Desde la adquisición de VMware por parte de Broadcom, los clientes con licencias perpetuas han enfrentado cambios significativos en su acceso a actualizaciones y parches de seguridad, generando preocupaciones en la industria tecnológica. Lo que históricamente fue un modelo estable, en el cual las empresas compraban una licencia única y recibían mejoras esenciales, ha evolucionado hacia un escenario que algunos califican como una «trampa corporativa». Esta transformación implica que, en ausencia de un contrato de soporte activo, los clientes ya no pueden acceder a parches críticos de seguridad, lo que compromete la protección de sus infraestructuras virtualizadas.
La alarma crece ante el descubrimiento de varias vulnerabilidades críticas en VMware ESXi, con Broadcom confirmando algunas de ellas en marzo de 2025. Estas fallas, catalogadas con altos puntajes de riesgo según el CVSS, permiten desde la ejecución de código en el host hasta la filtración de memoria, aumentando la exposición a posibles ataques de ransomware y accesos no autorizados. Sin embargo, para obtener los parches necesarios, Broadcom exige que las empresas renueven sus contratos de soporte, restringiendo así el acceso a actualizaciones de seguridad.
Esta política ha puesto en aprietos a muchas organizaciones, quienes deben ahora elegir entre pagar por parches, operar con software vulnerable o explorar alternativas de virtualización, cada una con sus respectivos costos y riesgos. El testimonio de un cliente intentando descargar un parche para VMware ESXi 6.7 es revelador; sin un contrato renovado y una degradación especial de la licencia, Broadcom no proporciona acceso a las actualizaciones necesarias.
Este cambio de dirección de Broadcom establece un precedente preocupante en el sector del software empresarial. Antes, las licencias perpetuas garantizaban correcciones de seguridad, pero ahora parecen convertidas en un modelo de suscripción disfrazado, limitando la opción de operar software seguro sin pago continuo. Además, empujan a las empresas hacia versiones más recientes del software, como vSphere 8, forzando actualizaciones que no todas están preparadas para asumir.
Ante esta situación, los administradores de sistemas y empresas se encuentran sopesando sus opciones. La elección es difícil: desde pagar costos adicionales para mantener la seguridad, seguir usando software vulnerable o asumir el coste y el esfuerzo de migrar a otro proveedor de virtualización. Sin embargo, algunas alternativas, como Proxmox VE o KVM, podrían mitigar parcialmente el impacto.
Los usuarios afectados deben considerar presionar a Broadcom y VMware públicamente para que reconsideren su política, además de explorar soluciones técnicas que mitiguen los riesgos de ciberseguridad. Mientras tanto, el impacto de no recibir actualizaciones sigue siendo un riesgo significativo que muchas organizaciones no pueden permitirse ignorar.
En conclusión, la dirección tomada por VMware bajo el mando de Broadcom ha puesto en una posición comprometida a sus clientes, especialmente aquellos con licencias perpetuas. El acceso limitado a parches de seguridad no solo es irresponsable, sino también potencialmente peligroso en un contexto de amenazas cibernéticas crecientes. Si Broadcom no reevalúa su posición, las empresas bien podrían buscar alternativas antes de encontrarse en una situación crítica.
