Un informe de Zscaler sobre VPN evidencia que casi la mitad de las organizaciones están preocupadas por la seguridad de la empresa debido a la inseguridad de las VPN

● El 88 % de las empresas afirman estar preocupadas porque las VPN ponen en peligro su capacidad para mantener un entorno seguro.

● El 90 % de las organizaciones temen que los atacantes se dirijan a ellas a través de VPN propiedad de terceros.

● La satisfacción de los usuarios también es baja, con el 72 % de los usuarios que expresan su frustración debido a una conexiones VPN lentas y poco fiables.

Zscaler,Inc. (NASDAQ: ZS), líder en seguridad en la nube, ha presentado las conclusiones de su informe anual VPN Risk Report, elaborado por Cybersecurity Insiders, que pone de manifiesto que un abrumador número de organizaciones expresan una gran preocupación por la seguridad de sus redes debido a los peligros de las VPN. El informe incluye una encuesta a 382 profesionales de TI y ciberseguridad de múltiples sectores y profundiza en sus problemas de seguridad y experiencia de usuario.

El informe subraya la necesidad de que las organizaciones reevalúen su postura de seguridad y migren a una arquitectura de confianza cero debido a la creciente amenaza que supone que los ciberdelincuentes exploten las vulnerabilidades de las VPN.

"El 92% de los encuestados reconoce la importancia de adoptar una arquitectura Zero Trust; sin embargo, es preocupante ver como muchas empresas siguen utilizando una VPN para ofrecer acceso remoto a empleados y terceros, lo que sin darse cuenta ofrece una gran oportunidad de ataque a los actores de amenazas", dijo Deepen Desai, CISO Global y responsable de Investigación de Seguridad de Zscaler. "Los proveedores de firewalls heredados y de VPN están ofreciendo VPN virtuales en la nube diciendo que se trata de Zero Trust, y hacen todo lo posible para ocultar la palabra "VPN". Los clientes tienen que saber formular las preguntas correctas para asegurarse de que no están creando una falsa sensación de seguridad con estas ofertas heredadas virtualizadas en la nube. Para protegerse contra los ataques de ransomware en constante cambio, es fundamental que las organizaciones eliminen el uso de VPN, prioricen la segmentación de usuario a aplicación e implementen un motor de prevención de pérdida de datos contextual en línea con una inspección TLS exhaustiva".

Las vulnerabilidades de las VPN resaltan la necesidad de una arquitectura de confianza cero

El 88 % de las organizaciones expresan su gran inquietud por las posibles brechas causadas por las vulnerabilidades de las VPN. Más concretamente, las organizaciones están muy preocupadas por posibles ataques de phishing (49 %) y ransomware (40 %) como resultado del uso habitual de VPN.

Casi la mitad de las empresas informaron de que habían sido objetivo de ciber atacantes que pudieron utilizar una vulnerabilidad de la VPN, como protocolos obsoletos o fugas de datos, y una de cada cinco sufrió un ataque en el último año. El ransomware, en particular, se ha convertido en un importante villano para las organizaciones, ya que el 33 % fue víctima de ataques de ransomware en el último año a través de las VPN.

Los usuarios de terceros son una de las principales preocupaciones

A pesar de las diligentes medidas de seguridad, el estudio evidencia que el 90 % de las organizaciones siguen muy preocupadas por la posibilidad de que los atacantes se aprovechen de terceros para conseguir indirectamente un acceso a sus redes. Los usuarios externos, como proveedores y contratistas, suponen un riesgo potencial para la organización debido a la disparidad de normas de seguridad, la falta de visibilidad de sus prácticas de seguridad en la red y la complejidad de gestionar el acceso de terceras partes externas.

Las arquitecturas de redes y seguridad tradicionales gestionan el acceso a las aplicaciones internas proporcionando a los usuarios acceso directo a la red, confiando intrínsecamente en los usuarios que pueden confirmar sus credenciales en el punto de acceso, lo que resulta problemático si esas credenciales son robadas. Con un planteamiento Zero Trust, los usuarios se conectan directamente a las aplicaciones y recursos que necesitan, nunca a las redes. Las conexiones de usuario a aplicación y de aplicación a aplicación eliminan el riesgo de movimiento lateral y evitan que los dispositivos comprometidos infecten otros recursos. Además, los usuarios y las aplicaciones son invisibles a Internet, por lo que no pueden ser descubiertos ni atacados.

Una mala experiencia de usuario puede provocar problemas de seguridad

Además de los problemas de seguridad, el 72 % de los usuarios se declaran insatisfechos con su actual experiencia con las VPN debido a la lentitud y poca seguridad de las conexiones. En concreto, el 25 % se siente frustrado por la lentitud de las aplicaciones, mientras que el 21 % sufre interrupciones frecuentes de la conexión.

Una conectividad poco segura a Internet contribuye a una mala experiencia del usuario, lo que lleva a la frustración y a un menor compromiso por parte del usuario. Además, la complejidad y la dificultad en la autenticación pueden dar lugar a una pérdida de productividad, una reducción de los ingresos y un mayor riesgo de pérdida de datos por parte de los usuarios que encuentran formas de eludir servicios VPN ineficaces.

Avanzando hacia la confianza cero

Las organizaciones que reconocen el papel que desempeñan las VPN obsoletas en la creación de estos problemas de seguridad y experiencia de uso, empiezan a inclinarse por una arquitectura Zero Trust. De hecho, un aplastante 92 % reconoce la importancia de adoptar un enfoque de Zero Trust para salvaguardar sus activos y datos, lo que supone un aumento del 12 % interanual, y el 69 % ya está planificando la sustitución de sus soluciones VPN actuales por Zero Trust Network Access (ZTNA).

Mitigar el peligro de las VPN con Zero Trust

El informe recomienda a las organizaciones implementar una arquitectura basada en Zero Trust para disminuir eficazmente los riesgos asociados a las vulnerabilidades de las VPN y proteger sus datos y aplicaciones sensibles de los ciberataques.

• Para obtener más información sobre las mejores prácticas para alejarse de las VPN, consulte el blog: "Third-Party Access Identified as a Huge Risk to Organizations".
• Para descargarse el Informe Zscaler sobre el riesgo de las VPN 2023, visite https://info.zscaler.com/2023-vpn-risk-report.
• Si está considerando reemplazar su VPN y busca asesoramiento, descárguese el eBook de Zscaler "Securing Your Hybrid Workforce with ZTNA".

Metodología

El Informe Zscaler VPN 2023 se ha realizado a partir de una encuesta a 382 profesionales de TI y expertos en ciberseguridad y analiza estos desafíos poliédricos de seguridad y experiencia de usuario. El Informe de Zscaler sobre VPN 2023 revela la complejidad de la gestión actual de las VPN, los problemas de la experiencia del usuario, las debilidades ante diversos ciberataques y su capacidad para afectar a la seguridad general de las organizaciones.