Microsoft Office 2016 y 2019: Riesgos y Desafíos Tras el Fin del Soporte en 2025

Introducción

El ciclo de vida del software es un aspecto crítico en la gestión de la seguridad TI en las organizaciones. Microsoft ha recordado recientemente a sus clientes que las suites Office 2016 y Office 2019 alcanzarán el final de su soporte extendido el 14 de octubre de 2025. Este evento marca un punto de inflexión para los equipos de ciberseguridad y administración de sistemas, ya que el software sin soporte supone un vector de ataque habitual en campañas de explotación y ransomware.

Contexto del Incidente o Vulnerabilidad

La política de ciclo de vida de Microsoft establece dos fases principales de soporte: el soporte principal (Mainstream Support) y el soporte extendido (Extended Support). Office 2016 y Office 2019, lanzados en septiembre de 2015 y septiembre de 2018 respectivamente, han atravesado ya la primera fase y están próximos a finalizar la segunda. A partir del 14 de octubre de 2025, estos productos dejarán de recibir actualizaciones de seguridad, parches de vulnerabilidades y soporte técnico oficial.

En el contexto de ciberseguridad, el uso de software fuera de soporte está clasificado como una práctica de riesgo elevado según marcos como el CIS Controls (Control 2: Inventory and Control of Software Assets) y es un vector de ataque destacado en el MITRE ATT&CK (Tactic: Initial Access, Technique T1190 – Exploit Public-Facing Application).

Detalles Técnicos

Como es habitual tras el fin del soporte, cualquier vulnerabilidad crítica descubierta en Office 2016 y 2019 quedará sin parchear, dejando a los sistemas expuestos indefinidamente. Históricamente, la familia Office ha sido objetivo recurrente de amenazas avanzadas y malware, incluyendo campañas de spear-phishing y ataques de ejecución de código remoto (RCE) explotando archivos maliciosos (p.ej., CVE-2017-0199, CVE-2021-40444).

Durante su ciclo de vida, Office 2016 y 2019 han recibido parches para decenas de CVE de criticidad alta y crítica, muchos de ellos explotados activamente mediante frameworks como Metasploit, Cobalt Strike o herramientas de post-explotación personalizadas. Los vectores más habituales incluyen:

– Macros maliciosas en documentos Word/Excel (T1204.002 – Malicious File, MITRE ATT&CK)
– Explotación de vulnerabilidades en los motores de renderizado (p.ej., OLE, ActiveX)
– Abuso de add-ins y complementos VBA
– Ataques de DLL hijacking y ejecución de código arbitrario

Indicadores de compromiso (IoC) vinculados a estas amenazas suelen incluir hashes de documentos, rutas de ejecución de macros, conexiones a C2 en documentos manipulados, y la presencia de artefactos de frameworks de ataque.

Impacto y Riesgos

El uso continuado de Office 2016/2019 tras octubre de 2025 implica:

– Exposición a vulnerabilidades zero-day sin posibilidad de parcheo.
– Incompatibilidad progresiva con sistemas operativos modernos y nuevas políticas de seguridad (AppLocker, Windows Defender ATP, etc.).
– Imposibilidad de cumplimiento normativo bajo marcos como GDPR y NIS2, al utilizar software obsoleto y vulnerable.
– Riesgo de explotación en campañas de ransomware y APT, como se ha observado en incidentes recientes que aprovechan software legacy.

Según diversos informes de mercado, aproximadamente un 25% de las medianas y grandes empresas europeas aún mantiene Office 2016/2019 en parte de su parque corporativo, lo que representa un vector de exposición masivo. El coste medio de un incidente de ransomware en 2023 superó los 1,85 millones de euros por organización afectada (ENISA Threat Landscape 2023).

Medidas de Mitigación y Recomendaciones

Las recomendaciones para los equipos de seguridad y TI son claras:

1. Inventariar y auditar todos los endpoints con versiones de Office 2016/2019.
2. Planificar la migración hacia versiones soportadas (Office LTSC 2021, Microsoft 365 Apps) antes de octubre de 2025.
3. Aplicar controles de segmentación y restricciones de macros, así como políticas de AppLocker y ASR (Attack Surface Reduction).
4. Monitorizar indicadores de compromiso asociados a ataques sobre archivos Office.
5. Revisar el cumplimiento con GDPR y NIS2 respecto al uso de software sin soporte.

Los entornos que no puedan migrar por motivos de compatibilidad deben ser aislados, sin acceso a Internet ni a recursos críticos, y sometidos a análisis de riesgo y control reforzado.

Opinión de Expertos

Varios CISOs y responsables de seguridad han subrayado que el uso de software fuera de soporte es una de las principales causas de brechas de seguridad. Según Miguel Ángel de Castro, analista de amenazas en S21sec, “tras el fin del soporte, los exploits para Office 2016 y 2019 pueden aumentar en mercados underground y ser incorporados rápidamente a kits de explotación.”

Por su parte, Ana Belén Serrano, consultora de cumplimiento, recuerda que “la utilización de aplicaciones sin soporte puede ser motivo de sanción bajo el GDPR, al incumplir el principio de seguridad por diseño y por defecto”.

Implicaciones para Empresas y Usuarios

El fin del soporte no solo afecta a la seguridad técnica, sino también a la interoperabilidad, cumplimiento y continuidad de negocio. Organizaciones sujetas a auditorías, certificaciones ISO 27001 o regulaciones sectoriales (financiero, salud, industria) quedarán en situación de no conformidad si mantienen Office 2016/2019 operativo. Además, los usuarios finales pueden experimentar incompatibilidades con archivos y servicios en la nube, obstaculizando la colaboración y el soporte técnico.

Conclusiones

La retirada del soporte para Office 2016 y 2019 representa un riesgo tangible y evitable. Las organizaciones deben anticiparse y ejecutar planes de migración, reforzar la monitorización y revisar sus políticas de inventario y ciclo de vida del software. El incumplimiento no solo supone una amenaza técnica, sino también legal y reputacional. El tiempo para actuar es ahora, antes de que estas suites se conviertan en la próxima puerta de entrada para actores maliciosos.

(Fuente: www.bleepingcomputer.com)