Las vulnerabilidades de las VPN exponen la ciberseguridad de las empresas y su interconectividad

Llegó el momento de reevaluar la estrategia actual que se está siguiendo para prevenir la conectividad remota frente a los recursos informáticos dentro y fuera de la red. Hoy es más fácil para un cibercriminal ‘hackear’ el computador personal de una persona, que el firewall de una organización, y al final el resultado es el mismo: acceder a la red interna de la empresa.

Las organizaciones tradicionalmente usan para interconectarse con sus recursos remotos y extender el perímetro a través de las redes públicas soluciones de VPN (Redes Privadas Virtuales); sin embargo, este tipo de desarrollos fueron creados hace más de 20 años y esto hace que tengan una deuda tecnológica muy grande y además, su objetivo principal no es ser una herramienta de seguridad.

El nivel de exposición para una red empresarial que trabaja con VPN radica en las incontables vulnerabilidades que pueden ocurrir. Tan sólo si consultamos el término: ‘Top VPN Vulnerabilities’, la industria maneja más de 721 diferentes referencias, lo que no da una idea clara, sobre el número de riesgos existentes cuando se usan este tipo de tecnología. 

Frente a esta problemática, la solución de Perímetro Definido por Software (SDP) aparece como la arquitectura de seguridad más moderna, que reemplazará a las actuales VPN y posibilita la transformación de los negocios al implementar los principios de Zero Trust. Su gran diferenciador radica en que facilita la adopción de la nube, enfocándose en la identidad del usuario en lugar de la dirección IP, brindando una mejor alternativa, simplificando la operación de administradores de infraestructura y mejorando la experiencia de usabilidad, reduciendo costos y minimizando los riesgos.

Los principales beneficios en la adopción de la solución SDP está en que garantiza que los recursos interconectados de la compañía, tanto los internos como los externos estén protegidos. Su acceso es restringido, controlado y monitoreado según las políticas que definan las áreas de seguridad corporativa. Para poder acceder a los recursos, primero se debe autorizar previamente. Su implementación evita que los recursos compartidos sean susceptibles a los ataques más comunes usados por los cibercriminales, como: ataques laterales, escaneo de puertos de las IP’s, server scanning, denial of service, inyección de código y exploits. A través de las características de acceso seguro, microsegmentación y Ringfence, es posible disminuir la superficie de ataque a los delincuentes, y esto se consigue al aislar los recursos a los cuales el usuario tiene acceso. 

Ayudado por una estrategia de microsegmentación se garantiza que sólo las personas autorizadas puedan acceder, todo lo demás que esté en ese segmento de red, será invisible para el usuario. Esto evita el movimiento lateral, mejorando la postura de seguridad de este tipo de conexiones, disminuyendo muchas vulnerabilidades y problemas de seguridad, propias de las soluciones tradicionales de las VPN. Garantiza el acceso remoto de quienes trabajan desde sus casas a los recursos de la compañía de forma segura, aplicando controles de acceso y revisión de postura en la autenticación, así como el cumplimiento de condiciones en la conexión, por ejemplo, en un horario determinado, desde un dispositivo previamente validado por la organización, con ciertas características de software predefinidas, tener un antivirus y que esté actualizado o la última versión del sistema operativo  o desde cierto país, lo cual reduce drásticamente la superficie de exposición.

Las vulnerabilidades que se presentan cuando se configuran políticas para VPN, generalmente son dos: son definidas para un acceso amplio a la red o son difíciles de mantener actualizadas, esto sin mencionar los innumerables retos logísticos y de aprovisionamiento. Para contrarrestar este riesgo, es necesario simplificar el acceso VPN para facilitar el progreso y la innovación al remover capas de innecesaria complejidad, y que así los negocios puedan implementar nuevas formas de trabajar desde el desarrollo de aplicaciones hasta la adopción de la nube.

Debido a que algunas empresas no cuentan con los recursos suficientes para adquirir soluciones privadas, desarrollan sus propias soluciones usando un software libre, esto facilita el ataque contra los protocolos y permite a los atacantes determinar la dirección IP virtual de una víctima asignada por el servidor, saber si hay una conexión activa a un sitio web determinado, identificar los números exactos de seq y ack contando los paquetes cifrados y/o examinando su tamaño y finalmente inyectar datos en el flujo TCP y secuestrar conexiones. Las VPN son fuertes de acuerdo con el algoritmo criptográfico que se use para su construcción, pero hay soluciones que siguen usando criptografía simétrica, hashing y esto permite vulnerar este tipo de tecnologías.

Usar soluciones de acceso basadas en tecnologías antiguas como las VPN significa un evidente riesgo para las organizaciones, principalmente porque encuentran grandes deficiencias entre otros factores porque almacenan de manera insegura cookies de autenticación y de sesión en la memoria y/o en archivos log, lo que permite a un atacante capturarlas y usarlas para evadir el proceso de autenticación e infiltrarse en la red de una compañía.