Los usuarios de VMware están migrando a Proxmox, pero la seguridad se está viendo afectada: muchos descuidan las actualizaciones.

VMware es caro, las licencias cambian cada seis meses, por lo que los administradores ajustan sus presupuestos y migran sus máquinas virtuales a Proxmox.

Beneficio inmediato: se elimina la elevada factura anual. Inconveniente inmediato: la complejidad de la gestión de parches. Resultado: clústeres nuevos, pero con kernels de dos meses de antigüedad que dejan vulnerabilidades expuestas. Este es el inconveniente que los responsables de la toma de decisiones subestiman.

Migrar VMware a Proxmox: ahorro de dinero, vulnerabilidades como ventaja adicional. El cálculo parece obvio: un nodo ESXi + vCenter + vSAN supone un gasto considerable. En cambio, Proxmox

se instala en veinte minutos, se ejecuta en hardware reciclado y solo requiere una suscripción opcional. Varias pymes de la región de París redujeron sus costes de virtualización diez veces durante el primer año. Sin embargo, la operación crea un punto ciego. En Dupont Electronics, el equipo clonó 120 máquinas virtuales con QEMU y reimportó los discos en formato RAW. Ansiosos por demostrar el retorno de la inversión, descuidaron la configuración del repositorio APT. Un mes después, una vulnerabilidad CVE en el almacenamiento Ceph persistía debido a la falta de un simple comando como «apt update && apt full-upgrade». A los hackers les encanta este tipo de actualizaciones apresuradas: los puertos quedan expuestos, la pila del kernel es vulnerable y el SOC descubre la brecha cuando ya es demasiado tarde.

Parches descuidados en Proxmox: por qué un sistema sencillo termina mal administrado. No hay que andarse con rodeos: la interfaz de actualización de Proxmox es básica. No tiene un panel de control sofisticado como Nutanix. Como resultado, los administradores junior posponen la tarea. Prefieren usar la interfaz gráfica a escribir «pveupdate». Problema: La herramienta envía parches más rápido que nunca. VMware o Microsoft Hyper-V Ignorar estos paquetes es como rechazar un chaleco antibalas gratis. En WebMed, un servidor tenía tres versiones desactualizadas. El día que una máquina virtual crítica experimentó una alta carga, la función de migración en vivo falló por completo, devolviendo un error de Python. Un parche publicado el día anterior solucionó el problema. Nadie lo había aplicado. Esta negligencia cuesta más que una licencia. ¿Necesitan pruebas? Este video de la agencia SecPatch muestra cómo una shell local obtiene privilegios de administrador en diez segundos en un clúster sin actualizar. Actualizar o fallar: el dilema posterior a la migración para las pymes. El jefe quiere cero tiempo de inactividad. El administrador quiere reiniciar los nodos. Elijan su opción. En la práctica, se programa un intervalo de tiempo y se realizan pruebas previas. Los métodos tradicionales aún funcionan: clonar el servidor, encenderlo y revertir el proceso si algo sale mal. Sin embargo, muchos dejan los servidores funcionando hasta que falla un disco. Fred, un contratista de una clínica, intentó aplicar un parche al kernel a media tarde. El resultado: un reinicio, un inicio fallido y una base de datos PostgreSQL dañada. Juró que jamás volvería a cometer ese error. Es fundamental reincorporar el tiempo de mantenimiento a la planificación, incluso si eso implica presentarlo como una medida de precaución. Sin él, la promesa del software libre se convierte en una pesadilla. Gestión de parches sin una consola de pago: scripts, Git y rigor. No se necesita un SaaS excesivamente caro para mantener un sistema limpio. Un repositorio Git, un hook de Ansible y cada host de Proxmox descarga sus actualizaciones simultáneamente. En Alpha-Tech, el manual de procedimientos cabe en tres páginas: instantánea, actualización, reinicio y verificación. Sin complicaciones. Los scripts de Bash realizan el trabajo pesado y la monitorización mediante OpenStack Monasca activa las alertas. Incluso Citrix XenServer y Oracle VM. Pueden seguir el mismo patrón. La idea clave: automatizar y luego verificar. Los administradores que aprueban un parche en producción sin una prueba previa terminarán dedicando el fin de semana a restaurar copias de seguridad. El mejor argumento para el jefe: el tiempo de inactividad planificado cuesta menos que un día de crisis facturado por el proveedor de servicios gestionados. La charla del autor del script “pve-autoupdate” detalla este enfoque.

Entre Hyper-V, KVM y Proxmox: ¿mantenerse, combinar o empezar de cero? Nadie descarta la hibridación. Algunas startups mantienen

Microsoft Hyper-V

para cargas de trabajo de Windows, usan

KVM

a través de Proxmox para Linux y prueban Red Hat Virtualization en un nodo piloto. Lo importante es la disciplina en las actualizaciones. Los proveedores cambian, pero la superficie de ataque permanece. Sería un error creer que un hipervisor de código abierto tolera más negligencia. En última instancia, la seguridad siempre se basa en los mismos tres pilares: parches aplicados, copias de seguridad probadas y monitorización que alerta antes de que se produzca un fallo. Las organizaciones que respeten estos tres pilares dormirán tranquilas, independientemente de si utilizan VMware, Proxmox o algún producto futuro aún desconocido.