Desde la adquisición de VMware por Broadcom, el escenario para los clientes con licencias perpetuas ha experimentado un cambio significativo. Lo que previamente era un modelo de negocio predecible, donde las empresas pagaban una sola vez por una licencia y recibían actualizaciones de seguridad críticas, se ha transformado en una trampa corporativa. Ahora, si no se posee un contrato de soporte activo, acceder a parches de seguridad, incluso para vulnerabilidades críticas, es imposible.
Este cambio es especialmente preocupante dado el reciente descubrimiento de vulnerabilidades críticas en VMware ESXi. En marzo de 2025, Broadcom confirmó varias fallas de seguridad, incluidas la CVE-2025-22224, la CVE-2025-22225 y la CVE-2025-22226, que ya están siendo explotadas activamente por ciberdelincuentes. Estas vulnerabilidades representan un riesgo inminente para infraestructuras virtualizadas, pudiendo facilitar ataques de ransomware o accesos no autorizados a sistemas. Pese a ello, Broadcom ha decidido restringir los parches de seguridad, exigiendo a los clientes con licencias perpetuas que renueven sus contratos de soporte para poder descargarlos.
Para corroborar este problema, intentamos obtener un parche de seguridad para una instalación de VMware ESXi 6.7, una versión aún funcional y ampliamente utilizada. La respuesta de Broadcom fue clara: sin un contrato vigente, descargar el parche no es posible, y además, se requiere una degradación especial de la licencia para acceder a él.
Estas decisiones de Broadcom establecen un precedente peligroso en el sector del software empresarial, cuyas consecuencias son principalmente tres: el bloqueo de actualizaciones esenciales, el empuje forzado hacia versiones más recientes, y un peligro creciente para la ciberseguridad. Esto transforma las licencias perpetuas en un modelo de suscripción encubierto, eliminando la opción de operar un software seguro sin pagos continuos.
La situación actual con VMware es un ejemplo claro de cómo la monopolización y adquisición de empresas tecnológicas pueden perjudicar a los clientes. Las empresas ahora enfrentan la difícil elección de pagar contratos costosos, seguir utilizando software vulnerable o migrar a otro proveedor de virtualización, lo cual conlleva un alto costo de tiempo y recursos.
Para los usuarios afectados por esta política, existen algunas alternativas viables: explorar opciones de virtualización como Proxmox VE, KVM o Microsoft Hyper-V; presionar a Broadcom y VMware a través de protestas públicas; evaluar los riesgos de no actualizar; y contactar a distribuidores para posibles soluciones de acceso a parches.
En conclusión, el giro dado por VMware bajo la dirección de Broadcom pone en riesgo a las empresas que confiaban en su modelo de licencias perpetuas. Al bloquear el acceso a parches de seguridad, Broadcom convierte la seguridad de sus clientes en una mercancía, obligándolos a pagar por lo que antes era un derecho básico. Si esta política no se revierte, queda claro que es momento de buscar alternativas antes de que surjan consecuencias irreversibles.
