Puntos de entrada comunes #2 – VPN
En nuestro último post sobre los puntos de entrada comunes, hablamos de cómo el ITaaS puede ser uno de los principales eslabones débiles, proporcionando a los atacantes la entrada a una infraestructura. Otro punto de entrada común para los atacantes, pero a menudo ignorado, es la red privada virtual (VPN) de una empresa. Las políticas de trabajo desde casa y de «traiga su propio dispositivo» (BYOD) han dado lugar a una ampliación de las superficies de ataque, lo que ha desencadenado una mayor adopción de las VPN para ofrecer a las empresas una capa adicional de seguridad.
Las VPN ofrecen importantes y amplias ventajas para la seguridad de las organizaciones al mejorar la protección de los puntos finales. En lugar de conectarse a través de un ISP, las VPN crean un túnel impenetrable entre tu entorno de IT y tus empleados. Puedes utilizar una VPN para controlar mejor el acceso a los sistemas, concediéndolo a los empleados independientemente de su dispositivo o ubicación, a la vez que impides el acceso no deseado para proteger los datos sensibles. Las VPN también pueden ayudarte a obtener más visibilidad de la red y alertarte de las anomalías, facilitando la identificación de posibles intrusiones.
Sin embargo, al igual que la mayoría de los protocolos de seguridad, el mantenimiento de la seguridad se reduce a que los individuos actúen con intención y cuidado. Cuando eso falla, otras medidas de seguridad harán lo mismo, como hemos visto recientemente con uno de nuestros clientes.
Un ejemplo real de mala seguridad en una VPN
La empresa iba por buen camino, exigiendo a los empleados que utilizaran una VPN y una autenticación multifactorial (AMF) para acceder a su red. Sin embargo, un día el jefe de control de calidad de la empresa recibió una notificación emergente de AMF en su dispositivo móvil. Sin pensarlo mucho, hizo clic en «Permitir» en lugar de ignorarla o rechazarla.
Nuestra investigación reveló que cuando el usuario aprobó la AMF, permitió sin saberlo que un atacante accediera a la VPN de la empresa a través de su cuenta. Una vez en el sistema, el atacante comenzó inmediatamente a escanear la red, entrando finalmente a través de un protocolo de escritorio remoto (RDP) a una instancia de AWS EC2 con credenciales administrativas y robando la clave secreta de un rol.
Las VPN son una poderosa herramienta de seguridad, pero sólo si se utilizan correctamente. Al conocer en profundidad cómo se pueden utilizar para infiltrarse en una red y, posteriormente, establecer las mejores prácticas para tu empresa, podrás sacarles el máximo partido.
La creciente importancia de las VPN
La pandemia mundial aceleró rápidamente una tendencia ya en alza: el trabajo desde casa. Como los puestos de trabajo en casa rara vez son tan seguros como deberían serlo, las empresas tuvieron que renovar rápidamente sus estrategias de seguridad. Además de crear nuevas directrices para los empleados, endurecer los sistemas de protección del correo electrónico y asegurarse de que los servidores y el software están actualizados, muchas empresas recurrieron a las VPN.
Desde el inicio de la pandemia, el 68% de las empresas han empezado a utilizar una VPN o han aumentado su uso. Dado que Gartner espera que casi el 50% de los empleados sigan trabajando desde casa incluso después de que la pandemia haya quedado totalmente atrás, no es de extrañar que el mercado de las VPN esté valorado en casi 46.000 millones de dólares este año y que se espere que alcance más de 91.000 millones en 2026.
Una mirada técnica a las VPN
Cuando se utiliza una VPN, los datos se envían desde una máquina a un punto de la red VPN que los encripta antes de enviarlos a través de internet. Otro punto de la VPN descifra los datos y los envía al recurso deseado de internet, como la intranet de tu empresa o un servidor web o de correo electrónico. Posteriormente, ese recurso envía los datos de vuelta a un punto de la red VPN, donde se encriptan y se envían a través de internet a otro punto VPN. Ese último punto descifra los datos y los envía a una máquina.
Las VPNs suelen utilizar una o varias tecnologías como:
- PPTP (Protocolo de Tunelización de Punto a Punto): El PPTP establece un túnel de paquetes de datos utilizando un protocolo GRE para su encapsulación, pero no realiza ninguna encriptación. Esta tecnología no es muy segura y, por lo tanto, no se aconseja para uso empresarial.
- IPSec: IPSec utiliza una combinación de tecnologías y protocolos, por lo que es una opción mucho mejor. El protocolo ESP se utiliza para el encapsulado de paquetes, y el cifrado se realiza mediante HMAC-SHA1/SHA2, AES-GCM, 3DES-CBC o AES-CBC.
- L2TP (Protocolo de Túnel de Capa 2): Las empresas pueden utilizar L2PT para hacer túneles y combinarlo con IPSec para obtener una seguridad adicional.
- SSH (Escudo Seguro): el SSH puede utilizarse para la creación de túneles y el cifrado en una red VPN.
¿Cómo pueden los atacantes utilizar las VPN para infiltrarse en una red?
Una de las principales conclusiones del Informe de Verizon sobre Investigaciones de Fugas de Datos de 2021 es que las empresas que no utilizaron VPN ni AMF representaron un porcentaje significativo de las víctimas atacadas durante la pandemia
Las VPN y los RDP son vulnerables si no se toman las medidas adecuadas para protegerlos. Son puntos de entrada fáciles porque están constantemente en funcionamiento y activos. Al tener que ser actualizados mediante parches manuales, algo que a las empresas a menudo les cuesta mantener al día, son más vulnerables.
Los atacantes pueden utilizar ataques de fuerza bruta o ganar el control a través de una situación como la que hemos descrito anteriormente, cuando un empleado acepta por descuido una solicitud de AMF sin pensarlo bien. Del mismo modo, los inicios de sesión y las contraseñas débiles no son rivales para los hackers expertos. Y la lista continúa.
Las mejores prácticas para asegurar las VPN
Como ocurre con muchas cosas en el ámbito de la ciberseguridad, una vez que se han sentado las bases de la seguridad, la protección adicional se reduce a la aplicación de pequeños ajustes de comportamiento y de políticas.
Tal y como hizo nuestra empresa en el ejemplo que mencionamos, el uso de la AMF es un paso importante, pero debe estructurarse de la forma adecuada. Es demasiado fácil que un empleado con exceso de trabajo o distraído se convierta en una amenaza interna involuntaria cuando hace clic sin pensarlo en un botón de «Permitir» o «Denegar» de una notificación emergente. En su lugar, la AMF debería obligar al usuario a introducir una contraseña de un solo uso o un código de actualización de una aplicación de autenticación de terceros. Requerir la interacción directa del usuario y la introducción de datos debería llevar la atención de la persona a la tarea que tiene entre manos, haciendo que piense en sus acciones y reduciendo drásticamente la posibilidad de un clic accidental.
Con empleados tan dispersos, los responsables de seguridad deben saber dónde se encuentran los usuarios. Usando eso como recurso, pueden establecer sus parámetros de VPN, permitiendo sólo geolocalizaciones específicas que correspondan a los empleados. Cualquier dirección IP o geolocalización sospechosa debe activar una alerta, ser bloqueada inmediatamente y luego investigada.
Próximos pasos
Los hackers, por naturaleza, no tienen escrúpulos y buscan constantemente nuevas formas de atacar a las empresas. Saben que las empresas, especialmente las PYMES, carecen de personal y los empleados están muy dispersos, lo que las convierte en objetivos ideales para los ataques. Por ello, los hackers saben que pueden confiar en los comportamientos descuidados de los empleados y realizar ataques con éxito. Como se ha comentado aquí, hemos visto que incluso el uso de la AMF vinculada a las notificaciones emergentes crea un punto de acceso fácil para los atacantes.
Si has implementado una VPN y la seguridad adicional adecuada para acompañarla, entonces estás en el camino correcto para endurecer tu postura de seguridad. Sin embargo, la supervisión y la investigación de las alertas requieren recursos significativos. Es fácil que esto se deje de lado mientras tu equipo se centra en otros aspectos de la seguridad y en el mantenimiento de tu entorno informático.
Puedes reducir la carga de trabajo de tu equipo y permitirles centrarse en las tareas críticas para el negocio implementando una plataforma SOC. Tendrás una supervisión constante de toda tu infraestructura para detectar y responder a la actividad sospechosa en tiempo real, reduciendo y eliminando drásticamente las amenazas antes de que los atacantes hagan un daño real.