A un 88 % de las empresas les preocupa la (in)seguridad de las VPN

Las redes privadas virtuales (VPN) son apreciadas por muchos como solución a los problemas de protección que plantea el trabajo híbrido. Pero, para ello, deben utilizarse de la forma adecuada.

El informe VPN Risk Report de Zscaler pone sobre la mesa la preocupación que comparten los profesionales de TI y ciberseguridad por la seguridad de sus redes. Hasta un 88 % de las organizaciones muestra gran inquietud por posibles brechas derivadas de vulnerabilidades de estas VPN.

A la mitad de los encuestados les inquietan los ataques de phishing y a dos quintas partes, el ransomware que secuestra equipos informáticos y cifra datos, como resultado del uso habitual de la tecnología de red privada virtual.

De hecho, cerca de la mitad ya ha sido objetivo de ciberatacantes que aprovecharon cuestiones como protocolos obsoletos y fugas de datos. El 33 % cayó víctima del ransomware a través de una VPN en el último año.

Además, 9 de cada 10 apuntan a la posibilidad de que los atacantes se aprovechen de terceros como proveedores y contratistas para acceder a sus redes.

Esto explica que el 92 % reconozca “la importancia de adoptar una arquitectura Zero Trust“, tal y como destaca Deepen Desai, CISO Global y responsable de investigación de seguridad de Zscaler. Un 69 % ya planea reemplazar sus estrategias actuales de VPN por una filosofía ZTNA (Zero Trust Network Access).

“Muchas empresas siguen utilizando una VPN para ofrecer acceso remoto a empleados y terceros, lo que sin darse cuenta ofrece una gran oportunidad de ataque a los actores de amenazas”, señala Desai

“Los proveedores de firewalls heredados y de VPN están ofreciendo VPN virtuales en la nube diciendo que se trata de Zero Trust, y hacen todo lo posible para ocultar la palabra ‘VPN'”, prosigue este experto.

“Los clientes tienen que saber formular las preguntas correctas para asegurarse de que no están creando una falsa sensación de seguridad con estas ofertas heredadas virtualizadas en la nube”, incide.

“Para protegerse contra los ataques de ransomware en constante cambio, es fundamental que las organizaciones eliminen el uso de VPN”, explica, y que “prioricen la segmentación de usuario a aplicación e implementen un motor de prevención de pérdida de datos contextual en línea con una inspección TLS exhaustiva”.

La confianza cero implica que los usuarios se conecten a las aplicaciones y a aquellos recursos que necesitan directamente, pero no a las redes.

Más allá de preocuparse por el riesgo que plantean los usuarios externos, las compañías detectan problemas de experiencia. Un 72 % de los usuarios confiesa estar insatisfecho con las VPN por la lentitud y falta de seguridad de las conexiones.

El 25 % también se siente frustrado por la lentitud de las aplicaciones y un 21 % desvela que tiene que afrontar interrupciones de conexión frecuentes.