Broadcom ha generado revuelo tras publicar el boletín de seguridad VMSA-2025-0013, donde se detalla la existencia de cuatro vulnerabilidades críticas en VMware ESXi y VMware Tools para Windows. Estas brechas de seguridad, que permiten escape de máquina virtual, han sido catalogadas con puntuaciones CVSS entre 7,1 y 9,3, lo que subraya su severidad.
El aspecto más controvertido de este tema es la estrategia comercial adoptada por Broadcom: sin un contrato de soporte activo, los clientes no pueden descargar los parches necesarios para mitigar estas vulnerabilidades, a pesar de haber adquirido licencias perpetuas. Esto ha provocado críticas dentro del sector tecnológico. David Carrero, experto en infraestructura cloud, advierte del riesgo sistémico que representa esta política.
Las versiones afectadas incluyen ESXi 8.0 y 7.0, además de una vulnerabilidad de divulgación de memoria en VMware Tools para Windows. Los sistemas Linux y macOS no se ven afectados por esta última. Las vulnerabilidades fueron descubiertas durante el evento Pwn2Own Berlin 2025 e incluyen fallos críticos como desbordamientos de entero y fugas de memoria.
La restricción en el acceso a los parches es vista como un precedente peligroso. Carrero afirma que la responsabilidad del proveedor es clara si los clientes no pueden aplicar soluciones por motivos comerciales. Los administradores de sistemas enfrentan múltiples desafíos al tener que actualizar obligatoriamente sus entornos, careciendo de soluciones alternativas o mitigaciones.
En conclusión, la situación pone en entredicho la política de Broadcom y causa que muchos reconsideren su fidelidad a VMware. La ciberseguridad no debería ser un privilegio condicionado por modelos comerciales restrictivos, sino un pilar fundamental de la protección digital.
