Revisando el otro día la noticia sobre los 4 millones de webs vulnerables que anunció Wordfence caí sin darme cuenta en algo que no sé si es política comercial habitual, algo puntual, o qué.
No te lo cuento, te lo muestro…
La captura anterior es la secuencia temporal del caso de la vulnerabilidad que detectaron en el plugin Really Simple Security, en la que he resaltado las que afectan a la duda que me surgió, y te traduzco:
- 6 de noviembre de 2024 – El equipo de inteligencia ante amenazas de Wordfence descubrió la vulnerabilidad de bypass de identificación en el plugin Really Simple Security.
- 6 de noviembre de 2024 – Los usuarios de Wordfence Premium, Care y Response recibieron una regla de cortafuegos que ofrece protección contra cualquier exploit que pueda dirigirse a esta vulnerabilidad.
- 6 de diciembre de 2024 – Los usuarios de Wordfence gratis reciben (recibirán) la misma protección.
Resumiendo, resulta que descubren la vulnerabilidad el 6 de noviembre de 2024, y ese mismo día sus clientes del plugin de pago reciben una actualización del cortafuegos que les protege frente a ese tipo de vulnerabilidades, pero esperarán 1 mes entero hasta añadir la protección para sus clientes del plugin gratuito.
¿Es esto habitual? ¿te parece normal?
Entiendo que es por política comercial, o sea, manda el mensaje de que si quieres estar realmente protegido tienes que pasarte a la versión de pago pero como cliente de productos de seguridad, también de Wordfence a través de algunos clientes, me queda un cierto resquemor sobre si realmente me considera cliente una empresa que solo protege realmente a sus clientes de pago.
El otro día debatía algo este asunto en redes sociales y, por supuesto, cada empresa es muy libre de ofrecer las prestaciones que considere a sus distintos niveles de servicio, faltaría más, pero en cuestiones de seguridad creo que es mala política dejar vulnerables a tus clientes de algo que sabes que es un problema de seguridad.
Creo que hay otras maneras de incentivar la compra de licencias de pago de un plugin de seguridad, como prestaciones completas del tipo de bloqueo de países, bloqueo de IPs o rangos de IPs, reglas avanzadas personalizadas y cosas así, en vez de lo que considero protección básica frente a amenazas conocidas, y encima descubiertas por la propia empresa.
Es como una disyuntiva que tuve hace tiempo, al elaborar los planes de mantenimiento web que realizamos.
Veía que la mayoría de las empresas de mantenimiento de webs WordPress ofrecían actualizaciones diarias, semanales o mensuales según el plan contratado, y estuve tentado de configurar igual mis planes de servicio, pero caí en que me parecía ridículo conocer – por ejemplo – una actualización de seguridad de WordPress o un plugin, y no actualizar hasta dentro de una semana o un mes las webs que no tuviesen el plan más completo, por varios motivos, pero fundamentalmente porque considero que el servicio al cliente debe tener claro qué son prioridades y qué se puede considerar como servicio adicional.
No sé, igual me equivoco pero para mi la seguridad siempre debe ser un servicio básico, especialmente si te dedicas a la seguridad, al menos lo que se refiere a la protección ante amenazas.
Además, en el caso de los servicios de mantenimiento me parecía hasta ridículo dejar webs desprotegidas a sabiendas, lo que supone un problema y preocupación adicional para el equipo de mantenimiento.
Pero vamos, es como si una empresa de seguridad basa su nivel de servicio en la respuesta ante intrusiones o ataques:
Te enviamos a la policía inmediatamente si eres cliente Oro y después de 1 hora si eres cliente Plata, la empresa no es responsable de las muertes o robos ocurridos en ese periodo de 1 hora, considerado prestación de servicio comercial.
¿A que no tiene lógica?, ¿o sí?
En este asunto creo tener clara mi opinión, pero igual estoy equivocado del todo ¿tú qué opinas?
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
