsolescencia y la deuda tecnológica… o normalizando el riesgo de vivir con ellas?
Lee más:
- Retail media, el poder que unifica la publicidad de alto rendimiento y la rentabilidad del retail
- Del miedo a la innovación: Red Hat propone un camino abierto para entender y usar la IA
- TEAM renueva su compromiso con Red Hat para 2026 y reafirma su acompañamiento al canal
