trueNetLab logo
ES
Sophos Connect: por qué los admins no deberían perseguir blogs

Sophos Connect: por qué los admins no deberían perseguir blogs

11 min read
Network Sophos Security

Tabla de contenidos

Sophos Connect 2.5 MR1 para Windows ya está disponible. A primera vista parece una versión menor de mantenimiento: algunas correcciones del cliente, un componente de terceros actualizado y descargas desde el firewall o directamente desde Sophos.

Pero ahí empieza precisamente mi problema.

Sophos Connect no es una utilidad simpática para conexiones VPN ocasionales. El cliente se ejecuta en endpoints Windows, establece VPN de acceso remoto y para muchas organizaciones es una vía directa hacia la red interna. Cuando una herramienta de seguridad así actualiza una biblioteca criptográfica importante, la información no debería sentirse escondida en una entrada de la comunidad.

Lo que molesta todavía más: OpenSSL 3.3.7 se publicó el 7 de abril de 2026. Sophos Connect 2.5 MR1 llegó el 18 de junio de 2026. Son unas diez semanas. Para una aplicación de escritorio normal quizá sería solo una actualización tardía. Para un cliente VPN con una biblioteca criptográfica, ese plazo resulta bastante menos cómodo.

¿De verdad debe leer un usuario los blogs de Sophos para saber que debería actualizar su cliente VPN? ¿Debe cada pequeño administrador de TI suscribirse al feed de la comunidad y esperar no perderse estas versiones? Para una herramienta que trata acceso remoto, certificados, autenticación y cifrado, no basta.

Un cliente VPN es infraestructura de seguridad. Por eso una actualización importante del cliente no debería existir solo como entrada de blog.

Qué cambia Sophos Connect 2.5 MR1

Sophos anunció Sophos Connect Client 2.5 MR1 para Windows el 18 de junio de 2026. Según Sophos, es una versión de mantenimiento que corrige varios problemas reportados por la comunidad.

El cambio técnico más importante está claro:

  • OpenSSL se actualizó a la versión 3.3.7.

La frase suena pequeña. Operativamente no lo es. Entre la publicación de OpenSSL el 7 de abril y la versión de Sophos Connect del 18 de junio pasaron más de dos meses. Se puede argumentar que Sophos tiene que revisar, integrar, probar y empaquetar la biblioteca. Es justo. Pero precisamente por eso un cliente de seguridad necesita transparencia: los administradores no deberían tener que deducir de un blog que un componente del cliente lleva semanas esperando una versión de parche de seguridad.

Sophos también enumera varias correcciones:

  • El cliente no se iniciaba automáticamente para usuarios Windows adicionales cuando lo había instalado otro usuario.
  • Los usuarios SSO podían ver un estado VPN incorrecto tras una interrupción de Internet.
  • Los usuarios con credenciales y OTP recibían solicitudes diferentes al reconectar según usaran IPsec o SSL VPN.
  • Los usuarios SSO no podían establecer una conexión SSL VPN desde un archivo de aprovisionamiento cuando los certificados contenían caracteres especiales.

No son detalles cosméticos. Son temas típicos de acceso remoto: inicio, estado, SSO, OTP, aprovisionamiento y certificados. Justo los puntos en los que soporte, administradores y usuarios se quedan rápidamente sin visibilidad cuando algo no funciona limpio.

Aun así, OpenSSL 3.3.7 es lo que hace que esta versión sea especialmente importante para mí.

Por qué OpenSSL 3.3.7 importa

OpenSSL 3.3.7 se publicó el 7 de abril de 2026 como versión de parche de seguridad. OpenSSL clasifica el problema más grave corregido como Moderate. No suena dramático, pero tampoco es una simple corrección de bug.

OpenSSL 3.3.7 corrige, entre otras cosas:

  • CVE-2026-31790: manejo incorrecto de errores en RSA KEM RSASVE Encapsulation, que bajo ciertas condiciones podría enviar memoria no inicializada a un par malicioso.
  • CVE-2026-28387: un posible use-after-free en código de cliente DANE.
  • CVE-2026-28388: una posible desreferencia NULL al procesar una delta CRL.
  • CVE-2026-28389 y CVE-2026-28390: posibles desreferencias NULL al procesar ciertas estructuras CMS EnvelopedData.
  • CVE-2026-31789: un desbordamiento de búfer heap durante conversión hexadecimal en plataformas de 32 bits.

No todas estas vulnerabilidades son automáticamente explotables en Sophos Connect. Eso importa. No conviene deducir ciegamente de una lista de CVE de OpenSSL que cada cliente está comprometible en cada escenario.

Pero lo contrario sería igual de erróneo: “Moderate” o “Low” no significa “irrelevante”.

OpenSSL es un componente base. Está en TLS, validación de certificados, operaciones criptográficas y muchos programas que establecen conexiones seguras. Si un cliente VPN incluye esa biblioteca, mantenerla forma parte del modelo de seguridad del cliente. Más aún cuando el cliente corre en portátiles que viajan, trabajan en redes ajenas y conectan de vuelta a entornos internos.

Por qué SSL VPN sigue siendo relevante

Hay otro punto que me molesta desde hace tiempo en Sophos Connect: el cliente incluye OpenSSL para SSL VPN aunque el cliente no use SSL VPN.

Muchas organizaciones usan cada vez más IPsec. Hay buenas razones: a menudo mejor rendimiento, integración más clara en diseños VPN existentes y, sobre todo, distribución más sencilla con software deployment, RMM, Intune u otras herramientas de gestión de endpoints. En empresas no se quiere que los usuarios descarguen instaladores VPN manualmente desde un portal. Se quiere un paquete, una versión, una ventana de despliegue y un inventario limpio.

Si un cliente usa Sophos Connect solo para IPsec, OpenSSL para SSL VPN sigue formando parte del cliente instalado. Eso no significa automáticamente que cada vulnerabilidad de OpenSSL sea explotable en ese entorno. Pero significa que la biblioteca está ahí, debe mantenerse, aparece en inventarios y escáneres de vulnerabilidades, y genera trabajo de parcheo.

Por eso la lógica de actualización es tan importante. Si un producto instala componentes que no todos los clientes usan activamente, el fabricante tiene una responsabilidad especial: mantenerlos rápido y con visibilidad. Si no, aparece el problema empresarial clásico: una función existe técnicamente, no se usa operativamente, pero aun así hay que parchearla y explicarla.

Por qué una versión propia tiene sentido

Me parece correcto que Sophos publique una versión de mantenimiento para esto.

Un cliente VPN no es cualquier aplicación de escritorio. Forma parte del control de acceso. Si ese cliente usa bibliotecas criptográficas obsoletas, existe un riesgo operativo, aunque la explotabilidad concreta deba evaluarse caso por caso.

En componentes de seguridad cuentan tres cosas:

  • Mantenimiento de componentes: las bibliotecas de terceros deben actualizarse pronto.
  • Trazabilidad: los administradores deben ver qué versión está desplegada.
  • Distribución: el parche debe llegar de forma fiable a los endpoints.

El primer punto se cumple: Sophos actualiza OpenSSL. El segundo se cumple parcialmente: notas de versión y blog nombran la versión. El tercero es donde empieza lo interesante.

Sophos escribe que el instalador actual del cliente se distribuye a firewalls SFOS mediante un paquete Up2Date y luego puede descargarse desde WebAdmin o el portal VPN. Es útil, porque el firewall se convierte en punto local de referencia para el instalador.

Pero eso no es lo mismo que un proceso de auto-update limpio y visible en cada endpoint Windows.

Si un usuario instaló el cliente una vez y nunca lo vuelve a actualizar activamente, la disponibilidad del instalador en el firewall es solo media ruta. Alguien debe iniciar, supervisar y cerrar el despliegue.

La crítica real: visibilidad

Mi crítica no va tanto contra la versión en sí. La versión tiene sentido.

Va contra la visibilidad y la expectativa.

Una herramienta de seguridad moderna debería ofrecer al menos una de estas opciones:

  • una notificación clara de actualización en el cliente,
  • una vista central en Sophos Central o en el firewall que muestre clientes obsoletos,
  • un mecanismo oficial y bien documentado de auto-update,
  • o al menos una alerta de administrador cuando una versión relevante para seguridad está desactualizada.

Lo ideal para Sophos Connect sería un mecanismo opcional y controlable de auto-update. No silencioso, no incontrolado y no contra las políticas de empresa. Pero sí de forma que un administrador pueda decidir que las actualizaciones relevantes para seguridad se desplieguen automática o semiautomáticamente en grupos definidos.

Algunos entornos ya lo resuelven con GPO, RMM, Intune o despliegue de software. Claro. Los buenos administradores pueden hacerlo. Pero eso no cambia el punto de producto: en clientes de acceso remoto, la comunicación de actualización no debería quedar al azar.

Sophos sabe lo importante que es automatizar actualizaciones. Los firewalls tienen pattern updates, hotfixes, avisos de firmware y visibilidad en Central. En productos endpoint se espera actualización automática. ¿Por qué el cliente VPN se siente todavía tan manual en algunos puntos?

No es un problema de lujo. Es justo el lugar donde pequeñas brechas permanecen demasiado tiempo.

Qué deberían hacer ahora los administradores

La consecuencia práctica es bastante clara.

Primero: comprobad si vuestro Sophos Firewall ya ha recibido el nuevo instalador de Sophos Connect. Sophos dice que el instalador se entrega a firewalls SFOS mediante paquetes Up2Date y luego está disponible en WebAdmin o el portal VPN.

Segundo: comprobad las versiones instaladas de Sophos Connect en los clientes Windows. Si no tenéis inventario central, ese es el verdadero punto doloroso. Necesitáis al menos una vista vía RMM, Intune, GPO, gestión de endpoints o script.

Tercero: no probéis el nuevo cliente solo con un usuario estándar. Probad los escenarios reales:

  • SSL VPN con usuario, contraseña y MFA
  • IPsec con OTP, si se usa
  • Microsoft Entra ID SSO
  • archivos de aprovisionamiento
  • certificados con caracteres especiales en nombres o campos relevantes
  • reconexión tras interrupción de Internet
  • varios usuarios Windows en el mismo dispositivo, si ocurre en vuestro entorno

Si usáis exclusivamente IPsec, aun así no ignoraría la actualización. Revisad especialmente si el cliente arranca bien en el día a día, si los perfiles se distribuyen como esperáis y si vuestro inventario detecta correctamente la nueva versión. OpenSSL quizá no sea la vía VPN activa, pero la biblioteca sigue formando parte del cliente instalado.

Cuarto: desplegad la actualización de forma planificada. No en pánico, pero tampoco “algún día”. OpenSSL 3.3.7 es una versión de parche de seguridad. Un cliente VPN con OpenSSL no es candidato para “lo haremos cuando cambiemos el próximo portátil”.

Quinto: comunicadlo bien. Los usuarios no necesitan saber qué significan RSASVE, DANE o CMS KeyAgreeRecipientInfo. Deben saber que se actualiza el cliente VPN, que después deben probar las conexiones y dónde avisar si SSO, OTP o aprovisionamiento no funcionan.

Qué debería mejorar Sophos

Me gustaría ver tres cosas en Sophos Connect.

Primero: información clara de actualización dentro del cliente. Si hay una nueva versión relevante para seguridad, el usuario o al menos el administrador local debería verlo. Mejor aún sería una ruta de auto-update controlable para entornos que la permitan conscientemente.

Segundo: una vista central de administración. Sophos Central o el firewall deberían mostrar qué versiones de Sophos Connect se conocen en un entorno y cuáles están obsoletas. Si el cliente no se gestiona centralmente, al menos debería haber una recomendación clara de inventario y despliegue.

Tercero: mejor comunicación de versiones. Una entrada de comunidad está bien como anuncio. Pero para componentes cliente relevantes para seguridad, “leer el blog y descargar el instalador” no es un modelo operativo, menos aún si la versión OpenSSL subyacente está disponible desde abril.

No quiero hablar mal de Sophos. Al contrario: que OpenSSL se actualice es positivo. Que las notas nombren la versión es positivo. Que el instalador se distribuya mediante el firewall es práctico.

Pero en 2026 un fabricante de seguridad debería hacer más por los clientes de acceso remoto.

Mi conclusión

Sophos Connect 2.5 MR1 no es una versión glamourosa. Precisamente por eso es interesante.

Muestra cómo es realmente la operación de seguridad: no solo grandes funciones nuevas, sino mantenimiento de componentes, pequeñas correcciones de cliente, detalles de certificados, comportamiento SSO, reconexiones OTP y la pregunta de si una actualización llega de verdad a cada endpoint.

OpenSSL 3.3.7 es una versión de parche de seguridad. Sophos hace bien en integrarla en Sophos Connect. Los administradores hacen bien en no ignorar la actualización. Pero el plazo de abril a junio es lo bastante largo para preguntar por velocidad y visibilidad.

Además queda el punto de arquitectura: Sophos Connect instala componentes SSL VPN con OpenSSL incluso si un entorno usa principalmente o exclusivamente IPsec. Puede tener sentido técnico porque Sophos entrega un cliente combinado. Operativamente significa responsabilidad adicional. Lo que se instala también debe actualizarse de forma fiable.

Sophos debería aceptar la pregunta incómoda: ¿por qué un administrador debe seguir activamente un blog para enterarse de una actualización así del cliente VPN?

Para una herramienta de seguridad que protege el acceso a la red interna, no es suficiente.

Hasta la próxima,
Joe

FAQ

¿Qué hay de nuevo en Sophos Connect 2.5 MR1 para Windows?
Sophos Connect 2.5 MR1 actualiza OpenSSL a la versión 3.3.7 y corrige problemas reportados de auto-start, estado SSO, reconexión OTP y aprovisionamiento SSL VPN con certificados.
¿Por qué es importante OpenSSL 3.3.7?
OpenSSL 3.3.7 es una versión de parche de seguridad del 7 de abril de 2026. Corrige varias vulnerabilidades, incluido un problema moderado en RSA KEM RSASVE Encapsulation y otros de menor severidad en DANE, CRL y CMS. Sophos Connect 2.5 MR1 apareció el 18 de junio de 2026, unas diez semanas después.
¿Deben los usuarios actualizar Sophos Connect por sí mismos?
Depende del modelo operativo. Sophos proporciona el instalador mediante el firewall o descarga directa. En entornos gestionados, los administradores deberían desplegar la actualización centralmente y no esperar que los usuarios lean blogs o actúen manualmente.
¿OpenSSL importa si solo usamos IPsec?
Sí, al menos operativamente. Si Sophos Connect instala OpenSSL para SSL VPN, la biblioteca forma parte del cliente instalado aunque el entorno use principalmente IPsec. No implica automáticamente explotabilidad práctica, pero sí parcheo, inventario y explicación.
Fuentes

Artículos relacionados

Sophos vs WatchGuard: comparativa de firewalls 2026

Sophos vs WatchGuard: comparativa de firewalls 2026

Sophos vs Cisco Meraki: comparativa de firewalls

Sophos vs Cisco Meraki: comparativa de firewalls

Sophos vs Check Point 2026: Comparativa práctica de firewalls

Sophos vs Check Point 2026: Comparativa práctica de firewalls

Buscar