Las redes privadas virtuales (VPN) de las empresas no son tan seguras como en principio se pensaba. Así lo señala un reciente informe titulado ‘VPN Risk report’ (2021), de Zscaler. Entre los puntos clave del informe se destaca que el 94 % de las compañías que usan redes VPN son vulnerables a ataques.
Dispositivos personales en empresas
Entre las primeras vulnerabilidades para las redes VPN está el uso de ordenadores personales para acceder a la red de la empresa. Esta práctica, conocida como BYOD (Bring Your Own Device, traducido, Trae tu propio dispositivo) se ha acelerado debido a la COVID-19, y constituye un enorme factor de riesgo.
En la práctica, los profesionales de TI (Tecnologías de la Información) se ven incapaces de securizar estos dispositivos, por los que incluso con una VPN privada se puede abrir un canal inesperado que lleve hasta el núcleo de los sistemas informáticos de la empresa. El factor humano sigue siendo la mayor de las vulnerabilidades.
Conexión desde cualquier lugar del mundo
El siguiente gran problema deriva de la enorme disponibilidad geográfica de los trabajadores. A diferencia de aquellos que trabajan físicamente dentro de la red de la empresa, el conjunto de empleados de muchas compañías está distribuido por el mundo, haciendo extraordinariamente complejo dar soporte seguro en remoto. De nuevo, TI se manifiesta incapaz de llegar a todo.
A este problema se suma que el propio núcleo de la empresa suele encontrarse, a su vez, fragmentado en diversas nubes alrededor del planeta. Una empresa con sede en Londres puede tener la mitad de la plantilla en China y EE UU mientras sus servidores se ubican en Europa. Esto aumenta la vulnerabilidad, incluso usando redes VPN, debido a las diferentes leyes locales que hay que cumplir.
Creciente número de “puertas” en las VPN
Las VPN son redes privadas con accesos restringidos. Sin embargo, el número de puertas por las que entrar es elevado, y crece en base a los servicios usados. Alguno de ellos requiere su propia puerta a la red, y cada una aumenta el riesgo. Aproximadamente, el 41 % de las organizaciones usaban más de tres puertas para sus VPN y la mitad, más de cinco puertas.
Dado que cada puerta abierta al núcleo digital de la compañía requiere de un mantenimiento elevado, a mayor número de puertas se reduce de forma notable los recursos que cada compañía puede dedicar. O bien aumenta el coste total del sistema.
Exploits contra VPN
De cara a vulnerabilidades “puras”, estas son explotadas mediante exploits, programas o aplicaciones específicas que aprovechan grietas no cubiertas. Según Zscaler, “el 94 % de las compañías que usan redes VPN son vulnerables a ciberataques y exploits”, eliminando la ventaja de usar estos sistemas. Estas vulnerabilidades derivan de ingeniería social, ransomware o malware.
¿Qué desafíos detectan las empresas?
Cuando se pregunta a las propias empresas sobre sus redes VPN, estas señalan seis grandes desafíos o retos:
- Falta de visibilidad de la actividad de los usuarios.
- Altos costes de securización de aplicaciones e infraestructura.
- Dar a los empleados y terceras partes acceso a la red corporativa.
- Una mala experiencia de usuario debido a los backhaul (porción de una red jerárquica que comprende los enlaces intermedios entre el núcleo (backbone), y las subredes en sus bordes. Traducido: sistema lento.
- Alta complejidad de la gestión del acceso remoto.
- Incapacidad de escalar y satisfacer con ello la demanda de los usuarios.
La mayoría de estos problemas están relacionados con una mala funcionalidad y, por tanto, de un servicio que podría prestarse de mejor modo. Con una VPN mal configurada. la nube puede convertirse en una tortura de carga y hacer inviable algunas aplicaciones.
Además, como se ha visto previamente, algunas de las ventajas de las VPN (seguridad) quedan obsoletas cuando se añade un bajo conocimiento, resulta inviable un mantenimiento TI o los usuarios usan sus terminales.
En una segunda pregunta relacionada con las preocupaciones de “poner en peligro su capacidad para mantener su entorno seguro”, el 19 % de las empresas está “muy preocupada”; el 53 %, “preocupada”; y el 28 %, “no preocupada”. De estos últimos, casi todos usan redes no seguras, pero no lo saben.
¿Hay alternativa a las VPN vulnerables?
La mejor alternativa a una VPN vulnerable es una VPN segura bien mantenida, coordinada con cursos de formación a empleados y otros usuarios de la red, así como sistemas en continua actualización. Hacer uso de dispositivos físicos seguros es imprescindible y básico para que las VPN de empresa funcionen.
Al respecto, marcas como Lenovo incluyen la seguridad en la fase de diseño de los dispositivos con tecnología como Think Shield, una plataforma de seguridad personalizable que integra todas las fases del ciclo de vida de los dispositivos: del diseño a su eliminación una vez acabada su vida útil.
Aun así, existen alternativas a la seguridad de las empresas que no parten de una VPN. Algunos sistemas usan mecanismos de cifrado de forma que, incluso interceptando mensajes, es imposible acceder a su contenido. Otras fragmentan sus bases de datos o introducen ruido de manera que, cuando se ha penetrado en el sistema, no es posible extraer información legible.
En el informe de Zscaler se apunta al cifrado y acceso a los datos de modo remoto mediante herramientas como TeamViewer. La idea es trabajar siempre contra la nube y hacerlo de forma que todo quede cifrado de extremo a extremo. Aunque algunos de los retos de vulnerabilidad se mantienen.
La securización de las VPN parte del principio de que estas son seguras de base, están bien mantenidas y reciben automatizaciones frecuentes. Cuando alguno de estos pilares falla o el usuario introduce una vulnerabilidad extra (es, sin duda, la opción más frecuente), el hecho de contar con una red privada virtual no aporta demasiado valor a la compañía.
Imágenes | Nastuh Abootalebi, Setyaki Irham, Vlad Bagacian
Más en El Blog de Lenovo | Cómo escoger el VPN más seguro: que no se te cuelen por la puerta de atrás
Más en El Blog de Lenovo | Cómo configurar una VPN