Desde la adquisición de VMware por parte de Broadcom, la situación para los clientes con licencias perpetuas ha cambiado drásticamente. Lo que antes era un modelo de negocio predecible, en el que una empresa podía pagar una vez por una licencia y recibir actualizaciones de seguridad esenciales, ahora se ha convertido en una trampa corporativa. Si no tienes un contrato de soporte activo, no puedes descargar parches de seguridad, incluso para vulnerabilidades críticas.

La seguridad en riesgo: Si no pagas, no te protegen

Este cambio de política es especialmente alarmante considerando las recientes vulnerabilidades de seguridad críticas descubiertas en VMware ESXi. Como informamos anteriormente, Broadcom confirmó varias fallas de seguridad en marzo de 2025, algunas de las cuales ya están siendo explotadas activamente por atacantes:

🔴 CVE-2025-22224 (CVSS 9.3, Crítico) – Permite a un atacante con acceso a una máquina virtual ejecutar código en el hipervisor host.
🟠 CVE-2025-22225 (CVSS 8.2, Importante) – Posibilita la escritura arbitraria en el kernel, lo que podría derivar en un escape del entorno virtualizado.
🟡 CVE-2025-22226 (CVSS 7.1, Importante) – Filtración de memoria desde el proceso VMX de ESXi, que puede ser utilizada en ataques avanzados.

Cualquiera de estas vulnerabilidades representa un riesgo inminente para infraestructuras virtualizadas, ya que pueden permitir la ejecución de ransomware o accesos no autorizados al sistema. Sin embargo, Broadcom ha decidido restringir el acceso a los parches de seguridad, exigiendo que los clientes con licencias perpetuas renueven su contrato de soporte antes de poder descargarlos.

Testimonio real: La respuesta de Broadcom

Para confirmar este problema, intentamos obtener el parche de seguridad para una instalación de VMware ESXi 6.7, una versión ampliamente utilizada en empresas que, aunque antigua, sigue siendo funcional. El resultado fue el siguiente intercambio con el soporte de Broadcom:

🗣 Pregunta: ¿Cómo podemos descargar el parche de seguridad para una instalación de VMware ESXi 6.7 con licencia perpetua?

🖥 Respuesta del agente de Broadcom:
«Tras una investigación adicional, el contrato de la clave de licencia en el ID de sitio XXXXXXX expiró el 23 de enero de 2025. Para descargar el parche, el contrato de la clave de licencia necesita ser renovado. Además, la versión actual de la clave de licencia está en 7, por lo que en futuras renovaciones se necesita degradar la clave a la versión 6 para poder descargar el parche de 6.7.»

Es decir, aunque un cliente haya pagado por una licencia perpetua, no puede descargar parches de seguridad si no tiene un contrato activo. En este caso, ni siquiera es suficiente renovar el contrato: hay que realizar una solicitud especial para «degradar» la licencia a una versión anterior.

¿Qué implica este cambio?

Lo que Broadcom está haciendo con VMware supone un precedente peligroso en el sector de software empresarial. Estas son algunas de las consecuencias más alarmantes:

1️⃣ Bloqueo de actualizaciones esenciales: Si tienes una versión perpetua, no puedes proteger tu infraestructura sin pagar un contrato adicional.

2️⃣ Empuje forzado hacia versiones más recientes: Broadcom quiere que todos migren a vSphere 8, empujando a las empresas a actualizaciones que pueden no estar preparadas para asumir.

3️⃣ Peligro para la ciberseguridad: Sin parches de seguridad, las versiones antiguas quedan expuestas a ataques, lo que genera mayores riesgos para las empresas y sus datos.

4️⃣ Modelo de negocio abusivo: Antes, una licencia perpetua garantizaba acceso a correcciones de seguridad. Ahora, Broadcom lo ha transformado en un modelo de suscripción disfrazado, eliminando la opción de operar un software seguro sin pagos continuos.

Un mal precedente para la industria

El caso de VMware es un claro ejemplo de cómo la monopolización y adquisición de empresas tecnológicas pueden perjudicar a los clientes. Empresas y administradores de sistemas que confiaban en VMware para su infraestructura ahora se encuentran con una elección difícil:

✔ Pagar contratos costosos para acceder a parches de seguridad básicos.
✖ Seguir usando software vulnerable, exponiendo sus datos y sistemas a ataques.
🔄 Migrar a otro proveedor de virtualización, lo cual supone un costo elevado en tiempo y recursos.

¿Qué pueden hacer los usuarios?

Si eres uno de los afectados por esta nueva política de Broadcom, considera estas opciones:

🔹 Explora alternativas de virtualización: Opciones como Proxmox VE, KVM, o incluso Microsoft Hyper-V pueden ser viables según tu entorno.
🔹 Presiona a Broadcom y VMware: Expón el problema públicamente en foros, redes sociales y canales de soporte. Cuanta más presión haya, más posibilidades de que la empresa reconsidere su política.
🔹 Evalúa el impacto de no actualizar: Si bien es un riesgo de seguridad, algunas organizaciones pueden mitigar parcialmente los problemas con firewalls y segmentación de red.
🔹 Contacta con distribuidores y proveedores: En algunos casos, distribuidores de licencias pueden tener opciones para acceder a parches sin un contrato directo con Broadcom.

Conclusión

El giro que ha dado VMware bajo Broadcom pone en jaque a las empresas que confiaban en su modelo de licencias perpetuas. Bloquear el acceso a parches de seguridad es irresponsable y peligroso, especialmente cuando se trata de vulnerabilidades críticas ya explotadas por atacantes.

Broadcom ha convertido la seguridad de sus clientes en una mercancía, obligándolos a pagar por lo que antes era un derecho básico de cualquier usuario de software empresarial. En un mundo donde las amenazas cibernéticas crecen cada día, esta decisión podría poner en riesgo a miles de empresas y organizaciones que dependen de VMware.

Si VMware y Broadcom no revierten esta política, el mensaje es claro: es hora de buscar alternativas antes de que sea demasiado tarde.