Legacy software: el risc silenciós de la ciberseguretat moderna

De Eduard Bardaji el 2.6.2026

legacy-software

El legacy software, també conegut com a programari heretat, és un dels grans reptes invisibles en la gestió de les infraestructures tecnològiques actuals. Tot i que a simple vista pot semblar una solució estable —“si funciona, no ho toquis”—, la realitat és que aquest tipus de sistemes pot convertir-se en una porta oberta a vulnerabilitats crítiques de ciberseguretat, problemes de compatibilitat i riscos operatius significatius.

En aquest article explorem en profunditat què és el legacy software, per què continua present en tantes organitzacions, quins són els seus riscos reals i quines estratègies es poden adoptar per mitigar el seu impacte en la seguretat de la informació i la continuïtat del negoci.

Nueva llamada a la acción

Què és el legacy software i per què encara existeix

El terme legacy software fa referència a sistemes, aplicacions o plataformes que han quedat tecnològicament obsolets, però que continuen funcionant dins d’una organització. No necessàriament deixen de ser útils; de fet, molts continuen complint la seva funció principal amb normalitat.

Definició tècnica de programari heretat

Des d’una perspectiva tècnica, el programari heretat sol caracteritzar-se per una o diverses de les següents condicions:

  • No rep actualitzacions freqüents o ha arribat al final del seu suport oficial.
  • Està desenvolupat amb tecnologies antigues o llenguatges poc utilitzats actualment.
  • Depèn d’infraestructures o maquinari obsolet.
  • Presenta dificultats d’integració amb sistemes moderns.

Aquest tipus de programari no és necessàriament “dolent” per si mateix, però sí que representa un risc creixent quan no s’adapta a l’entorn tecnològic actual.

Per què les organitzacions encara l’utilitzen

Un dels principals motius pels quals el legacy software continua present en empreses de totes les mides és la seva estabilitat operativa. Molts sistemes heretats fa anys que funcionen sense fallades crítiques, cosa que genera una percepció de seguretat i fiabilitat.

Tanmateix, hi ha altres raons igualment importants:

En primer lloc, el cost de substitució pot ser extremadament alt. Migrar sistemes crítics implica no només inversió en noves solucions, sinó també en formació, proves i transició de dades.

En segon lloc, alguns sistemes estan profundament integrats en processos de negoci essencials. Substituir-los requereix redissenyar fluxos complets de treball.

Finalment, hi ha un factor humà: la por al canvi. En moltes organitzacions, “si funciona, no es toca” es converteix en una norma tàcita que retarda la modernització tecnològica.

Riscos de ciberseguretat associats al legacy software

Tot i que el programari heretat pot continuar funcionant correctament des del punt de vista operatiu, el seu impacte en la ciberseguretat és un dels principals motius de preocupació per als experts en seguretat de la informació, seguint recomanacions generals d’organismes com NIST o ENISA sobre la gestió del cicle de vida del programari.

Vulnerabilitats sense actualitzar

Un dels riscos més greus del legacy software és l’existència de vulnerabilitats sense pedaços de seguretat. Quan un sistema deixa de rebre suport del fabricant, també deixa de rebre actualitzacions de seguretat.

Això implica que qualsevol error descobert posteriorment queda obert de manera indefinida. Els ciberdelinqüents solen aprofitar precisament aquests sistemes, ja que són més fàcils de comprometre.

A més, en entorns corporatius on coexisteixen múltiples sistemes interconnectats, una sola aplicació vulnerable pot convertir-se en el punt d’entrada per a atacs més complexos com ransomware o robatori de dades.

Incompatibilitat amb mesures de seguretat modernes

El programari heretat sol estar dissenyat amb estàndards de seguretat antics. Això provoca problemes com la manca de compatibilitat amb autenticació multifactor, xifrat modern o sistemes avançats de monitoratge.

En molts casos, aquestes limitacions obliguen les organitzacions a mantenir configuracions insegures únicament per garantir l’operativitat del sistema.

Riscos de compliment normatiu

Un altre aspecte crític és el compliment regulador. Normatives actuals de protecció de dades i seguretat, com el GDPR a Europa, exigeixen mesures tècniques adequades per protegir la informació.

L’ús de legacy software pot dificultar el compliment d’aquests requisits, especialment si el sistema no permet auditories, traçabilitat o controls d’accés avançats.

Impacte del legacy software en la continuïtat del negoci

Més enllà de la ciberseguretat, el programari heretat té un impacte directe en la resiliència empresarial.

Costos ocults de manteniment

Encara que pugui semblar més econòmic mantenir un sistema antic que substituir-lo, en la pràctica els costos de manteniment augmenten amb el temps. La manca de suport oficial obliga a dependre d’especialistes interns o externs, cosa que encareix l’operació.

A més, els incidents de seguretat derivats de vulnerabilitats poden generar pèrdues econòmiques significatives, tant per interrupcions del servei com per danys reputacionals.

Risc d’interrupció operativa

Quan un sistema legacy falla, la recuperació sol ser més complexa que en entorns moderns. Això es deu a la manca de documentació actualitzada, la dependència de maquinari específic o l’escassetat de professionals amb coneixements en tecnologies obsoletes.

En sectors crítics com la banca, la salut o la indústria, una interrupció pot tenir conseqüències greus tant a nivell econòmic com social.

Dependència tecnològica i bloqueig del proveïdor

El legacy software també pot generar una situació de vendor lock-in, on l’organització depèn completament d’un proveïdor específic o d’una tecnologia difícil de substituir. Això redueix la flexibilitat estratègica i dificulta l’adopció de noves solucions digitals.

Exemples comuns de programari heretat en entorns reals

Tot i que el concepte és general, existeixen exemples àmpliament coneguts de legacy software en diferents sectors.

En entorns corporatius, durant anys ha estat habitual l’ús de sistemes operatius com versions antigues de Windows en infraestructures crítiques, a causa de la compatibilitat amb aplicacions internes desenvolupades a mida.

També és comú trobar aplicacions desenvolupades en llenguatges com COBOL en sistemes financers o bancaris. Tot i la seva antiguitat, continuen sent fonamentals per al processament de transaccions en grans institucions.

En l’àmbit industrial, moltes màquines depenen de programari específic que només funciona en entorns antics, cosa que dificulta la seva actualització sense substituir completament el maquinari.

Estratègies per gestionar el risc del legacy software

La gestió del programari heretat no implica necessàriament la seva eliminació immediata. En molts casos, es tracta d’aplicar una estratègia progressiva que redueixi el risc sense afectar l’operativa del negoci.

Inventari i avaluació d’actius tecnològics

El primer pas és disposar d’un inventari complet de tots els sistemes existents. Aquest procés permet identificar quines aplicacions estan obsoletes, quines són crítiques i quin nivell de risc representen.

Sense aquesta visibilitat, és impossible dissenyar una estratègia de modernització eficient.

Modernització progressiva de sistemes

Existeixen diverses estratègies per modernitzar el legacy software sense interrupcions brusques:

Una opció és la reenginyeria o refactorització, que consisteix a actualitzar el codi mantenint la funcionalitat.

Una altra és la re-plataformació, on el sistema s’adapta a una infraestructura moderna sense canviar completament la seva arquitectura.

En casos més extrems, s’opta per la substitució total, reemplaçant el sistema antic per una solució nova.

Cada opció depèn del nivell de criticitat del sistema i del pressupost disponible.

Implementació de controls compensatoris

Quan no és possible substituir immediatament un sistema heretat, es poden aplicar controls compensatoris de seguretat. Aquests inclouen segmentació de xarxa, monitoratge avançat, restriccions d’accés i sistemes de detecció d’intrusions.

Encara que no eliminen el risc, ajuden a reduir la superfície d’atac i a mitigar possibles incidents.

El futur del legacy software en la transformació digital

En el context actual de transformació digital, el legacy software representa una paradoxa: és alhora un pilar d’estabilitat i una font de risc.

Les organitzacions que aconsegueixen equilibrar la continuïtat operativa amb la modernització tecnològica són les que millor es posicionen davant les amenaces de ciberseguretat i els canvis del mercat.

La tendència general apunta cap a arquitectures més flexibles, basades en microserveis, cloud computing i automatització d’actualitzacions. Tanmateix, la transició serà gradual, ja que el pes del programari heretat en infraestructures crítiques continua sent significatiu.

Conclusió

El legacy software no és simplement tecnologia antiga; és un component estratègic que pot determinar el nivell de risc d’una organització. Encara que el seu manteniment pugui semblar una solució eficient a curt termini, les seves implicacions en ciberseguretat, compliment normatiu i continuïtat del negoci el converteixen en un factor crític a gestionar.

La clau no és eliminar-lo de manera immediata, sinó entendre el seu impacte, prioritzar la seva modernització i aplicar mesures de seguretat que en redueixin l’exposició. En un entorn on les amenaces digitals evolucionen constantment, ignorar el programari heretat pot convertir-se en un dels errors més costosos per a qualsevol organització.

 
Article anterior
← Errors de factor humà en empreses: el risc de la fatiga d’autenticació
Següent article
Exfiltració de dades mitjançant "captures de pantalla" i dispositius personals →

Subscriu-te al nostre butlletí i coneix totes les novetats en tecnologia i ciberseguretat.
accio-10-negre (1)
pyme_innovadora_meic-SP_web
kit consulting cabecera
ADHESIVO PÁGINA WEB (1)