Cuando tu VPN se convierte en un colador para atacantes

¿Estás seguro de que tu VPN es impenetrable? 

La vulnerabilidad “TunnelVision” podría estar exponiendo tu empresa al mundo.

Imagínate que necesitas transportar información confidencial de un punto A a un punto B a través de una ciudad plagada de espías y curiosos. Para mantenerla a salvo, decides construir un túnel subterráneo exclusivo, accesible solo para tu equipo autorizado. Este túnel garantiza que nadie pueda ver lo que transportas ni interceptar tus datos.

Una VPN (Virtual Private Network) es precisamente como este túnel subterráneo. Crea un canal seguro y cifrado entre tu dispositivo (punto A) y el destino al que accedes (punto B) a través de la red pública (Internet), evitando que espías y curiosos accedan a tu información.

Existen muchos casos de uso de VPN, pero los principales son brindar acceso remoto seguro, proteger la privacidad, evitar restricciones geográficas y proporcionar seguridad en redes públicas. Para lograrlo, una VPN ofrece al menos capacidades de cifrado, autenticación y anonimato.

Sin duda, una VPN es una herramienta muy útil para habilitar conexiones remotas seguras en una organización, pero, incluso los túneles más seguros pueden tener filtraciones inesperadas, como lo demuestra la falla “TunnelVision”. Recientemente se identificó una técnica que permite a los atacantes desviar el tráfico de los usuarios fuera del túnel VPN, aprovechando características integradas del protocolo DHCP. Esto expone el tráfico sin encriptar a los atacantes, mientras el canal de control de la VPN permanece activo, evitando que los interruptores de emergencia (kill switches) se activen. A este efecto se le denomina «desenmascaramiento». Para más detalles técnicos puedes consultar el blog de Leviathan, la firma que identificó la técnica.

¿Qué puedes hacer?

Si bien existen varios aspectos -algunos de ellos técnicos- que se deben validar, de manera general te recomendamos que te asegures que tu proveedor de VPN haya pasado auditorías independientes de seguridad y que publique informes transparentes. Cerciórate de que tu VPN se mantenga actualizada, con configuraciones afinadas de tu entorno y habilitando todas las características de seguridad pertinente. Y nunca está de más, protege las cuentas de acceso a la VPN con autenticación multifactor para reducir el riesgo de ataques de ingeniería social.

Si para tu contexto, TunnelVision puede ser un riesgo importante, existen alternativas al uso de VPN para mitigarlo, como lo es, por mencionar una, Zero Trust Network Access (ZTNA), que además ofrece capacidades complementarias y muy útiles para este fin.

Confiar en una sola herramienta para proteger tus secretos es como cruzar un campo minado con un mapa antiguo. Si el defecto TunnelVision te enseña algo, es que no puedes dejar tu seguridad en manos de una única solución. Amplía tus defensas, adopta un enfoque de múltiples capas y recuerda que el que controla el túnel, controla el tesoro. No esperes a ser el próximo titular; actúa ahora y fortalece tu seguridad.

Provehito in Altum
Por Juan Pablo Carsi