Las VPN de acceso remoto traen consigo al ransomware

Pasa un día más y, desafortunadamente, nos encontramos con otro ciberataque introducido accidentalmente por una VPN. 

Según un artículo de Computer Weekly,Travelex sufrió un ataque por parte del ransomware Sodinokibi, que desactivó los sistemas de TI de la empresa de cambio de divisas en la víspera de Año Nuevo. El ataque fue posible debido a que la empresa olvidó parchear sus servidores de VPN Pulse Secure. 

Desgraciadamente, este tipo de noticias son cada vez más comunes, ya que las VPN son el objetivo favorito de los cibercriminales. 
  

Obsoleto = objeto de ataques 

Cuando aparecieron las VPN de acceso remoto, hace 30 años, eran maravillosas. Poder acceder remotamente desde cualquier lugar era un concepto muy progresista e innovador. Sin embargo, las VPN se crearon en un momento en el que la mayoría de las aplicaciones residían en el centro de datos, que se podía proteger fácilmente con un montón de dispositivos de seguridad de la red. 

Sin embargo, el mundo ha cambiado, ya que las aplicaciones internas se han movido a la nube. Usted tiene que proporcionar la buena experiencia que esperan los usuarios, siendo consciente de que el 98 por ciento de los ataques de seguridad vienen de Internet. 

Las VPN de acceso remoto requieren que los servidores estén expuestos a Internet y que los usuarios estén colocados en la red corporativa a través de túneles estáticos que se protegen de las brechas con cortafuegos. Ahora, la misma tecnología que se creó para proteger a las empresas las ha hecho vulnerables al malware moderno y a los ataques de ransomware.  

¿Y cómo pasa esto? 
  

Impacto de un ataque de malware 

Precisamente la semana pasada, Medium.com publicó un artículo en el que describía cómo se introduce el ransomware Sodinokibi a través de una VPN. Veamos ahora a nivel general el proceso típico con el que se introduce un malware en una red a través de una vulnerabilidad de la VPN: 

1. Los cibercriminales analizan Internet para buscar servidores VPN de acceso remoto no parcheados. 
2. Consiguen el acceso remoto a la red (sin nombres de usuario ni contraseñas válidas). 
3. Los atacantes ven los registros y las contraseñas guardadas en texto plano. 
4. Consiguen el acceso de administrador de dominio. 
5. Hay movimiento lateral en toda la red. 
6. Se deshabilitan la autenticación multifactor (MFA) y la seguridad del punto final. 
7. El ransomware (por ejemplo, Sodinokibi), entra en los sistemas de la red. 
8. Piden un rescate a la empresa. 

Puntos negativos de la VPN 

Muchas organizaciones todavía piensan que las VPN de acceso remoto son necesarias. En algunos casos, es cierto, pero la realidad es que la mayoría de las veces, las VPN abren la red a Internet y, como resultado, el negocio se expone a un mayor riesgo.   

• Se olvidan de parchear o lo dejan para después: acordarse o encontrar un momento para parchear los servidores VPN es simplemente complicado. A los equipos se les pide hacer más con menos, lo que suele suponer un desafío humano que lleva a vulnerabilidades de seguridad. 
• Se coloca a los usuarios en la red: esto podría ser el causante original de todos los problemas relacionados con las VPN de acceso remoto. Para que las VPN funcionen, las redes deben poderse descubrir. Esta exposición hace que la organización sea susceptible a ser atacada.  
• El movimiento lateral crece exponencialmente: una vez el malware está en la red, se puede propagar de forma lateral, a pesar de los esfuerzos de segmentar la red (que es un proceso ya complejo de por sí). Como se ha mencionado anteriormente, esto puede llevar al deshabilitamiento de otras tecnologías de seguridad, como la autenticación multifactor y la seguridad del punto final. 
• La reputación de la empresa: sus clientes confían en que protege su información y en que les proporciona el mejor servicio. Para hacerlo, las empresas tienen que ser capaces de protegerse a sí mismas. Las noticias relacionadas con su empresa y un ataque de ransomware tienen un impacto negativo en la reputación de la marca. 

Razones para adoptar un nuevo enfoque 

El impacto negativo de la VPN ha llevado a la búsqueda de una solución alternativa. Gartner explica que todo el movimiento en cuanto a este tema ha dado lugar a un mundo en el que "para 2023, el 60 % de las empresas eliminarán gradualmente la mayoría de sus redes privadas virtuales (VPN) de acceso remoto a favor del acceso a la red de confianza cero (ZTNA)". 

Si está considerando otras alternativas, como ZTNA, tenga en cuenta las siguientes ideas al plantearlo a sus ejecutivos: 

• Minimizar el riesgo empresarial: ZTNA permite el acceso a aplicaciones empresariales específicas (basándose en políticas) sin necesidad de tener acceso a la red. Además, la infraestructura no se espone, por lo que ZTNA hace que las aplicaciones y los servicios no estén visibles en Internet. 
• Reducir los costos: a menudo, ZTNA se puede proporcionar como un servicio completamente en la nube, por lo que no hay que comprar, parchear ni administrar servidores. Esto no se limita exclusivamente a los servidores VPN. Todas las puertas de enlace VPN entrantes pueden reducirse o eliminarse por completo (cortafuegos externos, DDoS, VPN, cortafuegos internos, equilibrador de carga, etc.). 
• Proporcionar una mejor experiencia de usuario: dado que los servicios ZTNA en la nube tienen una mayor disponibilidad si se comparan con los dispositivos de puerta de enlace VPN entrantes, los usuarios remotos disfrutan de una experiencia de acceso más rápida y fluida sin importar la aplicación, el dispositivo o la ubicación.  

ATENCIÓN: no todas las soluciones ZTNA son iguales. Desconfíe de los proveedores que se consideran de confianza cero pero continúan colocando a los usuarios en la red y exponiendo las aplicaciones empresariales a Internet. 

Si quiere reemplazar su VPN de acceso remoto, le resultará útil el siguiente enlace. Mientras tanto, no se olvide de parchear sus servidores VPN y de asegurarse de anticiparse a los ataques, para lo cual puede visitar los siguientes recursos indispensables:    

• Tres formas en que ZTNA le protege del ransomware 
    
• Descubra las áreas de exposición de la red con la herramienta de análisis de la superficie de ataque de Internet de Zscaler. 

Christopher Hines es el jefe de marketing de productos para Zscaler Private Access y Z App.