Los expertos advierten que las redes privadas virtuales son cada vez más vulnerables a las filtraciones y los ataques.
El servicio gratuito de red privada virtual (VPN) Quickfox, que proporciona acceso a sitios web chinos desde fuera del país, expuso la información personal identificable (PII) de más de un millón de usuarios en el último fallo de seguridad de una VPN de alto perfil.
El incidente ha hecho que algunos profesionales de la seguridad se cuestionen si las VPN son una tecnología obsoleta.
Los investigadores de WizCase descubrieron que Quickfox había configurado mal la seguridad de la pila Elasticsearch, Logstash y Kibana (ELK) del servicio de VPN. El trío de programas ayuda a gestionar las búsquedas, explica el informe.
«Quickfox había configurado las restricciones de acceso de Kibana, pero no había establecido las mismas medidas de seguridad para su servidor Elasticsearch», según el informe. «Esto significa que cualquier persona con un navegador y una conexión a Internet podría acceder a los registros de Quickfox y extraer información sensible sobre los usuarios de Quickfox».
Los usuarios de Quickfox en China, Indonesia, Japón, Kazajstán y Estados Unidos se vieron afectados, según los investigadores, y añadieron que un total de 500 millones de registros y 100 GB de datos quedaron expuestos.
Los datos filtrados pertenecían a dos categorías, según el informe: información personal como correos electrónicos y números de teléfono, pero también información sobre el software de los dispositivos de unos 300.000 usuarios de Quickfox.
«Los datos de la filtración exponen los nombres de otro software instalado en los dispositivos de los usuarios, así como la ubicación del archivo, la fecha de instalación y el número de versión. No está claro por qué la VPN estaba recogiendo estos datos, ya que son innecesarios para su proceso, y no es una práctica estándar vista con otros servicios de VPN», dijeron los investigadores en el informe.
Las VPN son vulnerables, pero el Zero-Trust es un problema
Desde la pandemia, el uso de VPN por parte de las organizaciones se ha disparado para ayudar a los trabajadores remotos a acceder a los sistemas necesarios para realizar su trabajo. Archie Agarwal, director general de ThreatModeler, dijo a Threatpost que su búsqueda más reciente identificó más de un millón de VPN en línea sólo en los Estados Unidos.
Sin embargo, tras espectaculares fallos de seguridad de las VPN, como el de Colonial Pipeline, y la filtración de miles de credenciales de cuentas de VPN de Fortinet, el gobierno de Estados Unidos decidió intervenir y publicar orientaciones sobre el endurecimiento de las VPN, entre las que se incluye la búsqueda de un servicio con cifrado y gestión de acceso sólidos. Un servicio que parchee activamente las vulnerabilidades conocidas también es una ventaja.
La adopción de un modelo de seguridad de confianza cero es una solución a la dependencia de las VPN, pero es costosa y difícil de implementar, dijo Chris Morgan, analista de Digital Shadows.
«Aunque los modelos de confianza cero pueden ser, en efecto, una solución más segura, su adopción supondrá un mayor coste logístico y financiero», dijo Morgan. «Es probable que muchas empresas consideren que el uso continuado de una VPN es una solución más pragmática a corto plazo».
Pero Agarwal sostiene que las VPN deben desaparecer por completo.
«Son las puertas de entrada a las redes internas privadas sensibles y están ahí expuestas al mundo para que cualquier malhechor intente atravesarlas». «Representan el viejo paradigma del perímetro y han fallado en la protección del castillo interior una y otra vez. Si se filtran o roban las credenciales, o se descubren nuevas vulnerabilidades, el juego se acaba y el castillo cae. Los nuevos enfoques de confianza cero por los que abogan el gobierno de Estados Unidos y el NIST desconectan esta puerta pública y lanzan un manto invisible sobre toda la red».
El comportamiento de los usuarios es un factor importante
El comportamiento de los usuarios de los empleados es otra gran consideración, explicó a Threatpost Heather Paunet, vicepresidenta senior de Untangle.
«En el futuro, debemos tener en cuenta el elemento humano», dijo Paunet. «Los profesionales de TI se enfrentan al reto de conseguir que los empleados utilicen la tecnología de forma efectiva. Si la VPN es demasiado difícil de usar o ralentiza los sistemas, es probable que el empleado la desactive. El reto para los profesionales de TI es encontrar una solución VPN que sea rápida y fiable para que los empleados la enciendan una vez y se olviden de ella.»
Paunet añadió que las soluciones VPN siguen mejorando tanto en facilidad de uso como en seguridad.
Sin embargo, Timur Kovalev dijo que es hora de que los administradores de TI exijan a los empleados que mejoren su ciberseguridad, independientemente de lo molesto que sea.
«Para combatir que los empleados no usen siempre las conexiones VPN, y proporcionar otra capa de seguridad, los administradores buscaron requerir 2FA [autenticación de dos factores] para más sistemas de los que tenían antes», dijo. «Esto significa que también pueden elegir entre utilizar 2FA para cada inicio de sesión, lo cual es más «molesto» para los empleados aunque más seguro, o utilizar 2FA periódicamente, o después de que se confíe en un dispositivo, lo cual es más fácil para los empleados aunque no tan seguro.»
Kovalev sugirió a Threatpost que lo que está en juego es demasiado importante como para ignorar el comportamiento de los usuarios.
«Con los recientes ataques de ransomware y las brechas de alto perfil, como SolarWinds, JBS, Pulse Secure y Kaseya VSA, los administradores de TI deberían considerar el uso de las opciones más seguras», agregó Kovalev. «Esto también implicará la formación de sus empleados sobre cómo navegar por las herramientas menos fáciles de usar, así como explicar a los empleados por qué estas medidas son necesarias y qué pueden hacer para no ser víctimas ellos mismos de cualquier tipo de violación de la seguridad.»
Preocupantemente, Tyler Shields, de JupiterOne, predice que se producirán más ataques de VPN.