Windows 10 fin de soporte — el día después del 14 de octubre

El 14 de octubre de 2025 Microsoft sirve el último Patch Tuesday gratuito para Windows 10. Diez años y dos meses después del lanzamiento de la 1507 (29 de julio de 2015), la versión 22H2 pasa a end-of-support en todas sus ediciones comerciales: Home, Pro, Pro for Workstations, Pro Education, Enterprise, Education y Enterprise multi-session. Las LTSC siguen con su calendario propio (LTSC 2021 hasta enero de 2027, IoT LTSC 2021 hasta enero de 2032). El resto, sin actualizaciones gratuitas a partir del 15.

Lo que cambia operativamente para quien se queda en Windows 10 a partir del 15 de octubre, lo que cuesta tomar la salida lenta vía ESU, y qué tipo de vulnerabilidades es razonable esperar contra esa base instalada durante los próximos doce meses.

Qué deja de recibir Windows 10 el 15 de octubre

La página de Microsoft Support es explícita y corta: las máquinas con Windows 10 22H2 siguen funcionando, pero dejan de recibir security updates, feature updates, optional updates y technical support. El último Patch Tuesday gratuito es el de octubre 2025, que cerró con 175 vulnerabilidades parcheadas y tres zero-days bajo explotación activa — CVE-2025-24990 (Agere Modem Driver), CVE-2025-59230 (Remote Access Connection Manager) y CVE-2025-47827 (IGEL OS Secure Boot bypass). El de noviembre y posteriores, fuera del ESU, no aterriza en Windows 10.

Por capas, lo que se pierde:

• Security updates MSRC. Críticas e importantes. Microsoft sigue publicándolas para Windows 11 y Windows Server; los CVE compartidos entre Windows 10 y otras ramas se documentan, pero el binario parcheado para Windows 10 22H2 no se distribuye fuera del programa ESU.
• Feature updates y optional updates. No hay 23H2 ni 24H2 para Windows 10. La línea cierra en 22H2 build 19045.x final del mes.
• Technical support. Cualquier ticket abierto en soporte estándar tras el 14-oct se cierra remitiendo al upgrade path o al ESU.
• Driver updates vía Windows Update. Lo que llegue ahí depende del OEM. Históricamente con Windows 7 los drivers desaparecieron del catálogo en cuestión de meses.
• Microsoft Defender y MAPS. Microsoft anunció que las definiciones de Defender se mantienen en Windows 10 hasta al menos octubre de 2028 — el motor sí, pero no parchea el kernel ni los componentes vulnerables del sistema.

Para Office, el calendario es desfasado: Microsoft 365 Apps deja de soportarse oficialmente sobre Windows 10 también el 14 de octubre de 2025, aunque la propia Microsoft confirma que las actualizaciones de seguridad de Office para Windows 10 continúan hasta octubre de 2028 para no obligar a una migración doble en el mismo trimestre.

ESU — la salida pagada (y gratis en la EEA)

El Extended Security Updates es el mismo programa que Microsoft venía aplicando a Windows 7 (2020-2023) y Windows XP (2014-en algún momento entre nunca y siempre), con una novedad: por primera vez se ofrece a consumidores, no solo a Enterprise.

Consumer

Tres rutas de enrolment para usuarios individuales:

• Gratis con Windows Backup. Sincronizar settings con la nube y entrar con cuenta Microsoft.
• Gratis con 1.000 Microsoft Rewards points.
• $30 USD o equivalente, single payment. Cubre hasta diez dispositivos por cuenta Microsoft.

Cobertura: hasta el 13 de octubre de 2026. Un año, no tres.

Variante regional: para residentes en el Espacio Económico Europeo (UE + Islandia, Noruega, Liechtenstein) la inscripción es gratuita sin requisito de Windows Backup, solo con cuenta Microsoft que se autentique al menos una vez cada sesenta días. La concesión se publicó en septiembre de 2025 tras presión de Euroconsumers invocando la Digital Markets Act. Para EEA en la práctica, el ESU consumer del primer año es gratis si aceptas tener una cuenta MSA activa.

Enterprise

Vía Volume Licensing, el precio por dispositivo es el habitual de ESU clásico:

• Año 1: $61 USD por dispositivo.
• Año 2: $122 USD (el doble).
• Año 3: $244 USD (el doble otra vez).

Los años son acumulativos — si entras en el año 2 sin haber comprado el año 1, pagas los dos. Para clientes con Intune o Windows Autopatch hay descuento de ~25% sobre el año 1 ($45/dispositivo). Cobertura máxima hasta el 13 de octubre de 2028, igual que la línea anterior.

A 1.000 dispositivos, año 1: $61.000. Año 2: $122.000. Año 3: $244.000. Total tres años $427.000 antes de cualquier coste operativo (gestión, despliegue, monitorización del programa). Para comparar: un Lenovo ThinkPad de gama media con Windows 11 compatible está en torno a $1.000-1.400. Mil máquinas son $1-1,4M de capex, pero capex con vida útil de 4-5 años, no $427K solo para mantener Windows 10 funcionando como ahora.

El paisaje que deja la EOS

A 30 de septiembre de 2025, StatCounter Global Stats sitúa la cuota de Windows 10 en escritorios en torno al 40-42 % mundial — por encima de Windows 11, que rondaba el 50 % con tendencia plana. Después del 14 de octubre Windows 10 incluso recuperó algunos puntos según TweakTown y VideoCardz, lo que sugiere que una fracción de la base instalada no tiene intención de migrar a corto plazo.

Lo que se intuye en datos de Lansweeper publicados a lo largo de 2025: aproximadamente la mitad del parque corporativo no cumple los requisitos de hardware de Windows 11 (TPM 2.0, CPU lista de compatibilidad oficial, Secure Boot). Esa fracción es la que va a quedar en Windows 10 con ESU si paga, o sin parches si no.

Dónde vive realmente Windows 10 fuera del workstation estándar de empresa:

• Point-of-sale. Cadenas retail con TPV Windows 10 IoT (la rama IoT LTSC 2019 sigue soportada, pero hay muchos despliegues sobre IoT Enterprise no-LTSC).
• ATMs. Bancos con flotas heredadas de cajeros sobre Windows 10 IoT.
• Signage y kiosko. Aeropuertos, hospitales, pantallas táctiles.
• OT y SCADA. HMIs, ingeniería, supervisión industrial sobre Windows 10 Pro y Enterprise. El vendor del PLC no certifica el HMI sobre Windows 11; la migración es proyecto largo.
• Healthcare. PACS, modalidades de imagen, estaciones de planificación. Software regulado FDA / CE-MDR que arrastra ciclos de certificación.
• Estaciones de oficina con CAD/MES legacy. Aplicaciones de los años 2000-2010 que requieren shims o políticas de compatibilidad que en Windows 11 no funcionan igual.

La fracción de Windows 10 que migra a Windows 11 es la que tiene hardware compatible y software estándar. La fracción que se queda es la de hardware antiguo, software legacy y dispositivos regulados — la misma que más ha pagado históricamente los EOS anteriores.

La precedente: Windows XP (2014) y Windows 7 (2020)

Windows XP — la lección de WannaCry

Soporte estándar de Windows XP terminó el 8 de abril de 2014. Tres años más tarde, el 12 de mayo de 2017, WannaCry explota MS17-010 (EternalBlue, SMBv1 RCE) contra ~230.000 máquinas Windows en 150 países, muchas de ellas Windows XP y Windows 7 sin parchear. Microsoft tuvo que sacar parches out-of-band para XP y Windows 8 a pesar de estar fuera de soporte. Cubrimos el incidente en el aniversario de WannaCry.

El patrón: vulnerabilidad descubierta por NSA, leak por Shadow Brokers, weaponización por Lazarus, base instalada en XP sin parche = pandemia mundial. La ventana entre EOS y catástrofe fue de tres años.

Windows 7 — la lección menos visible

Soporte de Windows 7 terminó el 14 de enero de 2020. Microsoft ofreció ESU enterprise por tres años, hasta enero de 2023. No hubo un WannaCry-equivalente público contra Windows 7 post-EOS, pero el patrón fue otro: explotación silenciosa por crews oportunistas (ransomware afiliado tipo Conti, Black Basta) contra organizaciones que se quedaron en Windows 7 más allá de la fecha sin pagar ESU. CVE clásicos como CVE-2020-0796 (SMBGhost) y CVE-2021-1675 (PrintNightmare) se explotaron contra base mixta Windows 7/8/10/2008R2, con desproporcionalidad en víctimas sin parches.

Lectura: la EOS de Windows 7 no produjo un evento mediático, produjo un goteo durante 36 meses. La de Windows 10 es probable que se parezca más a esto que a XP — el ecosistema de detección y respuesta es bastante más maduro que en 2017, los proveedores EDR mantienen cobertura, y la base que se queda en Windows 10 lo hace típicamente con compensating controls (Defender Endpoint, network segmentation, etc.). Pero el riesgo absoluto sube y el coste de cada incidente sube con él.

Qué tipo de vulnerabilidades vamos a ver contra Windows 10 post-EOS

Tres categorías a vigilar durante los próximos doce meses, asumiendo el patrón histórico:

1. Wormable network services

SMB, RPC, Print Spooler y derivados. El catálogo de KEV de CISA acumula durante 2025 una colección considerable de bugs en estas superficies. Cualquier CVE crítico que aparezca en Windows 11 y se descubra retroactivamente afectando también al stack de Windows 10 22H2 va a quedar sin parche público fuera de ESU. El primer candidato sale en noviembre si el Patch Tuesday trae un RCE pre-auth en algún servicio expuesto por defecto.

2. Local Privilege Escalation chains

Drivers de tercero firmados (como el ltmdm64.sys retirado en octubre 2025 con CVE-2025-24990), drivers de fabricante OEM, componentes de userspace privilegiado. Los EDR detectan post-exploitation, pero el chain de LPE es donde el atacante consolida acceso tras un foothold. Para quien ya está dentro vía phishing o explotación de un browser, una LPE no parcheada en Windows 10 es la pieza que falta.

3. Browser exploitation

Edge basado en Chromium sigue recibiendo updates en Windows 10 al menos hasta octubre de 2028 (Microsoft lo confirmó en mayo de 2024). Chrome no garantiza soporte indefinido en Windows 10 — Google publicó en su política que las versiones soportadas seguirán hasta al menos enero de 2028. El navegador parcheado pero el kernel no es un escenario incómodo: una sandbox escape del browser que dependa de un bug del kernel sin parchear elimina la mitad de la defensa.

Lectura para CISO

Tres preguntas operativas que toca responder antes del primer trimestre de 2026:

1. Inventario realista

Audit completo del parque, no estimación. Workstations, laptops, kioskos, signage, OT, sanitaria, point-of-sale. Cuántas máquinas Windows 10 hay, qué edición, qué hardware, qué software crítico sin alternativa en Windows 11. Sin inventario, el resto de la decisión es a ciegas.

# Ejemplo: discovery rápido vía CIM en un dominio
Get-CimInstance -ComputerName (Get-ADComputer -Filter * | Select-Object -ExpandProperty Name) `
  -ClassName Win32_OperatingSystem `
  -ErrorAction SilentlyContinue |
  Select-Object PSComputerName, Caption, Version, BuildNumber, OSArchitecture

Para parques grandes, mejor con SCCM/MECM, Intune, Lansweeper, Tanium, Rapid7 InsightVM o lo que ya tengas en producción. Lo que importa es que el dato sea fresco — la migración va a moverse durante meses y un inventario de hace tres meses ya es ruido.

2. Decisión por tier

Una vez tienes el inventario, segmentación por criticidad y tipo de máquina:

• Tier A — workstations estándar con hardware compatible. Upgrade a Windows 11 vía Autopilot, MECM o despliegue manual. Coste marginal.
• Tier B — workstations con hardware incompatible pero refresh planificado. Hardware refresh dentro del año fiscal. Coste capex pero recuperable.
• Tier C — máquinas con software legacy bloqueando Windows 11. ESU mientras se trabaja la migración del software (recompilación, virtualización, sustitución). Cuenta como deuda técnica con fecha de vencimiento.
• Tier D — OT, sanitaria, regulada. ESU + segmentación de red estricta + monitorización aumentada. Plazo de salida 24-36 meses como mínimo realista.
• Tier E — máquinas que llevan tres años sin parchear ya hoy. El problema no es la EOS, es la patch hygiene previa. Estas máquinas son las que van a aparecer en el próximo postmortem si nadie las toca.

3. Compensating controls para lo que queda

Para todo lo que quede en Windows 10 sin ESU (o con ESU año 1 y plan de salida en 12 meses), control de exposición:

• Segmentación de red — Windows 10 fuera del flat network, atrás de un firewall interno con reglas explícitas.
• Application allowlisting — WDAC o AppLocker con política restrictiva. Lo que no está autorizado, no corre.
• EDR con telemetría — Defender for Endpoint, CrowdStrike, SentinelOne, etc., con alerting activo y respuesta validada.
• MFA forzado para cualquier autenticación a recursos sensibles desde estas máquinas.
• Eliminación de exposición externa — ninguna máquina Windows 10 con servicios escuchando hacia internet.

Ninguno de estos controles sustituye al parche, pero combinados elevan el coste para el atacante en un orden de magnitud. Es la diferencia entre “máquina trivial” y “máquina que requiere chain de tres pasos para post-exploitation”. El atacante oportunista cambia de objetivo; el dirigido sigue, pero se ralentiza.

El día siguiente

El 14 de octubre el último Patch Tuesday cerró con tres zero-days bajo explotación activa. El de noviembre va a llegar sin Windows 10 en la lista de plataformas afectadas — y eso no significa que los bugs nuevos no afecten al kernel compartido, significa que el binario corregido para Windows 10 sale solo en ESU. Quien no esté inscrito, no lo recibe.

La pregunta operativa no es “¿migramos?“. Es “¿qué fracción del parque migra ya, qué fracción entra a ESU, y qué fracción queda fuera de ambos con compensating controls?“. Para la última fracción, el reloj empezó el 15.

Referencias

• Microsoft Support — Windows 10 support has ended on October 14, 2025.
• Microsoft Lifecycle — Products reaching End of Support on October 14, 2025.
• Microsoft Lifecycle — Windows 10 Home and Pro, Windows 10 Enterprise and Education.
• Microsoft — Windows 10 Consumer Extended Security Updates.
• Microsoft Learn — Extended Security Updates (ESU) program for Windows 10.
• Tom’s Hardware — Windows 10 extended support is now free, but only in Europe (25-sep-2025).
• StatCounter Global Stats — Desktop Windows Version Market Share Worldwide.
• BleepingComputer — Microsoft October 2025 Patch Tuesday fixes 6 zero-days, 172 flaws.
• The Hacker News — Two New Windows Zero-Days Exploited in the Wild (CVE-2025-24990, CVE-2025-59230).