Informes

A medida que los cibercriminales ponen el foco en las vulnerabilidades del software VPN para infiltrarse en las redes corporativas, aumenta la preocupación por que sean una fuente de ciberriesgos.

Los servicios de redes privadas virtuales (VPN) se convirtieron en herramientas esenciales para las empresas modernas, sobre todo desde que fueron una herramienta fundamental en medio de la avalancha de trabajo remoto impulsada por la pandemia de 2020.

Dado que muchas organizaciones se han asentado en un modelo de lugar de trabajo híbrido, las VPN de acceso remoto se convirtieron en un elemento básico dentro de las herramientas de conectividad y seguridad de la red.

Las VPN ayudan a proteger la información confidencial mediante un túnel cifrado para los datos corporativos que viajan entre las redes de la empresa y los dispositivos de los empleados, sin comprometer la productividad de los empleados ni paralizar las operaciones de misión crítica de las empresas.

En una era en la que la explotación masiva de brechas de seguridad, los ataques a la cadena de suministro en gran escala y otras violaciones de las defensas corporativas son cada vez más comunes, aumentan las preocupaciones sobre la capacidad de las VPN para salvaguardar los datos corporativos y la posibilidad de que este software en sí mismo sea otra fuente de ciberriesgo.

Por otra parte, las VPN también han sido objeto de un creciente escrutinio debido al aumento de vulnerabilidades de seguridad y exploits dirigidos a ellas, a veces incluso antes de que se lancen los parches.

El atractivo para los agentes de los Estados-nación y los ciberdelincuentes es innegable, ya que las representan potencialmente las llaves del reino corporativo.

Los ciberdelincuentes dedican importantes recursos a la búsqueda de puntos débiles, lo que ejerce una mayor presión sobre las organizaciones y subraya la importancia de unas prácticas sólidas de mitigación de riesgos.

Las llaves del reino

Una VPN encamina el tráfico del usuario a través de un túnel cifrado que protege los datos contra miradas indiscretas. La principal razón de ser de una VPN empresarial es crear una conexión privada a través de una red pública, o Internet, para permitir a los trabajadores dispersos geográficamente acceder a las redes internas como si estuvieran sentados en sus mesas de oficina, convirtiendo así sus dispositivos en parte de la red corporativa.

Al igual que un túnel puede colapsarse o tener fugas, un dispositivo VPN vulnerable puede enfrentarse a todo tipo de amenazas. El software obsoleto suele ser una de las razones de un ataque exitoso. La explotación de una vulnerabilidad VPN puede permitir a los hackers robar credenciales, secuestrar sesiones de tráfico cifrado, ejecutar remotamente código arbitrario y darles acceso a datos corporativos sensibles. 

Al igual que cualquier otro software, las VPN requieren mantenimiento y actualizaciones de seguridad para parchear las vulnerabilidades. A las empresas les cuesta mantenerse al día con estas actualizaciones, entre otras cosas, porque las VPN no suelen tener tiempos de inactividad planificados, sino que se espera que estén en funcionamiento en todo momento.

Se sabe que los grupos de ransomware a menudo tienen como objetivo servidores VPN vulnerables y, al obtener acceso al menos una vez, pueden moverse por una red para hacer lo que les plazca, como cifrar y retener datos para pedir un rescate, exfiltrarlos, llevar a cabo espionaje y mucho más.En otras palabras, la explotación exitosa de una vulnerabilidad allana el camino para accesos maliciosos adicionales, lo que potencialmente puede conducir a un compromiso generalizado de la red corporativa.

Proteger los datos

Una empresa no debe confiar únicamente en su VPN como medio para proteger a sus empleados y su información interna, aunque no sustituya a la protección habitual de los terminales ni a otros métodos de autenticación.

Hay que considerar la posibilidad de implantar una solución que evalúe las vulnerabilidades y a aplique parches; las actualizaciones de seguridad que emiten los fabricantes de software, incluidos los proveedores de VPN, son relevantes. En otras palabras, el mantenimiento regular y las actualizaciones de seguridad son una de las mejores formas de minimizar las probabilidades de éxito de un ciberincidente.

Medidas adicionales para reforzar la VPN

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y la Agencia de Seguridad Nacional (NSA) de Estados Unidos disponen de un práctico folleto en el que se describen varias precauciones, entre las que se incluye: reducir la superficie de ataque; utilizar un cifrado fuerte para codificar los datos corporativos sensibles; una autenticación robusta —como un segundo factor añadido en forma de código de un solo uso—; y la supervisión del uso de la VPN.

Es recomendable utilizar una VPN que cumpla las normas del sector y que pertenezca a un proveedor de confianza con un historial probado en el seguimiento de las mejores prácticas de ciberseguridad.

Ningún software VPN garantiza una protección perfecta y no debe confiarse únicamente en él para la gestión del acceso. Es beneficioso incorporar, además el modelo de seguridad de confianza cero que se basa en la autenticación continua de los usuarios, así como otros controles, que incluyen la supervisión continua de la red, la gestión de accesos privilegiados y la autenticación segura multicapa.

Además, es necesario considerar la seguridad que ofrecen las distintas VPN que pueden diferir en lo que ofrecen. Hay mucho más bajo la superficie que la simple creación de una conexión a un servidor, y cada servicio puede incluir varias medidas de seguridad adicionales.