La VPN de acceso remoto, también conocida como VPN profesional, es una tecnología importante que ha existido durante décadas. Permite a los trabajadores remotos conectar sus dispositivos a la red corporativa a través de Internet pública; permitiéndoles operar como si estuvieran dentro de la red corporativa. En este sentido, la VPN profesional difiere de la VPN personal utilizada para crear el anonimato al navegar por la web.
Sobre el Autor
Peter Ayedun es el CEO de TruGrid.
El problema con la VPN de acceso remoto es que ya no son adecuados para una fuerza de trabajo móvil con amenazas de seguridad cibernética desenfrenadas e incesantes. Para resaltar este problema, un análisis de Gartner de junio de 2019 predice que para 2023, el 60% de las empresas eliminarán su VPN de acceso telefónico a favor del acceso a la red de confianza cero.
Avancemos rápidamente hasta junio de 2020 y está claro que la transición al trabajo a domicilio después de la pandemia COVID-19 ha expuesto más las debilidades de la VPN y, por lo tanto, puede acelerar su desaparición más rápido de lo que Gartner había anticipado.
Según el DHS de EE. UU. Del 8 de abril de 2020, "el aumento del teletrabajo ha aumentado el uso de servicios potencialmente vulnerables, como las redes privadas virtuales (VPN), aumentando la amenaza para las personas y las organizaciones". Los problemas encontrados por VPN pueden dividirse ampliamente en vulnerabilidades de USUARIO FINAL y vulnerabilidades de GATEWAY.
Vulnerabilidades del usuario final de VPN
La falla original de la VPN es que genera demasiada confianza entre el dispositivo remoto y la red corporativa. Si bien el túnel VPN entre un trabajador remoto y la red corporativa es criptográficamente seguro, la confianza entre los dos se explota fácilmente. Como resultado, las amenazas (incluido el ransomware) que afectan el dispositivo o la red del trabajador remoto pueden viajar e infectar la red corporativa. La segmentación de una red corporativa para limitar el acceso a través de VPN es una tarea desalentadora y no garantiza la seguridad contra el movimiento de amenazas laterales.
El uso de dispositivos suministrados por la empresa con medidas de seguridad corporativas puede minimizar, pero no eliminar, las amenazas. Permitir que los trabajadores remotos usen dispositivos personales para conectarse a redes corporativas a través de VPN aumenta en gran medida el riesgo para la empresa porque los dispositivos personales a menudo no tienen las protecciones instaladas en los dispositivos empresariales.
Cuando un trabajador remoto está alejado de la red corporativa, las amenazas como el phishing de correo electrónico, los ataques de malware y la filtración de datos tienen más probabilidades de tener éxito. El problema se volvió tan grave que la NASA lanzó un boletín el 6 de abril de 2020, alentando a los empleados y contratistas que trabajan de forma remota a través de VPN a "abstenerse de abrir su correo electrónico personal o redes sociales no relacionadas en el trabajo en sus sistemas / dispositivos informáticos de la NASA. Además, tenga cuidado antes de hacer clic en enlaces en SMS y redes sociales ".
La NASA emitió las advertencias después de presenciar una duplicación de los intentos de phishing por correo electrónico, un aumento exponencial de los ataques de malware y una duplicación de los sitios web bloqueados por los sistemas de mitigación de la NASA.
Esencialmente, usar una VPN corporativa es como colocar un dispositivo remoto en la red corporativa, sin todas las garantías de la red corporativa. Los ataques exitosos en un dispositivo remoto o red pueden ir fácilmente a la red corporativa.
Vulnerabilidades de la puerta de enlace VPN
En la red corporativa donde las puertas de enlace VPN a menudo se alojan, todavía hay múltiples vulnerabilidades. Al igual que todas las tecnologías, las puertas de enlace VPN deben ser parcheadas constantemente para mejorar la seguridad. Sin embargo, debido a que están expuestos a todo el mundo, son mucho más específicos que la mayoría de los sistemas. Por lo tanto, la VPN debe actualizarse con más frecuencia. El desafío es que muchas empresas confían en que sus VPN estén operativas durante todo el día para proporcionar acceso a los empleados y contratistas que trabajan de forma remota. Esto a menudo significa que los dispositivos de puerta de enlace VPN permanecen sin parchear durante meses o años y, por lo tanto, son más vulnerables a nuevos ataques.
La escala de ataques en las puertas de enlace VPN se ilustra mejor con las numerosas advertencias de seguridad emitidas por la NSA de los Estados Unidos y el NSC del Reino Unido durante varios meses. Las vulnerabilidades están tan extendidas que las agencias gubernamentales lanzaron nuevos boletines poco después de que se lanzaron nuevos parches. Los problemas detectados fueron tan graves que algunos fueron autenticaciones previas, lo que significa que se podía otorgar acceso a múltiples sistemas VPN afectados sin una conexión exitosa.
Entre las muchas organizaciones que han sucumbido a las vulnerabilidades de la puerta de enlace VPN, una de las más notables es Travelex del Reino Unido. Travelex es el líder mundial en transacciones de divisas con presencia en 30 países donde intercambia monedas por 40 millones de clientes cada año. Debido a una vulnerabilidad de VPN que no se ha corregido, toda la operación de Travelex se paralizó durante más de dos semanas, a partir del 31 de diciembre de 2019. Se informó el 9 de abril de 2020 que Travelex había pagó € 2.3 millones en rescate por ataques cibernéticos para restaurar las operaciones. Se dice que el ataque le costó a sus estados financieros del primer trimestre más de € 30 millones. ¡El 22 de abril, Travelex sale a la venta!
Detente un momento para pensar en esto ... ¡la compañía de intercambio de viajes más grande del mundo puede cerrar debido a un ataque exitoso en su sistema VPN!
Acceso de red no confiable
La solución a los enormes problemas expuestos por las debilidades de la VPN es un sistema que no crea confianza entre los dispositivos de teletrabajo y la red corporativa; y que autentica a los trabajadores remotos en la nube o lejos de la red corporativa antes de otorgar acceso solo a sistemas autorizados. Los sistemas que entran en esta categoría a menudo se denominan acceso de red de confianza cero.
Un sistema efectivo de confianza cero admitirá cualquier dispositivo remoto (personal o emitido por la empresa). Permitirá que los dispositivos remotos se conecten a un corredor o puerta de enlace en la nube para la autenticación inicial que requiera un sistema de múltiples factores. Solo cuando esta autenticación independiente sea exitosa, el trabajador remoto tendrá acceso al sistema específico para el cual está autorizado. Un sistema efectivo de confianza cero no permitirá que ninguna amenaza en el dispositivo o la red del trabajador remoto atraviese la red corporativa y se actualizará automáticamente contra nuevas amenazas.