Actualizaciones de TYPO3: Por qué "funciona" es la excusa más peligrosa

Me pasa una y otra vez. Un cliente utiliza la versión 8 de TYPO3, o incluso una anterior, y cuando le planteo el tema de la actualización, la respuesta surge de la nada: "El sitio funciona. Todo funciona. ¿Por qué debería invertir dinero en él?".

Y entiendo la reticencia. De verdad. A ninguna empresa le gusta gastar dinero en algo que parece no funcionar. Pero esta actitud no es sólo miope. Es un peligro de incendio.

Como alguien que ha estado trabajando con TYPO3 desde 2006 y habla regularmente con otras agencias e integradores, puedo decirles: el problema es real, está muy extendido y va a más.

La mentira conveniente: "Está funcionando"

Sí, tu sitio web está funcionando. Hoy mismo. Puede que mañana también. Pero funciona con un software que ya nadie mantiene. En PHP que no ha recibido actualizaciones de seguridad desde hace años. Con extensiones que ya no reciben mantenimiento.

Es como conducir un coche sin ITV. También funciona. Hasta la primera curva. O hasta la primera inspección.

La diferencia: con tu coche, sabes que corres un riesgo. Con tu sitio web, te dices a ti mismo que no pasará nada.

Lo que realmente está arriesgando

Vulnerabilidades de seguridad: puertas abiertas para los atacantes

Las versiones antiguas de TYPO3 tienen vulnerabilidades de seguridad conocidas. Estas brechas están documentadas públicamente. Los hackers tienen scripts automatizados que buscan en Internet exactamente este tipo de instalaciones obsoletas.

No dejes la puerta de tu casa abierta. Pones un cartel: "No estoy, entra".

Cuando piratean tu sitio web, no se trata sólo de unos cuantos enlaces de spam. Se trata de malware que infecta a sus visitantes. Se trata de datos de clientes robados. Se trata de una reputación dañada que tarda años en repararse.

GDPR: Actualmente infringe la ley

Aquí es donde la cosa se pone fea: según el GDPR, estás obligado a mantener actualizado el software que utilizas. Especialmente si se están procesando datos personales.

Y antes de que diga "Nosotros no procesamos ningún dato": Sí, lo hacemos. Basta con un formulario de contacto. Analítica. Registro en el boletín de noticias. Todos ellos son datos personales.

Quien utiliza deliberadamente software obsoleto actúa con negligencia. En caso de violación de datos, podría enfrentarse a la obligación de informar, multas y reclamaciones por daños y perjuicios. Y su compañía de seguros podría negarse a pagar en caso de negligencia grave.

Esto también se aplica a asociaciones, comunidades y parroquias. Los miembros honorarios de la junta directiva son personalmente responsables. ¿De verdad quiere arriesgar el patrimonio de la asociación por una sanción evitable?

Los costes aumentan exponencialmente

Una actualización de TYPO3 11 a 13 es manejable. De TYPO3 8 a 13 es más caro. ¿De la versión 4.5 a la 13? Entonces ya no estamos hablando de una actualización, sino de un relanzamiento.

Cuanto más se espera, más caro resulta. Las extensiones desaparecen del mercado. Las versiones de PHP se vuelven incompatibles. Los hosters dejan de dar soporte a los sistemas antiguos. Lo que hoy podría hacerse en dos días podría significar una reconstrucción completa dentro de un año.

Usted decide hoy si planifica la actualización o si su proveedor de alojamiento decide por usted. Y las decisiones tomadas bajo presión de tiempo son siempre las más caras.

El efecto dominó: cuando el proveedor de alojamiento desconecta

El escenario es siempre el mismo: su proveedor de alojamiento anuncia que las versiones antiguas de PHP dejarán de recibir soporte. Tiene tres meses. Pero su antigua versión de TYPO3 sólo funciona exactamente con esta versión de PHP.

Ahora usted tiene una opción: actualización de emergencia bajo presión de tiempo o sitio web fuera de línea. Ambos son caros. Ambos son estresantes. Ambos podrían haberse evitado.

He pasado por esto docenas de veces. Y cada vez, la factura acaba siendo más alta de lo que habría sido una actualización limpia y planificada.

Por qué los clientes siguen dudando

Entiendo las objeciones. De verdad que las entiendo.

"No tenemos presupuesto".

Entonces tampoco tienes presupuesto para un sitio web fuera de línea, para la pérdida de datos o para las sanciones GDPR. Una actualización planificada cuesta una fracción de lo que cuesta un escenario de emergencia.

Piénsalo: ¿dirías "no tengo presupuesto para frenos nuevos" para tu coche? No, porque sabes lo que pasa si los frenos fallan.

"De todas formas, no vamos a cambiar la página web".

Entonces no necesitas un CMS. Si tu sitio web es realmente estático y no cambia nada, hay soluciones mejores. Una versión HTML estática es más barata de ejecutar, más segura y más rápida.

Pero sea sincero: ¿realmente no cambia nada? ¿Ni texto, ni imágenes, ni datos de contacto? Si es así, necesita un sistema bien mantenido.

"Con nosotros no pasará nada".

Quizá tenga suerte y no le pase nada. Pero las estadísticas cuentan otra historia: una de cada siete empresas ya ha sido pirateada, y el 70% de las empresas alemanas ya han sido víctimas de ciberdelincuentes. La mayoría son pequeñas empresas y organizaciones que pensaban exactamente eso.

A los piratas informáticos no les interesa el tamaño de su empresa. Les interesan las brechas de seguridad abiertas. Y éstas están garantizadas en una instalación anticuada de TYPO3.

La perspectiva de los integradores

Y ahora unas palabras para las agencias, desarrolladores e integradores que lean esto:

Ustedes hacen un trabajo importante. Cuidáis de los sitios web, mantenéis los sistemas en funcionamiento, os ocupáis de los problemas. Pero no sois paramédicos de zombis.

Cuidar viejas instalaciones de TYPO3 cuesta una cantidad desproporcionada de tiempo. Tiempo que no tienes para proyectos modernos y emocionantes. Tiempo que se come sus márgenes. Tiempo que le frustra.

Y lo que es más importante, sus empleados no quieren trabajar con un software que tiene diez años. ¿Qué buen desarrollador quiere seguir trabajando en TYPO3 4.5 en 2025? Perderá gente buena si sólo da soporte a sistemas antiguos.

Establecer límites no es antipático. Es profesional.

Está bien decir: "No puedo seguir siendo responsable de apoyo si no se actualiza. Aquí están los riesgos, aquí está la oferta de actualización. Si no la quieres, tendremos que poner fin a la colaboración".

Eso no es un ultimátum. Es gestión de riesgos. Para ambas partes.

Si piratean a un cliente y usted no le advirtió de los riesgos de antemano, puede ser corresponsable. E incluso si no, su reputación se resiente. "Está a cargo de una web hackeada y no ha hecho nada".

Ustedes son expertos. Sabéis lo que es correcto. Defiéndanlo.

Lo que puede hacer ahora

Para los clientes: Escuche a su integrador

Si su agencia o desarrollador dice que una actualización es necesaria, entonces es necesaria. Estas personas viven de TYPO3. Saben de lo que hablan.

Pida una oferta concreta. Deje que le expliquen qué pasa y por qué. Y luego invierta en la seguridad de su sitio web.

Si su integrador aún no ha abordado el tema, sáquelo a colación. Pregunte qué versión de TYPO3 utiliza y si es necesario actualizarla.

Y si no tienes integrador o necesitas uno nuevo: no dudes en ponerte en contacto conmigo. Vamos a echar un vistazo a su instalación y discutir lo que tiene sentido.

Para integradores: hable claro

Haga una lista de sus clientes con versiones anticuadas de TYPO3. Priorice según el riesgo. Y, a continuación, aborde el problema. Concretamente, con un calendario y una oferta.

Proporcione a sus clientes la información que necesitan para tomar una decisión. Explique los riesgos. Indique los costes. Fije un plazo.

Y si el cliente sigue sin quererlo, documéntelo por escrito. Obtenga confirmación de que ha señalado los riesgos y de que el cliente rechaza la actualización. Esto es autoprotección.

Ofrezca soluciones:

Contratos de mantenimiento: Importes mensuales pequeños y predecibles en lugar de facturas grandes e inesperadas. Las actualizaciones periódicas son más baratas que las de emergencia.

Paquetes de actualización: Ofertas de precio fijo para actualizaciones estándar, escalonadas según el esfuerzo.

Conversión estática: Para sitios web realmente muertos sin cambios regulares. De TYPO3 a HTML estático. Más favorable en funcionamiento, más seguro, más rápido.

Migración gradual: No todo a la vez, sino paso a paso. Primero cerrar las brechas de seguridad más críticas, luego el resto.

Opción de salida: A veces, un sistema nuevo y ajustado es más barato que una actualización monstruosa. Sea sincero si éste es el mejor camino.

La cuestión no es si, sino cuándo

En algún momento tendrá que actualizar. La única pregunta es: ¿lo hará ahora, de forma planificada y limpia? ¿O más tarde, bajo presión de tiempo y al triple de coste?

La tecnología no esperará. La versión 14 de TYPO3 llegará en abril de 2026 y la brecha entre los estándares actuales y las instalaciones antiguas es cada vez mayor, no menor.

En cinco años, usted no encontrará a nadie que quiera tocar TYPO3 4.5. Y si lo hacen, será muy caro.

El mejor momento para actualizar fue hace dos años. El segundo mejor momento es ahora.

Mi consejo

No estoy escribiendo esto para causar pánico. Lo escribo porque hablo en serio.

Como experto en TYPO3 desde 2006, como miembro del Comité de Educación de TYPO3 y como alguien que ha acompañado cientos de proyectos: Las instalaciones obsoletas son un riesgo que no debes correr.

No se trata de perfeccionismo. Se trata de sentido común.

No es necesario tener siempre la última versión. Pero deberías estar en una versión que aún reciba soporte. Que aún reciba actualizaciones de seguridad. Que todavía tiene futuro.

Y si no sabe a qué atenerse o qué hacer: pregunte a alguien que sepa. Su integrador. Una agencia. O a mí.

Pero haga algo. Porque "Funciona" no es una estrategia. Es autoengaño.

Y eso puede salir caro.