Magento (https://magento.com), una de las soluciones de código abierto más populares para comercio electrónico del mundo con más de 187.500 sitios web activos actualmente[1], dejará de publicar actualizaciones operativas y de seguridad y finalizará el soporte técnico (End of Life – EOL) para todas las versiones de la rama 1.x[2], incluyendo Magento Commerce 1 (conocida anteriormente como Enterprise Edition) y Magento Open Source 1 (conocida anteriormente como Community Edition) a partir del 30 de junio de 2020, conforme lo había anunciado años atrás Adobe[3], la compañía que adquirió esta solución en el año 2018.

Esta noticia no es nueva, ya que inicialmente la fecha de finalización de soporte de la plataforma 1.x era noviembre de 2018, pero se optó por extenderla para permitirle a las organizaciones afectadas implementar estrategias de migración.

El objetivo detrás de esta fecha límite es impulsar la migración masiva a la versión 2 de Magento, (publicada en el año 2015) y permitirle tanto a los desarrolladores de Magento como a los proveedores de extensiones focalizarse en esta versión, con muchas más mejoras desde el punto de vista operativo y de seguridad.

¿Cuáles son los riesgos de continuar usando Magento 1?

Debido a la ausencia de soporte técnico directamente del fabricante y a la disponibilidad de actualizaciones tanto de funcionalidades como de seguridad, la continuación del uso de Magento 1 desde junio de 2020 implicará:

  • Obsolescencia de extensiones y temas oficiales para Magento 1 que, a partir de Julio 7, serán removidas del Marketplace Igualmente, toda la documentación y el código fuente de dichos componentes será eliminado de los repositorios oficiales[4].
  • Debido a la masificación de ataques contra infraestructuras de comercio electrónico (incluyendo a los ataques del tipo “magecart” que han venido afectando a las plataformas de Magento desde 2016[5]), los sitios web que empleen Magento 1 se verán aún más expuestos, ya que los ciberdelincuentes aprovecharán las vulnerabilidades no actualizadas para insertar código malicioso y exfiltrar datos de tarjetas de pago y otra información sensible.
  • El uso de software no soportado y con potenciales vulnerabilidades no corregidas que puedan afectar datos confidenciales afecta no solamente el cumplimiento con PCI DSS sino también con otras regulaciones como RGPD, exponiendo a la organización a multas y sanciones, aparte de la mala publicidad y la pérdida de clientes como resultado de una brecha de datos.
  • Ausencia de soporte del fabricante en el caso de problemas relacionados con la funcionalidad y la seguridad de la plataforma.
  • Los desarrolladores que trabajan actualmente con Magento 1 empezarán a abandonar el desarrollo con esta plataforma, con lo cual cada vez será más difícil realizar cambios en el código fuente y mantener funcional una plataforma con esta versión obsoleta.
  • Imposibilidad de emplear y adaptar nuevas funcionalidades, tecnologías y características de las versiones más recientes de Magento debido a la incompatibilidad de componentes[6].

¿Cuáles son las implicaciones de esta noticia desde la perspectiva de cumplimiento con PCI DSS?

Para todos aquellos sitios web de comercio electrónico que emplean cualquier versión de la rama 1.x de Magento y que efectúen captura, transmisión, almacenamiento y/o procesamiento de datos de tarjetas de pago, la noticia de la finalización del soporte de Magento 1 implica que sus plataformas quedarán obsoletas y expuestas a los riesgos vinculados con la explotación de vulnerabilidades que se detecten a partir del 30 de junio y que permanecerán sin corrección por parte del fabricante. Esto implica un incumplimiento directo del requerimiento 6.2 de PCI DSS:

6.2 Asegúrese de que todos los software y componentes del sistema tengan instalados parches de seguridad proporcionados por los proveedores que ofrecen protección contra vulnerabilidades conocidas. Instale los parches importantes de seguridad dentro de un plazo de un mes de su lanzamiento.

Por otro lado, los reportes de los escaneos trimestrales de vulnerabilidades externos (Approved Scanning Vendor – ASV) y pruebas de penetración anuales (penetration testing) también identificarán Magento v1.x como una plataforma obsoleta susceptible a vulnerabilidades.

Las marcas de pago ya habían venido anunciando las implicaciones de seguridad y el impacto en el cumplimiento de PCI DSS con el uso de Magento 1 después de junio de 2020:

  • VISA Acquirer Advisory – Urgent Action Required – Magento 1 support to end after June 2020[7]
  • MasterCard – Urgent reminder to acquirers that Magento 1 will no longer be supported by Adobe after June 2020[8]

Igualmente, distintos proveedores de pago como Adyen[9] ya han notificado a sus usuarios acerca de los problemas vinculados con el uso de Magento 1 y el riesgo que esto puede conllevar en sus pagos.

 ¿Qué alternativas hay para mitigar el riesgo de continuar usando Magento 1?

Al igual que ocurre con cualquier obsolescencia de software, hay dos alternativas principales para continuar con la operación:

  1. Migrar a una versión más reciente: En este caso, se recomienda migrar a la versión oficial más reciente de la versión 2 de Magento Commerce[10], Magento Commerce Cloud[11] o Magento Open Source[12].
  2. Migrar a otra plataforma: Existen múltiples opciones de plataformas para comercio digital tanto a nivel de software como a nivel de servicio en la nube (Software as a Service – SaaS) incluyendo Shopify, Prestashop, WooCommerce, BigCommerce, etc.

Recomendaciones adicionales

Finalmente, de forma adicional, desde Advantio recomendamos:

  • Emplear la herramienta gratuita Magento Security Scan Tool[13] que permite monitorizar los sitios de Magento en busca de riesgos de seguridad y sus acciones de remediación.
  • Visitar de forma regular el Centro de seguridad de Magento (Magento’s Security Center[14]), en donde se listan actualizaciones, mejores prácticas y noticias de seguridad de la plataforma.
  • Suscribirse a la lista de seguridad de Magento[15] para recibir notificaciones regulares de seguridad de esta plataforma.
  • Seguir las mejores prácticas de seguridad recomendadas por Adobe[16], incluyendo el uso de protocolos seguros (incluyendo HTTPS), uso de contraseñas robustas, aseguramiento de la consola de administración, uso de autenticación multifactor (MFA) para el ingreso administrativo, uso de soluciones de CAPTCHA para minimizar intentos de ataque de fuerza bruta y monitorización de la integridad de los ficheros críticos.
  • Usar herramientas gratuitas y en línea como MageReport[17] que realizan un escaneo de seguridad reportando vulnerabilidades conocidas y sus acciones de remediación.
  • Emplear soluciones de Web Application Firewall (WAF) para el análisis detallado del tráfico de la plataforma.

Nota: Este artículo ha sido publicado originalmente en el blog de Advantio en idioma inglés


[1] Built With: Websites using Magento – https://trends.builtwith.com/websitelist/Magento

[2] Magento Software Lifecycle Policy https://magento.com/sites/default/files/magento-software-lifecycle-policy.pdf

[3] Supporting Magento 1 through June 2020 https://magento.com/blog/magento-news/supporting-magento-1-through-june-2020

[4] How Extension Developers Can Prepare for M1 End of Life https://community.magento.com/t5/Magento-DevBlog/How-Extension-Developers-Can-Prepare-for-M1-End-of-Life/ba-p/446216

[5] A Deep Dive Into Magecart https://www.riskiq.com/what-is-magecart/

[6] Magento Commerce Software End of Support FAQ https://magento.com/sites/default/files8/2019-09/implications-of-unsupported-software-FAQ.pdf

[7] VISA Acquirer Advisory -Urgent Action Required -Magento 1 support to end after June 2020 https://usa.visa.com/content/dam/VCOM/global/support-legal/documents/acquirer-advisory-magento-migration.pdf

[8] MasterCard – Urgent reminder to acquirers that Magento 1 will no longer be supported by Adobe after June 2020 https://globalrisk.mastercard.com/wp-content/uploads/2020/06/Security-Bulletin-Magento-1.pdf

[9] Adyen Magento 1 end of life https://docs.adyen.com/plugins/magento-1/magento-1-eol

[10] Magento Commerce migration https://magento.com/solutions/magento-2-migration

[11] Magento Commerce Cloud https://magento.com/products/magento-commerce

[12] Magento Open Source migration https://magento.com/products/magento-open-source

[13] Adobe’s Magento Security Scan https://docs.magento.com/user-guide/magento/security-scan.html

[14] Magento’s Security Center https://magento.com/security

[15] Magento Security Alert https://magento.com/security/sign-up

[16] Magento Security Best Practices https://docs.magento.com/user-guide/magento/magento-security-best-practices.html

[17] MageReport https://www.magereport.com/

Autor: David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.