Los servicios de redes privadas virtuales (VPN) se convirtieron en herramientas esenciales para las empresas modernas, sobre todo desde que fueron una herramienta fundamental en medio de la avalancha de trabajo remoto impulsada por la pandemia de 2020.
Dado que muchas organizaciones se han asentado en un modelo de lugar de trabajo híbrido, las VPN de acceso remoto se convirtieron en un elemento básico dentro de las herramientas de conectividad y seguridad de la red.
Las VPN ayudan a proteger la información confidencial mediante un túnel cifrado para los datos corporativos que viajan entre las redes de la empresa y los dispositivos de los empleados, sin comprometer la productividad de los empleados ni paralizar las operaciones de misión crítica de las empresas.
En una era en la que la explotación masiva de brechas de seguridad, los ataques a la cadena de suministro en gran escala y otras violaciones de las defensas corporativas son cada vez más comunes, aumentan las preocupaciones sobre la capacidad de las VPN para salvaguardar los datos corporativos y la posibilidad de que este software en sí mismo sea otra fuente de ciberriesgo.
Por otra parte, las VPN también han sido objeto de un creciente escrutinio debido al aumento de vulnerabilidades de seguridad y exploits dirigidos a ellas, a veces incluso antes de que se lancen los parches.
El atractivo para los agentes de los Estados-nación y los ciberdelincuentes es innegable, ya que las representan potencialmente las llaves del reino corporativo.
Los ciberdelincuentes dedican importantes recursos a la búsqueda de puntos débiles, lo que ejerce una mayor presión sobre las organizaciones y subraya la importancia de unas prácticas sólidas de mitigación de riesgos.
Esto nos lleva a preguntarnos: ¿podrían las VPN empresariales aumentar la superficie de ataque?
Las llaves del reino
Una VPN encamina el tráfico del usuario a través de un túnel cifrado que protege los datos contra miradas indiscretas. La principal razón de ser de una VPN empresarial es crear una conexión privada a través de una red pública, o Internet, para permitir a los trabajadores dispersos geográficamente acceder a las redes internas como si estuvieran sentados en sus mesas de oficina, convirtiendo así sus dispositivos en parte de la red corporativa.
Al igual que un túnel puede colapsarse o tener fugas, un dispositivo VPN vulnerable puede enfrentarse a todo tipo de amenazas. El software obsoleto suele ser una de las razones de un ataque exitoso. La explotación de una vulnerabilidad VPN puede permitir a los hackers robar credenciales, secuestrar sesiones de tráfico cifrado, ejecutar remotamente código arbitrario y darles acceso a datos corporativos sensibles.
Este Informe sobre vulnerabilidades de VPN 2023 ofrece una práctica visión general de las vulnerabilidades de VPN notificadas en los últimos años.
Al igual que cualquier otro software, las VPN requieren mantenimiento y actualizaciones de seguridad para parchear las vulnerabilidades. A las empresas les cuesta mantenerse al día con estas actualizaciones, entre otras cosas, porque las VPN no suelen tener tiempos de inactividad planificados, sino que se espera que estén en funcionamiento en todo momento.
Se sabe que los grupos de ransomware a menudo tienen como objetivo servidores VPN vulnerables y, al obtener acceso al menos una vez, pueden moverse por una red para hacer lo que les plazca, como cifrar y retener datos para pedir un rescate, exfiltrarlos, llevar a cabo espionaje y mucho más.
En otras palabras, la explotación exitosa de una vulnerabilidad allana el camino para accesos maliciosos adicionales, lo que potencialmente puede conducir a un compromiso generalizado de la red corporativa.
Abundan los ejemplos de ataques mediante vulnerabilidades en VPN
Recientemente, Global Affairs Canada inició una investigación sobre una violación de datos, através de un ataque a su solución VPN, que llevaba en curso al menos un mes. Al parecer, los piratas informáticos accedieron a un número no revelado de correos electrónicos de empleados y a varios servidores a los que se habían conectado sus portátiles desde el 20 de diciembre de 2023 hasta el 24 de enero de 2024. De más está decir que las violaciones de datos conllevan costes inmensos: 4,45 millones de dólares de media, según el informe de IBM Cost of a Data Breach 2023.
Otro ejemplo: en 2021, agentes de amenazas alineados con Rusia atacaron cinco vulnerabilidades en productos de infraestructura VPN corporativa, lo que hizo necesaria una advertencia pública de la NSA instando a las organizaciones a aplicar los parches lo antes posible o, de lo contrario, se enfrentarían al riesgo de piratería y espionaje.
Otro motivo de preocupación son los fallos de diseño que no se limitan a ningún servicio VPN concreto. Por ejemplo, las vulnerabilidades TunnelCrack, descubiertas recientemente por investigadores y que afectan a muchas VPN corporativas y de consumo, podrían permitir a los atacantes engañar a las víctimas para que envíen su tráfico fuera del túnel VPN protegido, espiando sus transmisiones de datos.
Las actualizaciones de seguridad críticas son necesarias para tapar este tipo de brechas de seguridad, por lo que es imprescindible estar al tanto de ellas.
La concienciación de los empleados también es fundamental, ya que los delincuentes utilizan, en ocasiones, sitios web engañosos para que entreguen sus credenciales de acceso a la VPN. Además, pueden el robo del dispositivo de un empleado, puede ser una llave para infiltrarse en redes internas y comprometer o filtrar datos, o espiar discretamente las actividades de la empresa.
Proteger los datos
Una empresa no debe confiar únicamente en su VPN como medio para proteger a sus empleados y su información interna, aunque no sustituya a la protección habitual de los terminales ni a otros métodos de autenticación.
Hay que considerar la posibilidad de implantar una solución que evalúe las vulnerabilidades y a aplique parches; las actualizaciones de seguridad que emiten los fabricantes de software, incluidos los proveedores de VPN, son relevantes. En otras palabras, el mantenimiento regular y las actualizaciones de seguridad son una de las mejores formas de minimizar las probabilidades de éxito de un ciberincidente.
Medidas adicionales para reforzar la VPN
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y la Agencia de Seguridad Nacional (NSA) de Estados Unidos disponen de un práctico folleto en el que se describen varias precauciones, entre las que se incluye: reducir la superficie de ataque; utilizar un cifrado fuerte para codificar los datos corporativos sensibles; una autenticación robusta —como un segundo factor añadido en forma de código de un solo uso—; y la supervisión del uso de la VPN.
Es recomendable utilizar una VPN que cumpla las normas del sector y que pertenezca a un proveedor de confianza con un historial probado en el seguimiento de las mejores prácticas de ciberseguridad.
Ningún software VPN garantiza una protección perfecta y no debe confiarse únicamente en él para la gestión del acceso. Es beneficioso incorporar, además el modelo de seguridad de confianza cero que se basa en la autenticación continua de los usuarios, así como otros controles, que incluyen la supervisión continua de la red, la gestión de accesos privilegiados y la autenticación segura multicapa.
Además, es necesario considerar la seguridad que ofrecen las distintas VPN que pueden diferir en lo que ofrecen. Hay mucho más bajo la superficie que la simple creación de una conexión a un servidor, y cada servicio puede incluir varias medidas de seguridad adicionales.
Reflexiones finales
Aunque las VPN son a menudo un componente crucial para el acceso remoto seguro, pueden ser —especialmente en ausencia de otras prácticas y controles de seguridad— objetivos jugosos para los atacantes que buscan colarse en las redes corporativas.
Varios grupos de amenazas persistentes avanzadas (APT) han aprovechado recientemente vulnerabilidades conocidas en el software de las VPN para robar credenciales de usuario, ejecutar código de forma remota y extraer información valiosa. La explotación exitosa de estas vulnerabilidades suele allanar el camino para accesos maliciosos adicionales, lo que puede conducir a compromisos a gran escala de las redes corporativas.