Nuevo informe de riesgos de las VPN: El 56 % de las empresas fueron atacadas a través de vulnerabilidades de VPN

Las redes privadas virtuales (VPN) llevan mucho tiempo facilitando el acceso remoto a las empresas. Sin embargo, después de un año plagado de exploits de alto perfil de vulnerabilidades VPN graves y de día cero, incluidas algunas que han requerido directivas de emergencia de la CISA para desconectar los servicios VPN, las empresas se están replanteando las cosas. Muchos se están replanteando las estrategias de conectividad de los trabajadores y están adoptando la arquitectura Zero Trust como alternativa de VPN segura. 

De hecho, al 91 % de las empresas les preocupa que las VPN comprometan su seguridad.

Publicado hoy, el Informe de riesgos de las VPN de Zscaler ThreatLabz 2024 proporciona información sobre las tendencias críticas de VPN y explora soluciones para proteger a los usuarios remotos. Cybersecurity Insiders y Zscaler encuestaron a 647 profesionales de TI y expertos en ciberseguridad sobre los cambiantes desafíos de seguridad, gestión y experiencia del usuario de las tecnologías VPN. Estos incluyen los riesgos que las VPN pueden presentar para la postura de seguridad de una organización en cuanto al movimiento lateral, el acceso de terceros y la vulnerabilidad a ataques como el ransomware.

En general, los hallazgos muestran un panorama claro. Las empresas muestran una gran preocupación por los riesgos de seguridad de las soluciones VPN, incluso cuando llegan a un consenso claro en torno a las estrategias Zero Trust y formulan planes concretos para adoptar el acceso a la red Zero Trust (ZTNA). Las organizaciones también están de acuerdo en que alojar la infraestructura VPN en la nube va en contra de los principios Zero Trust y no brinda el mismo nivel de seguridad o experiencia de usuario que ZTNA.

Descargue el Informe de riesgos de las VPN de Zscaler ThreatLabz 2024 para descubrir perspectivas empresariales y orientación de expertos sobre los riesgos de VPN.

Hallazgos clave

• Los ataques a VPN van en aumento. El 56 % de las organizaciones experimentaron uno o más ciberataques relacionados con VPN en el último año, frente al 45 % del año anterior. Esto pone de manifiesto la creciente frecuencia y sofisticación de los ataques dirigidos contra las VPN.
• La gran mayoría se está cambiando a Zero Trust. El 78 % de las organizaciones tiene previsto aplicar estrategias Zero Trust en los próximos 12 meses. Mientras tanto, el 62 % de las empresas está de acuerdo en que las VPN son anti-Zero Trust.
• La mayoría pone en tela de juicio la seguridad de las VPN. El 91 % de los encuestados expresó su preocupación de que las VPN comprometan su entorno de seguridad informática. Las recientes violaciones ilustran los riesgos de mantener infraestructuras de VPN anticuadas o sin parches.
• Las VPN no son rival para el ransomware, el malware y los DDoS. Los encuestados identificaron el ransomware (42 %), el malware (35 %) y los ataques DDoS (30 %) como las principales amenazas que aprovechan las vulnerabilidades de las VPN, lo que pone de relieve la amplitud de los riesgos a los que se enfrentan las organizaciones debido a las debilidades inherentes a las arquitecturas VPN tradicionales.
• El riesgo de movimiento lateral no puede ignorarse. El 53 % de las empresas violadas a través de vulnerabilidades de VPN afirman que los malintencionados se desplazaron lateralmente, lo que demuestra fallas de contención en el punto inicial de compromiso que subrayan los riesgos de las redes planas tradicionales.
• A casi todos les preocupa el riesgo de terceros. Dado que las VPN proporcionan acceso total a la red, al 92 % de los encuestados les preocupa que terceros con acceso a VPN sirvan como posibles puertas traseras en sus redes.

Aumento de los ataques a VPN, CVE y preocupaciones de las empresas

En general, un sorprendente 56 % de las organizaciones informaron de ciberataques que aprovecharon vulnerabilidades de las VPN durante el año pasado, lo que supone un aumento significativo con respecto al año anterior (45 %). Y lo que es aún más preocupante, el 41 % de las organizaciones declararon haber sufrido dos o más ataques relacionados con las VPN, lo que destaca la existencia de graves deficiencias de seguridad que requieren una atención inmediata.

Figura 1: Empresas que han sufrido un ataque dirigido a vulnerabilidades de VPN en el último año. 

Este aumento de los ataques relacionados con las VPN tiene un contexto. En el último año, hemos visto aparecer una serie de vulnerabilidades de VPN de día cero y de alta gravedad. Esta tendencia ha revelado que, desde un punto de vista arquitectónico, las redes basadas en VPN son vulnerables a un único punto de falla que permite a los malintencionados desplazarse lateralmente en la red, descubrir las aplicaciones joya de la corona y robar datos confidenciales.

De hecho, la mayoría de los encuestados que sufrieron violaciones relacionadas con VPN informaron de que los atacantes se desplazaban lateralmente por sus redes.

Figura 2: Una serie de CVE de alto perfil que han afectado a las VPN en el último año. 

La confianza de las empresas en la seguridad de las VPN es baja. En general, al 91 % de las empresas les preocupa que las VPN puedan ‌poner en peligro “la seguridad de sus entornos”.

Figura 3: A las empresas les preocupa que la VPN pueda poner en peligro la seguridad de su entorno. 

Crecimiento en la adopción de Zero Trust

Paralelamente a las preocupaciones por la seguridad de las VPN, o debido a ellas, las empresas muestran un consenso claro en torno a la adopción de estrategias Zero Trust para una conectividad segura. De hecho, el 62 % de las empresas considera que la tecnología VPN es incompatible con las estrategias Zero Trust.

Figura 4: Opiniones de las empresas sobre la VPN como una opción compatible con las estrategias Zero Trust. 

Mientras tanto, las empresas están adoptando activamente estrategias Zero Trust a medida que disminuye el entusiasmo por las VPN. En conjunto, el 78 % de las empresas tiene previsto aplicar estrategias Zero Trust en los próximos 12 meses, mientras que el 31 % está aplicando activamente estrategias Zero Trust en la actualidad. 

Figura 5: Adopción empresarial de estrategias Zero Trust. 

A medida que el número de vulnerabilidades de seguridad de alto perfil asociadas a las VPN sigue aumentando, las empresas deben anticipar un aumento correspondiente de los incidentes de seguridad relacionados con las VPN. En consecuencia, las empresas considerarán cada vez más el ZTNA como un sustituto de la VPN y una manera de mejorar fundamentalmente su postura de seguridad. 

Nuestra solución ZTNA, Zscaler Private Access (ZPA) ofrece seguridad integral para los usuarios que se conectan a aplicaciones privadas independientemente de su ubicación, desde cualquier dispositivo. Con ZPA, las aplicaciones se ocultan de la exposición a Internet, lo que dificulta que los atacantes las encuentren y se centren en ellas. Nuestra inspección del tráfico en línea detecta las actividades maliciosas para evitar el compromiso y la exfiltración de datos. ZPA es capaz de limitar ‌el radio de alcance con la segmentación usuario-aplicación impulsada por la IA y el engaño integrado. 

Para conocer todas las perspectivas del informe, incluidas las orientaciones sobre las mejores prácticas para mitigar los riesgos de las VPN y las predicciones para 2024 y más allá, descargue hoy mismo su copia del Informe de riesgos de las VPN Zscaler ThreatLabz 2024 con Cybersecurity Insiders.