CIBERSEGURIDAD

Por qué un aumento en el uso de VPN de trabajadores remotos pone en riesgo la seguridad empresarial

0 160 4 minutos de lectura


Para muchos de nosotros, nuestro hogar se ha convertido en nuestro lugar de trabajo durante los últimos meses, y el regreso completo a la oficina todavía parece una perspectiva remota.

La pandemia de COVID-19 ha demostrado que los empleados de diferentes industrias pueden trabajar de manera eficiente desde casa. Un reciente Encuesta de PwC descubrió que el 84% de los empleados se sienten capaces de desempeñar su función con la misma eficacia cuando trabajan de forma remota que en la oficina. PwC en sí espera la mayoría de sus 22.000 empleados en el Reino Unido pasan parte de su tiempo trabajando de forma remota, incluso después de que pase la crisis del coronavirus.

Los negocios empresariales equipan al personal con dispositivos móviles como computadoras portátiles y teléfonos inteligentes para realizar las tareas diarias. Esto hace que la fuerza de trabajo sea mucho más móvil, pero impone una carga implícita al personal para garantizar que siempre esté en línea. La seguridad es manejada por el sistema operativo subyacente y las soluciones de soporte, como una red privada virtual (VPN).

Si bien la tecnología VPN comercial existe desde al menos 1996, ha alcanzado un nuevo nivel de importancia debido al creciente número de empleados que acceden a los recursos de la red corporativa de forma remota.

Como resultado, el Centro Nacional de Seguridad Cibernética (NCSC) actualizó recientemente su Consejo sobre el uso de VPN por parte de los trabajadores a domicilio. El consejo incluye una nueva sección sobre el tema de «Túneles administrados» que, como se describe en la guía, le permiten acceder a servicios específicos fuera de la VPN. Por ejemplo, pueden ser útiles para reducir la carga en las redes causada por los servicios de videoconferencia o cuando la función de una aplicación requiera que se comunique directamente con la red, como los ayudantes de portal cautivo Wi-Fi.

Nuestra propia investigación ha descubierto que sigue habiendo preocupaciones importantes en torno al uso de VPN y su capacidad para proporcionar una protección suficiente contra amenazas comunes.

En particular, creemos que se requiere más orientación para las organizaciones más grandes que, según nuestra experiencia, utilizan ampliamente soluciones basadas en TLS de terceros para su capacidad de administración y conjuntos de funciones extendidas, en lugar de las soluciones integradas basadas en IPSec que favorece el NCSC. Nuestra propia investigación respalda la opinión del NCSC de que los túneles divididos son riesgosos. Sin embargo, esperamos que esta forma de configuración, y los riesgos asociados, persistan. La usabilidad vendrá potencialmente a expensas de la seguridad en lo que respecta a las configuraciones de VPN.

Nuestra propia investigación se basa en la orientación del NCSC. En cuanto al tema de los riesgos del portal cautivo, por ejemplo, un dispositivo de enrutador doméstico comprometido debe considerarse equivalente a un portal capturado, ya que puede mostrar los mismos comportamientos de un portal cautivo. Podría decirse que es incluso peor en el sentido de que no tiene que «anunciar» estos comportamientos y, por lo tanto, puede ser mucho más difícil de reconocer para el software o el usuario de VPN. El equipo de Wi-Fi doméstico generalmente queda fuera del control de la empresa, está notoriamente mal parcheado y es un objetivo frecuente de ataques a gran escala. Por lo tanto, este es un caso de uso importante que no recibe la atención que merece.

Además, durante el proceso de lidiar con el portal cautivo o WiFi comprometido, es importante reconocer que la VPN es esencialmente incapaz de proporcionar a la computadora las protecciones por las que aboga el NCSC. Por lo tanto, esto coloca a la tecnología VPN en una posición insostenible y deja a la empresa expuesta a todos los riesgos que describe el NCSC.

Sugerimos que las empresas analicen cómo aplican las mejores prácticas y configuran sus VPN de forma adecuada para equilibrar el enigma de la conectividad y la seguridad. Alentamos a las organizaciones a revisar la compensación y considerar su apetito por el riesgo para que puedan aplicar los procesos, procedimientos y tecnología correctos para abordar sus necesidades comerciales en su totalidad. Esos procesos podrían incluir:

  • Procedimientos y sistemas de respuesta a emergencias: Suponga que los ataques ocurrirán durante este tiempo y que es más probable que se produzcan compromisos exitosos de lo habitual. Con esto en mente, tómese un tiempo para facilitar una sesión de planificación con los actores clave de seguridad y TI para considerar sus capacidades de respuesta en caso de sospecha de compromiso o incumplimiento;
  • Una línea directa de soporte de seguridad: Proporcionar a los usuarios y clientes un número o una dirección que puedan usar para hablar con alguien sobre los ataques podría ser una herramienta poderosa para reducir los niveles de ansiedad por la crisis y mejorar las posturas de seguridad;
  • Copia de seguridad y recuperación ante desastres: Dos amenazas reales que posiblemente se han intensificado debido a la pandemia son el ransomware y la denegación de servicio. Tómese un tiempo para revisar el estado de sus copias de seguridad y la preparación de sus datos y procesos de recuperación de desastres;
  • Equipe a los usuarios con la información correcta: Los usuarios son su primera línea de defensa, por lo que cuanto mejor educados estén sobre las amenazas cibernéticas, mejor equipados estarán para ayudarlo a combatir los ataques entrantes. Ejerza vigilancia y comparte información.

En resumen, damos la bienvenida a la guía NCSC actualizada relacionada con VPN, ya que refuerza su importancia para muchas organizaciones. Además, junto con nuestra propia investigación reciente, destaca que es solo una consideración en cualquier estrategia de seguridad de trabajo remoto.

Las contramedidas técnicas contra los intentos de phishing y la detección de actividades maliciosas son mucho más sólidas que en el pasado. El ser humano, por otro lado, es más complejo y difícil de predecir en ciertos escenarios, mientras que es fácil de manipular en otros.

La conciencia de seguridad educa a los empleados sobre las técnicas de manipulación que podrían usarse en su contra y también destaca los beneficios de adaptar su comportamiento de seguridad de la información. Desarrollar la resiliencia frente a los ataques de ingeniería social proporciona una importante línea de defensa.

Contribución de Stuart Reed, director del Reino Unido, Ciberdefensa naranja

Publicaciones relacionadas

Cómo potenciar un futuro impulsado por la seguridad

Europa supera a EE. UU. Para convertirse en el mayor perpetrador de ciberdelito mundial

Vulnerabilidad «severa» encontrada en Libgcrypt

El auge de los bloqueadores de anuncios: ¿qué pasó con la privacidad y la seguridad?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar