trueNetLab ⚡️
Sophos Firewall v22 MR1: ¿Actualizar ahora o esperar?

Sophos Firewall v22 MR1: ¿Actualizar ahora o esperar?

8 min read
Network Sophos Security

Tabla de contenidos

Con Sophos Firewall v22 MR1, el 20 de abril de 2026 por fin llegó el primer maintenance release de la línea v22. Y, sinceramente, muchos administradores estaban esperando justo este lanzamiento.

v22 ya parecía ambicioso desde el principio. Secure by Design, Health Check, una base de control más sólida, un kernel más duro y más profundidad de auditoría. Sobre el papel sonaba bien. En la práctica, el arranque fue accidentado. Ya escribí sobre esa fase en mi artículo anterior sobre los bugs de Sophos Firewall entre v21.5 y v22 .

Por eso MR1 no es simplemente “la siguiente versión”. Es el punto en el que muchos equipos se preguntan si v22 empieza por fin a ser una actualización seria para producción.

Mi respuesta corta es: para algunos entornos, sí. A ciegas y sin pruebas, todavía no.

Lo Más Importante

  • v22 MR1 es el Build 490 y corrige muchos problemas reales que seguían presentes en v22 GA y en el re-release Build 411.
  • Los puntos más relevantes son policy-based IPsec, routing sobre bridge tras el upgrade, estabilidad de HA, casos límite de PPPoE, WAF, SSL VPN y varios temas de autenticación.
  • Al mismo tiempo, MR1 sigue trayendo advertencias claras: legacy remote access IPsec desaparece, las comprobaciones de espacio en disco siguen importando y el hardware XG/SG continúa sin soporte.
  • Si ya estás en v22 y sufres problemas concretos, MR1 merece atención seria.
  • Si estás estable en 21.5, yo seguiría probando bien antes de actualizar por curiosidad.

Por Qué MR1 Importa Tanto

Cuando un fabricante publica un major release, luego un re-release y poco después el primer maintenance release, eso suele decir bastante. Con Sophos ocurrió exactamente eso.

El v22 GA original Build 365 fue sustituido en enero de 2026 por el GA re-release Build 411. Allí Sophos ya corrigió varios problemas molestos, entre ellos acceso al WebAdmin sobre bridges, DNAT con interfaces de salida específicas, spam en la CLI con Invalid rule id or family for update, SNMP roto y fallos en el policy test. Eso ayudó, pero aún no transmitía tranquilidad.

MR1 se parece más a la versión que muchos esperaban de v22 desde el principio: menos marketing y más limpieza operativa.

Qué Mejora Realmente en v22 MR1

El valor de MR1 no está en una gran función nueva. Está en que Sophos reduce fricción en varios frentes al mismo tiempo.

Policy-Based IPsec por Fin Recibe Atención

Quien usó policy-based IPsec en v22 GA tenía bastantes opciones de encontrarse con problemas. En las notas oficiales, Sophos enumera varias correcciones justo en este bloque: túneles que aparecían activos pero sin tráfico, interfaces erróneas en diagnósticos, SNAT incorrecto sobre MPLS y acceso al WebAdmin de firewalls branch que dejaba de funcionar tras el upgrade.

Para mí, este es el bloque más importante de MR1. Los problemas de VPN nunca son “solo un detalle”. En cuanto dependen de ellos enlaces site-to-site, acceso a sucursales o rutas SD-WAN, un bug de firmware se convierte en un problema operativo real.

Bridge, Routing y Firewall También Se Ajustan

MR1 también corrige varios temas que duelen enseguida en redes reales. Sophos menciona, entre otros:

  • subredes inaccesibles sobre interfaces bridge tras el upgrade a v22 GA
  • problemas de ping por la WAN de respaldo en diagnósticos
  • cambios inesperados de estado en HA con reinicios posteriores
  • problemas de PPPoE en policy testing
  • fallos al exportar reglas de firewall

Sobre el papel parecen varios bugs pequeños. En conjunto son exactamente el tipo de errores que encarecen innecesariamente una ventana de cambio.

WAF, SSL VPN y Autenticación También Mejoran

MR1 incluye fixes en áreas que para muchas empresas no son opcionales. Sophos cita, por ejemplo:

  • la desactivación de CAPTCHA en la zona VPN no funcionaba bien para usuarios de SSL VPN en v22 GA
  • Azure AD SSO para el user portal redirigía a una página 404
  • problemas con OAuth, certificados y API/MFA
  • reinicios periódicos del servicio SSL VPN en determinados escenarios
  • descargas fallidas de configuraciones IPsec móviles por permisos de certificado incorrectos

Si tienes usuarios externos, clientes VPN o aplicaciones publicadas con WAF, MR1 elimina varios tropiezos operativos.

HA y Storage Siguen Siendo Importantes

También me parece importante que Sophos siga trabajando en estabilidad general en el ciclo de MR1. Hay fixes relacionados con la recuperación de HA tras pérdida de corriente, registro de HA en Sophos Central, tráfico del sistema sobre enlaces dedicados, fallos de upgrade en nodos pasivos y alta carga por temas de logging y disco.

No es marketing sexy. Precisamente por eso es relevante.

Lo Que MR1 No Soluciona

Yo evitaría vender la historia romántica de que MR1 vuelve todo verde de repente. No lo hace. Esta versión sigue teniendo puntos que conviene revisar con atención antes de actualizar.

Legacy Remote Access IPsec Ahora Es un Bloqueador Real

Este es probablemente el aviso más importante de las release notes actuales. Sophos dice explícitamente que la variante legacy de remote access IPsec ya no está soportada en SFOS 22.0 MR1. Y más importante todavía: firewalls que aún tengan esa configuración no pueden actualizarse a MR1.

Si arrastras configuraciones antiguas con clientes de terceros, no lo mires por encima. Revísalo bien. Si no, un “hacemos el MR esta noche y listo” puede convertirse en una ventana de mantenimiento mucho más larga de lo previsto.

Espacio en Disco y Root Resize Siguen Importando

El segundo gran tema conocido de v22 también sigue ahí: el espacio adicional. Sophos mantiene la advertencia de que SFOS 22.0 y posteriores requieren más espacio y que algunos appliances o entornos virtuales necesitan preparación manual antes del upgrade.

Incluso si el espacio es suficiente, el upgrade puede tardar más porque la partición root se redimensiona. Sophos habla de dos a diez minutos extra. En una oficina pequeña es una nota a pie de página. En HA productivo o ventanas ajustadas, es detalle de planificación real.

XG y SG Siguen Fuera

No es nuevo, pero conviene repetirlo: SFOS 22.0 GA y posteriores, incluido MR1, ya no soportan hardware XG ni SG. Si todavía tienes appliances antiguos en laboratorios o sedes remotas, no quieres descubrirlo en plena actualización.

Policy-Based IPsec Sigue Mereciendo Prudencia

Precisamente porque MR1 corrige varios problemas de policy-based IPsec, yo también lo interpreto como motivo para probar con cuidado. Si llevas rutas especiales, MPLS, sucursales, peers de terceros o acceso administrativo por esos túneles, entonces prueba MR1 exactamente ahí.

Que el túnel esté en verde no basta. Lo importante es que el tráfico real, el retorno, el comportamiento SNAT, los diagnósticos, el acceso GUI y el failover funcionen de verdad.

Mi Valoración Práctica

Si reduzco la situación a la pregunta que mucha gente se hace ahora mismo, sería esta:

¿Es v22 MR1 el primer candidato razonable para equipos que dejaron pasar v22 por culpa de GA y Build 411?

Yo diría que sí, en muchos casos.

No porque Sophos se haya vuelto impecable de repente. Sino porque MR1 limpia de forma visible justo las esquinas donde v22 hacía daño en el día a día: bridge, IPsec, HA, auth, WAF, SSL VPN, logging y varias rarezas de UI y routing.

Aun así, yo separaría claramente dos grupos.

Quién Debería Mirarlo de Cerca

  • equipos ya en v22 Build 411 con bugs concretos
  • entornos que esperan funciones de v22 pero frenaron por la inestabilidad inicial
  • administradores que necesitan mejor comportamiento en policy-based IPsec o en ciertos portales y flujos de autenticación

Quién Debería Quedarse Antes en el Laboratorio

  • instalaciones 21.5 estables sin presión inmediata por nuevas funciones
  • entornos con legacy remote access IPsec
  • setups delicados de WAF, MFA o SSO
  • clusters HA que ya se portaron mal con firmwares anteriores

Qué Revisaría Antes de Actualizar

Antes de desplegar MR1 en producción, yo comprobaría estos puntos:

  • verificar si todavía existe legacy remote access IPsec en la configuración
  • exportar backups y pensar en serio la ruta de restore
  • confirmar espacio libre y posibles avisos de resize
  • en HA, probar el failover en lugar de confiar solo en el estado visual
  • en policy-based IPsec, validar tráfico real y no solo el estado del túnel
  • en WAF, portales y SSL VPN, probar login, MFA, redirects y certificados con usuarios reales
  • en PPPoE o escenarios WAN específicos, validar policy test y flujos reales

Y un punto más: si hasta ahora miraste v22 sobre todo a través del nuevo Health Check, no confundas la capa técnica con la operativa. El Health Check es útil, y lo expliqué en detalle aquí: Sophos Firewall v22 Health Check - Complete Overview . Pero un Health Check en verde no sustituye una prueba de upgrade seria.

Conclusión

Desde mi punto de vista, Sophos Firewall v22 MR1 es la primera versión de la rama v22 que hace pensar a un administrador “esto merece una revisión seria” en lugar de “mejor esperar un poco más”.

Es una buena señal. Pero no es magia.

Si ya sufres problemas con v22, MR1 merece atención cercana. Si vives estable en 21.5, no dejes que el nombre “maintenance release” te dé una falsa sensación de seguridad. Esta actualización sigue requiriendo preparación, pruebas y un plan B real.

Así es exactamente como yo la trataría: ni como emergencia ni como no-brainer, sino como lo que es. El primer candidato de upgrade realmente interesante desde el arranque accidentado de v22.

Hasta la próxima,
Joe

Sources

Related Posts

Sophos Firewall: Sin CVEs, pero plagado de bugs (v21.5 a v22)

Sophos Firewall: Sin CVEs, pero plagado de bugs (v21.5 a v22)

Anthropic Mythos y Project Glasswing: lo que viene para la ciberseguridad

Anthropic Mythos y Project Glasswing: lo que viene para la ciberseguridad

Operación Epic Fury: Sophos advierte sobre represalias cibernéticas globales

Operación Epic Fury: Sophos advierte sobre represalias cibernéticas globales

© 2026 trueNetLab

Buscar