El 56% de VPN empresariales experimentó un ciberataque en 2023

La corporación Zscaler ha anunciado la publicación del ‘Informe de Riesgo VPN 2024’ (VPN Risk Report) de ThreatLabz, elaborado  por el equipo de investigación de la compañía. El estudio, revisado por Cybersecurity Insiders, encuestó a más de 600 profesionales de los sectores de seguridad, TI y redes.

En este sentido, dicho estudio destaca que el 56% de las empresas ha sido objetivo de ciberataques en el último año, aprovechando las vulnerabilidades de seguridad de las VPN. Estos datos ponen de manifiesto la necesidad de adoptar una arquitectura de Zero Trust más sólida.

Este cambio hacia la Zero Trust ha ganado impulso tras recientes violaciones de alto perfil y vulnerabilidades críticas con VPN de dos grandes fabricantes:

Ivanti (CVE-2023-46805 y CVE-2024-21887). Los ciberatacantes pudieron realizar bypass de autenticación y exploits de inyección remota de comandos.

Vulnerabilidad del sistema operativo de Palo Alto Networks (CVE-2024-3400). Los usuarios no autenticados explotaron el sistema operativo del proveedor de seguridad para infiltrarse en la red. Como resultado, la vulnerabilidad recibió la máxima puntuación de gravedad (10).

Las vulnerabilidades de zero-day de Ivanti llevaron incluso a ‘Cybersecurity and Infrastructure Security Agency’ (CISA) a emitir una comunicación de emergencia para que las agencias federales cortaran inmediatamente las conexiones con los dispositivos VPN comprometidos.

Desafíos de seguridad de VPN

Tradicionalmente, las VPN han facilitado a las empresas el acceso remoto a las redes; sin embargo, la creciente escala y complejidad de las ciberamenazas dirigidas a estas redes son un problema para los equipos de seguridad TI. Entre los encuestados, el 91% expresó preocupación respecto a las VPN como puntos de entrada vulnerables en su infraestructura de TI, acentuada por las recientes brechas que expusieron los peligros de confiar en una infraestructura de VPN desactualizada o sin parches. “Durante el último año, numerosas vulnerabilidades críticas de VPN han servido como puntos de entrada para ataques en grandes empresas y entidades gubernamentales”, asegura Deepen Desai, CSO de Zscaler.

“Es crucial para las empresas anticipar que los actores de amenazas explotarán cada vez más estos activos heredados expuestos a Internet, dispositivos y virtuales, que les permiten navegar fácilmente con movimiento lateral. Es esencial la transición a una arquitectura de Zero Trust, que reduce significativamente la superficie de ataque al eliminar tecnologías legadas como las VPN y los firewalls, cuenta con controles de seguridad con inspección TLS y limita el radio de explosión con segmentación, previniendo así brechas perjudiciales”, añade Desai.

Explotación de vulnerabilidades clave de VPN

El informe identifica los ataques de ransomware (42%), infecciones de malware (35%) y ataques DDoS (30%), como las principales amenazas que aprovechan las vulnerabilidades de VPN. Estas estadísticas enfatizan los importantes riesgos que enfrentan las organizaciones debido a las debilidades inherentes en las arquitecturas tradicionales de VPN, reforzando la necesidad de un cambio hacia la arquitectura de Zero Trust.

Además, el informe reveló que el 78% de las empresas planea implementar activamente estrategias de Zero Trust en los próximos 12 meses. Por su parte, el 62% reconoce que las VPN van en contra de los principios del Zero Trust.

Detener la propagación con protección Zero Trust

Entre las empresas que fueron atacadas a través de vulnerabilidades de VPN, la mayoría asegura que los actores de amenazas se movieron lateralmente en la red, demostrando fallos de contención significativos. Para ayudar a minimizar el radio de explosión y mitigar el riesgo de vulnerabilidades de VPN, Zscaler insta a las empresas a que adopten una arquitectura de Zero Trust para:

-  Minimizar la superficie de ataque. Esta solución hace que las aplicaciones sean invisibles en Internet, resultando más difíciles de descubrir y atacar.

-  Prevenir el compromiso con el tráfico online y la inspección de contenidos para detectar y bloquear la actividad maliciosa, así como proteger los recursos contra el acceso no autorizado o la filtración de datos.

 - Eliminar el movimiento lateral segmentando y conectando a los usuarios directamente a las aplicaciones en lugar de a la red, limitando así las oportunidades de acceso no autorizado y propagación lateral de los atacantes.