Siete alternativas a VPN para proteger el acceso remoto a la red

Las redes privadas virtuales (VPN, por sus siglas en inglés), que en su día eran el elemento básico para proteger a los empleados que trabajaban a distancia, se diseñaron para proporcionar acceso seguro a los datos y sistemas corporativos a un pequeño porcentaje de la plantilla, mientras que la mayoría trabajaba dentro de los límites tradicionales de la oficina. El paso al trabajo remoto masivo que supuso la pandemia a principios de 2020 cambió las cosas radicalmente. Desde entonces, se ha convertido en la norma que un gran número de empleados trabajen regularmente desde casa, y muchos sólo van a la oficina esporádicamente (si es que van).

Las VPN son insuficientes para el trabajo remoto y el panorama híbrido, y una dependencia excesiva de ellas para asegurar a un gran número de empleados que trabajan desde casa plantea riesgos significativos. "En un principio, las VPN ayudaban a las empresas a gestionar a unos pocos empleados o contratistas externos que necesitaban acceso remoto a determinados sistemas mientras trabajaban a distancia", explica a CSO Joseph Carson, científico jefe de seguridad y CISO asesor de ThycoticCentrify. Añade que también ha provocado impactos negativos en la productividad de los empleados y en la experiencia de los usuarios, todo ello sumado a una mayor fricción.

"El uso de VPN a tan gran escala nunca se podría haber previsto y ha creado una pesadilla de seguridad para los equipos de TI, ya que ha ampliado la superficie de posibles ataques", afirma el jefe de investigación de amenazas de Netacea, Matthew Gracey-McMinn.

"Con la pandemia del COVID-19, la mayoría de las empresas se vieron obligadas a adaptarse rápidamente a un entorno de trabajo totalmente remoto, y algunas de ellas lo hicieron de forma insegura, limitándose a desplegar soluciones VPN genéricas para permitir a sus empleados acceder a los mismos sistemas desde sus casas y confiando ciegamente en sus dispositivos", afirma Felipe Duarte, investigador de seguridad de Appgate.

Dado que el trabajo remoto e híbrido va a ser la norma en el futuro inmediato, es vital que las organizaciones no sólo reconozcan las deficiencias y los riesgos de las VPN en la era del trabajo remoto, sino que también comprendan cómo las opciones alternativas pueden asegurar mejor el futuro del trabajo remoto e híbrido.

 

Deficiencias de las VPN para el trabajo a distancia

Como las VPN suelen ampliar la red de una organización, si la red en la que está el usuario es insegura, hay más posibilidades de que un atacante la aproveche, afirma Sean Wright, responsable de seguridad de aplicaciones de Immersive Labs. "Las redes domésticas tienen más vulnerabilidades de seguridad, por lo que este riesgo es mayor", añade.

El CISO de Wave Money, Dominic Grunden, señala otra deficiencia: el hecho de que las VPN sólo proporcionan cifrado para el tráfico que pasa entre dos puntos, lo que requiere una pila de seguridad completa independiente que debe desplegarse en un extremo de cada conexión VPN para la inspección del tráfico. "Se trata de un requisito cada vez más difícil de cumplir cuando los recursos de la empresa se alojan cada vez más en la nube y los trabajadores remotos acceden a ellos. Las VPN tampoco proporcionan una vía para asegurar el acceso de terceros, que es quizás el eslabón de ataque más débil".

Gracey-McMinn afirma que la mayoría de las VPN ofrecen una seguridad mínima con cifrado de tráfico y a menudo no imponen el uso de la autenticación multifactor (MFA). "Si el ordenador de un miembro del personal ha sido comprometido mientras trabaja en casa, esto podría llevar a un actor malicioso a obtener acceso a la red de una empresa a través de la VPN utilizando las credenciales del personal, lo que le otorgaría un acceso de confianza total, una actividad con menos probabilidades de ser detectada por un equipo de seguridad debido a que no tiene una capa de pila de seguridad completa mientras trabaja desde casa".

Esto se observó en el reciente ataque del ransomware Colonial Pipeline, dice Duarte. "En ese caso, los atacantes obtuvieron acceso a la red interna simplemente utilizando credenciales comprometidas de nombre de usuario y contraseña para un dispositivo VPN inseguro". También señala casos de atacantes que apuntan y explotan vulnerabilidades conocidas de dispositivos VPN. "Más recientemente, hemos observado la explotación de CVE-2021-20016 (que afecta a SonicWall SSLVPN) por el grupo de ciberdelincuentes DarkSide, y también CVE-2021-22893 (que afecta a Pulse Secure VPN) explotada por más de 12 cepas de malware diferentes".

Otro problema importante es el de los dispositivos infectados con malware y sin parches. "Este escenario suele estar relacionado con malware de origen humano, como botnets, backdoors y RAT [troyanos de acceso remoto]", explica Duarte. "El atacante crea una conexión remota con el dispositivo y, una vez conectada la VPN, el malware puede hacerse pasar por el usuario, acceder a todos los sistemas a los que tiene acceso y propagarse por la red interna".

Wright está de acuerdo y añade que los dispositivos sólo serán suficientemente seguros si se actualizan de forma activa. "Puedes tener la conexión VPN más segura del mundo, pero si el dispositivo no está suficientemente parcheado representará un riesgo para tu organización, y la conexión VPN marcará poca diferencia".

Las VPN también presentan importantes inconvenientes desde el punto de vista de la usabilidad y la productividad, afirma Grunden. "Una queja habitual sobre las VPN es cómo reducen la velocidad de la red, ya que las VPN desvían las peticiones a través de un servidor diferente, por lo que es inevitable que la velocidad de conexión no siga siendo la misma debido al aumento de la latencia de la red". Además, a veces surgen otros problemas de rendimiento relacionados con el uso de kill switches y DHCP. "La seguridad que proporcionan las VPN, aun siendo necesaria, a menudo viene acompañada de una complejidad excesiva, sobre todo para las organizaciones que utilizan VPN empresariales", añade.

 

Alternativas seguras a las VPN para el trabajo remoto

Tanto si se trata de sustituir las VPN por completo como de complementarlas con otras opciones, las organizaciones deben reconocer y aplicar métodos de seguridad alternativos más adecuados para proteger el trabajo remoto masivo. Cuáles y cuántas de estas estrategias puede explorar una empresa variará en función de varios factores, como la postura y el apetito de riesgo. Sin embargo, los expertos en seguridad coinciden en que las siguientes son las que tienen más probabilidades de ser universalmente eficaces para las empresas.

 

1. Acceso a la red zero trust

 

El acceso a la red zero trust (ZTNA, por sus siglas en inglés) es esencialmente un acceso intermediado a aplicaciones y datos en la red. Los usuarios y dispositivos son cuestionados y confirmados antes de que se les conceda el acceso. "Lo que hay que hacer es adoptar una mentalidad zero trust, asumiendo siempre que un dispositivo o una cuenta de empleado pueden estar comprometidos", dice Duarte.

Grunden explica que "los métodos zero trust son capaces de realizar las capacidades básicas de una VPN, como conceder acceso a determinados sistemas y redes, pero con una capa añadida de seguridad en forma de acceso con menos privilegios (hasta las aplicaciones específicas), autenticación de identidad, verificación de empleo y almacenamiento de credenciales".

Como resultado, si un atacante logra infectar un sistema, el daño se limita sólo a lo que este sistema tiene acceso, dice Duarte. "Además, asegúrese de implementar soluciones de monitoreo de red para detectar comportamientos sospechosos, como una máquina infectada haciendo un escaneo de puertos, para que pueda generar automáticamente una alerta y apagar el sistema infectado", agrega.

 

2. Secure Access Service Edge (SASE)

 

Con un modelo ZTNA, según Gracey-McMinn, cada usuario y dispositivo será verificado y comprobado antes de permitirle el acceso, no sólo a nivel de red, sino también de aplicación. Sin embargo, zero trust es sólo una parte de la solución del problema y no puede supervisar todo el tráfico de un extremo a otro, añade. "SASE resuelve ese problema. Como modelo basado en la nube, SASE combina las funciones de red y seguridad como un servicio de arquitectura única, lo que permite a una empresa unificar su red en un punto singular desde una pantalla".

Grunden afirma que SASE es una solución moderna diseñada para satisfacer las necesidades de rendimiento y seguridad de las organizaciones de hoy en día, ofreciendo una gestión y operación simplificadas, menores costes y una mayor visibilidad y seguridad con las capas adicionales de funcionalidad de red, así como la arquitectura de seguridad nativa en la nube subyacente. "En última instancia, SASE proporciona a los equipos de TI, así como a toda la fuerza de trabajo de una empresa, la flexibilidad para funcionar de forma segura en la nueva normalidad de este mundo COVID de trabajo en cualquier lugar, cibernético en todas partes", afirma.

 

3. Perímetro definido por software

 

A menudo implementado dentro de estrategias más amplias de zero trust, un perímetro definido por software (SDP) es un límite de red basado en software en lugar de hardware y es un sustituto eficaz de las soluciones VPN clásicas, dice Duarte. "Esto te permite no sólo utilizar autenticación multifactor y segmentar tu red, sino que puedes perfilar el usuario y el dispositivo que se conecta y crear reglas para permitir el acceso sólo a lo que realmente necesita según los diferentes escenarios".

SDP también te facilita bloquear el acceso a los recursos una vez que se detecta un comportamiento sospechoso en tu red, aislando eficazmente las amenazas potenciales, minimizando el daño causado en un ataque y manteniendo la productividad en caso de un falso positivo, en lugar de desactivar completamente el dispositivo y hacer que un usuario no pueda realizar ningún trabajo significativo, añade Duarte.

 

4. Redes de área extensa definidas por software

 

Las VPN dependen de un modelo centrado en el router para distribuir la función de control por la red, donde los routers enrutan el tráfico basándose en las direcciones IP y las listas de control de acceso (ACL). Las redes de área extensa definidas por software (SD-WAN), sin embargo, se basan en un software y una función de control centralizada que pueden dirigir el tráfico a través de la WAN de forma más inteligente, gestionando el tráfico en función de los requisitos de prioridad, seguridad y calidad de servicio según las necesidades de la organización, afirma Grunden.

"Los productos SD-WAN están diseñados para sustituir los routers físicos tradicionales por software virtualizado que puede controlar las políticas a nivel de aplicación y ofrecer una superposición de red. Además, SD-WAN puede automatizar la configuración continua de los routers de borde WAN y ejecutar el tráfico a través de un híbrido de banda ancha pública y enlaces MPLS privados", afirma Grunden. De este modo se crea una red de edge empresarial con menos costes, menos complejidad, más flexibilidad y mejor seguridad".

 

5. Gestión de identidades y accesos y gestión de accesos privilegiados

 

Las soluciones que incorporan un proceso de verificación exhaustivo para confirmar la validez de los intentos de inicio de sesión proporcionan una mayor protección en comparación con las VPN tradicionales, que normalmente sólo requieren una contraseña. "Una característica de seguridad de IAM [gestión de identidades y accesos] es que la actividad de la sesión y los privilegios de acceso están conectados al usuario individual, por lo que los gestores de red pueden estar seguros de que cada usuario tiene acceso autorizado y pueden hacer un seguimiento de cada sesión de red", afirma Grunden. "Las soluciones IAM también suelen proporcionar niveles adicionales de acceso para que los usuarios sólo puedan acceder a los recursos que están autorizados a utilizar".

Aunque esta alternativa o complementaria a VPN gestiona los protocolos de identidad, lo que permite una supervisión más granular de la actividad, no proporciona protecciones adicionales para las credenciales privilegiadas. Para gestionar de forma segura las credenciales de las cuentas privilegiadas, se necesita una gestión de acceso privilegiado (PAM), añade Grunden. "Si la gestión de identidades establece la identidad de los usuarios individuales y los autoriza, las herramientas PAM se centran en la gestión de credenciales privilegiadas que acceden a sistemas y aplicaciones críticos con un mayor nivel de cuidado y escrutinio".

Estas cuentas de alto nivel deben ser gestionadas y supervisadas de cerca, ya que presentan el mayor riesgo para la seguridad y son un objetivo difícil para los malos actores debido a las capacidades administrativas que permiten. "Las principales ventajas de una solución PAM son la seguridad avanzada de las credenciales, como la rotación frecuente de contraseñas complejas, la ofuscación de contraseñas, el control de acceso a sistemas y datos y la supervisión de la actividad de los usuarios", afirma Grunden. "Estas características reducen la amenaza del uso no autorizado de credenciales privilegiadas y facilitan a los responsables de TI la detección de operaciones sospechosas o de riesgo".

 

6. Herramientas unificadas de gestión de endpoints

 

El acceso condicional a través de herramientas de gestión unificada de endpoints (UEM) puede proporcionar una experiencia sin VPN a través de capacidades de acceso condicional, por las que un agente que se ejecuta en el dispositivo evaluará varias condiciones antes de permitir que una persona acceda a un recurso en particular, dice Andrew Hewitt, analista senior de Forrester. "Por ejemplo, la solución puede evaluar la conformidad del dispositivo, la información de identidad y el comportamiento del usuario para determinar si esa persona puede realmente acceder a los datos de la empresa". A menudo, los proveedores de UEM se integran con los de ZTNA para una mayor protección.

 

7. Infraestructura de escritorio virtual o desktop as a service

 

Las soluciones de infraestructura de escritorio virtual (VDI) o de desktop as a service "básicamente transmiten computación desde la nube (o desde un servidor local), de modo que nada reside localmente en el dispositivo", explica Hewitt. A veces, las organizaciones lo utilizan como alternativa a la VPN, pero sigue siendo necesario realizar comprobaciones a nivel de dispositivo junto con la autenticación del usuario para asegurar el acceso, añade. "Sin embargo, la ventaja es que no se pueden copiar datos de la sesión virtual a un cliente local, a diferencia de la VPN tradicional".

 

Los proveedores invierten en enfoques de seguridad híbrida distintos de la VPN

Los proveedores de seguridad están invirtiendo en muchos de los enfoques de seguridad híbrida sin VPN descritos anteriormente, con algunos ejemplos recientes notables. En mayo de 2023, AWS anunció el lanzamiento de AWS Verified Access, que permite a los clientes proporcionar acceso seguro y sin VPN a sus aplicaciones corporativas. Construido utilizando los principios de AWS Zero Trust, Verified Access tiene como objetivo ayudar a los clientes a reducir los riesgos asociados con la conectividad remota. Permite a los administradores de TI y desarrolladores definir el acceso de grano fino por aplicación utilizando señales contextuales en tiempo real, incluyendo la identidad y la postura del dispositivo, junto con dar a los clientes la capacidad de gestionar las políticas para cada aplicación en un solo lugar, dijo AWS.

Verified Access soporta la integración con AWS Web Application Firewall (WAF) para proteger las aplicaciones web de las amenazas de la capa de aplicación y el paso del contexto de identidad firmada a los endpoints de la aplicación, según AWS. Los casos de uso incluyen:

• Asegurar a los usuarios distribuidos evaluando cada solicitud en tiempo real frente a requisitos de seguridad predefinidos para facilitar el acceso seguro a las aplicaciones.
• Gestionar el acceso a las aplicaciones corporativas con políticas de acceso que utilicen señales de seguridad como la identidad del usuario y el estado de seguridad del dispositivo.
• Evaluar las solicitudes de acceso y registrar los datos de las solicitudes, acelerando el análisis y la respuesta a los incidentes de seguridad y conectividad.

En abril de 2023, Netskope se comprometió a retirar el 100% de las VPN heredadas con el lanzamiento de ZTNA Next, un servicio totalmente integrado que tiene como objetivo proporcionar un camino claro hacia la sustitución completa de las VPN de acceso remoto para todos los casos de uso de acceso a aplicaciones. El proveedor afirma que reduce la superficie de ataque digital, mejora la postura de seguridad con principios de zero trust e impulsa la productividad de los trabajadores remotos con una experiencia de acceso a aplicaciones optimizada y sin interrupciones.

Netskope también ha lanzado Netskope Endpoint SD-WAN, una oferta SASE basada en software "pionera en el sector" que converge las capacidades SD-WAN y Security Service Edge (SSE). Afirmó que las organizaciones pueden utilizar Netskope Endpoint SD-WAN para reducir el coste y la complejidad del trabajo híbrido, simplificando la conectividad, eliminando la dispersión de múltiples clientes y productos puntuales, y preservando el rendimiento de la red a escala.

Los beneficios clave de Endpoint SD-WAN incluyen una arquitectura unificada y una política consistente consciente del contexto, proporcionando a cada usuario remoto, dispositivo y sitio un acceso simple, seguro y de alto rendimiento a entornos híbridos y multi-nube, según Netskope. También cuenta con operaciones impulsadas por IA, conectividad de alto rendimiento para aplicaciones críticas de voz, vídeo y datos, y experiencia de usuario optimizada.

En abril de 2023, el proveedor de ciberseguridad Inside-Out Defense salió del anonimato con el lanzamiento de una nueva plataforma de detección y corrección de abusos de acceso a privilegios. La plataforma SaaS, sin agente, es compatible con todos los entornos y aplicaciones, complementando la identidad existente y las soluciones de identidad IAM, PAM y personalizadas, dijo la firma.

Inside-Out Defense dijo que las características clave de la plataforma incluyen:

• Remediación de abuso de privilegios mediante la detección de comportamientos de abuso de acceso en tiempo real y la provisión de remediación en línea de acceso malicioso a privilegios a través de un kill switch.
• Un perfil de 360 grados de las solicitudes de acceso maliciosas, su contexto e intención, que ofrece una visión en tiempo real de la postura de acceso de la organización.
• La cobertura en todos los entornos de la organización incluye infraestructura (en la nube y en las instalaciones), aplicaciones (SaaS, gestionadas, no gestionadas), API y usuarios humanos y no humanos.

En marzo de 2023, el proveedor de ciberseguridad Palo Alto Networks anunció nuevas funciones SD-WAN en su solución Prisma SASE para la seguridad de dispositivos IoT y para ayudar a los clientes a cumplir los requisitos de seguridad específicos del sector. Prisma SD-WAN con seguridad IoT integrada permite la detección e identificación precisas de dispositivos IoT de sucursales, declaró Palo Alto Networks. Permite a los clientes habilitar controles de seguridad desde la conocida gestión en la nube para Prisma SASE sin necesidad de desplegar dispositivos y sensores adicionales en la red para obtener visibilidad de los dispositivos IoT y prevenir amenazas.

Prisma SD-WAN proporciona visibilidad adicional en el tráfico dentro de la sucursal, lo que permite a Prisma Access proporcionar un inventario IoT rico y preciso, al tiempo que garantiza que los dispositivos IoT están saliendo del tráfico de aplicaciones de la sucursal en el tejido SD-WAN cifrado a Prisma Access, donde son inspeccionados para garantizar el zero trust, dijo Palo Alto Networks.