SUBTE 2025: Windows 7 en pantallas LED, infraestructura crítica expuesta, y una impunidad que ya da vergüenza

Emanuel D’Amico
Especialista en Ciberseguridad, Ciberinteligencia & OSINT.

Estación Urquiza, Línea B, Ciudad Autónoma de Buenos Aires.
Un cartel LED de gran tamaño reproduce un video institucional de la SUBE… y de pronto, lo que no debía verse, aparece:
Windows 7. Menú de inicio completo, Dell Backup and Recovery Premium pidiendo actualización, y todo un sistema operativo expuesto ante miles de pasajeros.

Este hecho no es anecdótico, no es gracioso y mucho menos es menor.
Es una evidencia pública y tangible del estado de abandono, desidia e improvisación que atraviesa la infraestructura tecnológica del subte en la capital del país.

Y si te parece exagerado, seguí leyendo.

¿Windows 7 en 2025? Más peligroso que un tren sin frenos

Para que quede claro: Windows 7 dejó de tener soporte oficial en enero de 2020. Microsoft ofreció un parche extendido pago (ESU) solo para empresas, el cual finalizó en enero de 2023. Desde entonces, usar Windows 7 es equivalente a dejar una puerta abierta al ciberdelito.

Y acá no hablamos de la PC del kioskero. Hablamos de equipamiento público, instalado en estaciones clave, con conexión a redes internas del sistema ferroviario, potencialmente enlazado a servidores centrales, software de monitoreo, cámaras de vigilancia y más.

¿Y qué puede pasar si alguien explota eso?

Te presento algunas de las bombas que siguen activas en Windows 7:

• CVE-2019-0708 (BlueKeep): Ejecución remota vía RDP sin credenciales. Sí, wormable.
• CVE-2020-0796 (SMBGhost): Explota SMBv3, permite movimiento lateral en redes.
• CVE-2018-8453: Escalada de privilegios desde usuarios bajos.
• CVE-2020-1380: Uso de Internet Explorer como vector de ataque.
• CVE-2019-0808 + CVE-2019-5786: Combo zero-day para control total del sistema.

Si cualquiera de estos vectores se activa, el resultado puede ser desde un defacement público, hasta el acceso total a los sistemas del subte, pasando por vigilancia, robo de información y sabotaje.

¿Y es legal usar Windows 7 en estas condiciones?

NO.
Y esto no es opinión, es ley.

Ley 25.326 – Protección de Datos Personales

Exige medidas técnicas adecuadas para garantizar la confidencialidad y seguridad de la información.
Un sistema operativo sin soporte ni parches viola directamente esa norma.

Decreto 738/2017 – Infraestructura Crítica de Información y Ciberseguridad

Obliga a las organizaciones que operan servicios críticos (como el transporte público) a:

• Usar software actualizado.
• Implementar políticas activas de mitigación de riesgos.
• Tener planes de contingencia y monitoreo.

Nada de eso está pasando si lo que vemos en pantalla es un sistema abandonado por Microsoft hace media década.

¿Y quién tiene la culpa?

El subte porteño está bajo operación de Emova Movilidad S.A., controlada por Metrovías (Grupo Roggio), con fiscalización directa de SBASE (Subterráneos de Buenos Aires S.E.), una empresa pública bajo la órbita del Gobierno de la Ciudad Autónoma de Buenos Aires.

O sea que hay dinero privado operando un servicio público, con supervisión del Estado.
Ambos lados son responsables.
Ninguno tiene excusa.

Aclaración: NO es un caso aislado

En marzo de este año publiqué una investigación anterior en LinkedIn, donde mostré que una dirección IP perteneciente a infraestructura crítica del subte se encontraba públicamente expuesta..

NO era WiFi público.
NO era una red de pasajeros.
Era parte del backend del sistema del subte.
Leé la nota anterior acá

La aparición de Windows 7 en plena estación Urquiza solo confirma lo que ya denunciamos:
el sistema informático del subte está colapsado.
la ciberseguridad brilla por su ausencia.
la gestión es deficiente, y la fiscalización es nula.

Y lo más grave: todo esto es visible. Imaginate lo que no vemos.

Si una pantalla pública nos deja ver un SO obsoleto, ¿qué pasará en los servidores que no están a la vista?
¿En las consolas que controlan señales, comunicaciones, cámaras, energía, trenes?

¿Dónde están las auditorías?
¿Dónde está la AGC (Agencia Gubernamental de Control)?
¿Dónde están los informes de riesgo?
¿Y las sanciones?

Mi pedido como especialista y ciudadano

1. Relevamiento urgente de todos los sistemas operativos usados en el subte.
2. Eliminación inmediata de Windows 7 y cualquier SO sin soporte.
3. Auditoría técnica pública e independiente.
4. Plan de ciberhigiene para toda la infraestructura de transporte.
5. Responsabilidad legal y penal para quienes lo permiten.

Porque esto no es política ni partidismo.
Es seguridad pública. Es soberanía digital.
Y es una bomba de tiempo que todavía no explotó… pero no va a avisar antes de hacerlo.

No hay subte moderno si el sistema operativo que lo sostiene es de hace dos décadas.
No hay movilidad inteligente si el software está lleno de agujeros CVE.
Y no hay excusa posible cuando la evidencia está frente a nuestros ojos.

🛰️ #CiberataqueLatente🧩 #FallaSistémica🪓 #GobiernoVulnerable🔎 #AuditoríaYa🧱 SeguridadDigital

⛓️ #TecnologíaObsoleta🚨 #AlertaInfraestructura💣 #BombaDigital🧬 #CulturaCiber🧠 #ConcienciaDigital

Disclaimer: Este contenido es solo informativo y busca concientizar sobre ciberseguridad, sin intención de señalar responsables, ni incitar a cometer delitos.