Autor: Junior Mota/Centro de Seguridad Informática y Certificación Electrónica (CESICE)-FIIIDT
¿Qué es una VPN?
VPN (Red Virtual Privada), es una red privada basada en la infraestructura de una red pública como Internet. Hoy día, las principales usuarias de este concepto o tecnología son empresas, de los más variados portes y segmentos, que la utilizan para permitir que oficinas y empleados remotos se conecten con total seguridad a su red privada, utilizando conexiones de internet convencionales (públicas o domésticas).
El concepto de VPN surgió de dos necesidades:
- Sustituir las antiguas líneas privadas por tecnologías más baratas, que permiten conectar personas y unidades de negocio con un bajo costo
- Utilizar redes de comunicación no confiables para traer información de forma segura.
Con una VPN se puede acceder a una Red Privada de forma segura mediante el protocolo estándar HTTPS, desde cualquier dispositivo con conexión a internet. Así, los empleados tienen acceso cifrado a sus documentos y pueden trabajar fuera de la oficina del mismo modo que si estuvieran en ella. Gran parte de las empresas mantienen una VPN para que sus empleados puedan acceder a archivos, aplicaciones empresariales, impresoras y otros recursos en la red a través de un acceso remoto seguro.
¿Por qué protocolos se puede implementar una VPN?
Para implementar una VPN en su empresa, el gestor debe definir primero el protocolo de comunicación que se utilizará. Cada protocolo tiene características propias, con ventajas y desventajas, tal como se muestra a continuación.
PPTP
El PPTP (Point-to-Point Tunneling Protocol)) todavía tiene un gran uso, aunque no es la solución más recomendada por el funcionamiento del protocolo y el cifrado. Su popularidad, sin embargo, es debido a la alta compatibilidad con los sistemas operativos y los dispositivos móviles.
L2TP
El L2TP (Layer 2 Tunneling Protocol) combina conceptos de PPTP y L2F, un protocolo más antiguo desarrollado por Cisco Systems. Se considera el protocolo de encapsulación de Internet estándar de la industria, con casi la misma funcionalidad del protocolo PPTP. Sin embargo, el L2TP es más seguro que el PPTP, ya que hace todas las comprobaciones y validaciones de seguridad y habilita el cifrado de datos.
IPSec
La suite de protocolos IPSec (Internet Protocol Security) ofrece protección en el nivel de la capa IP (Internet Protocol) para comunicaciones por Internet. Aunque tiene una implementación más compleja y sufre constantemente problemas de interoperabilidad entre fabricantes, es la tecnología estándar de mercado, no sólo por la arquitectura, sino también por soportar un conjunto bastante completo de suites criptográficas.
SSL
El SSL (Secure Socket Layer), como los demás tipos de protocolos VPN, permite el establecimiento de comunicación (Sitio to Site / Site to Client, etc), de forma segura. En muchas implementaciones, SSL permite que la sesión pueda ser iniciada a través del propio navegador, lo que confiere bastante comodidad a los usuarios.
Esta tecnología ha tenido mucho crecimiento en los últimos 5 años pues acomoda flexibilidad y seguridad, retirando muchos de los desafíos de implantación y de comunicación entre proveedores distintos presentados por implementaciones IPSec.
En muchos casos la elección del protocolo no es una opción, sino una recomendación del fabricante o de la otra parte que desea comunicarse. Por lo tanto, lo más interesante es certificar que el propósito de la VPN esté siendo contemplado por la solución implantada, que es ofrecer un método de comunicación seguro a través de Internet, impidiendo la quiebra de integridad y confidencialidad de las informaciones.
¿Por qué utilizar una VPN?
Hay muchas razones para que las empresas busquen cada vez más usar VPN, entre ellas podemos destacar el perfeccionamiento de la seguridad, privacidad e integridad de los datos traficados. Además, las VPN permiten a los usuarios acceder a datos sensibles de la empresa en redes públicas, de manera segura, con mayor disponibilidad y movilidad para negocios y personas. Por lo tanto, las VPNs ayudan en la eliminación de barreras relacionadas con la comunicación y el mantenimiento de actividades fuera del ambiente de trabajo, aliando conceptos de productividad sin comprometer la seguridad de datos y sistemas corporativos, reflejando en ganancias, incluso financieras, para las empresas. De esta forma, las VPNs permiten acortar distancias, facilitando la comunicación entre personas y empresas, con máxima seguridad.
LA IMPORTANCIA DE LA SEGURIDAD DIGITAL EN TIEMPOS DE COVID-19
Estamos experimentando cambios radicales en nuestras rutinas en las últimas semanas debido al avance de la pandemia COVID-19. De la noche a la mañana, millones de personas comenzaron a trabajar desde sus hogares, sin acceso a sus oficinas, para mitigar el avance del virus. Es un esfuerzo colectivo que exige mucho de todos nosotros, y que también hace hincapié en nuestras estructuras de ciberseguridad de formas nunca antes vistas.
Durante años hemos visto una adopción gradual del trabajo a distancia por parte de empresas y empleados, pero con diferentes velocidades y prioridades de adaptación. No era raro ver que las adaptaciones al sistema de seguridad eran el último paso dado por las empresas y, lamentablemente, esta semana lo percibimos claramente. CIOs, técnicos y gestores de TI han pasado los últimos días esforzándose por adaptar sus redes y herramientas para que sus empleados puedan trabajar de forma remota, manteniendo la seguridad de los datos corporativos, y con esta prisa, se está dejando fuera un cuidado importante.
Cuando planificamos una estructura de trabajo remota eficiente y segura en una empresa, estamos hablando de tres fases. La primera consiste en la adopción de una VPN y herramientas de comunicación para el trabajo remoto. La segunda es la migración total de datos y herramientas de seguridad a la nube. Y la tercera son los procesos de autenticación de empleados remotos. Lo que hemos visto es que muchas empresas se preocupan sólo por la primera fase y consideran sólo soluciones VPN para garantizar la seguridad del acceso remoto, y esto crea problemas. VPN, en la práctica, es un túnel que conecta al usuario a la red de datos de una empresa. Una vez dentro de este túnel, el usuario tiene acceso a todo. Y si este acceso no está bien controlado, abre el camino para el fraude y la fuga de datos, especialmente en momentos como este donde todos los empleados trabajan de forma remota. Y aquí tenemos que ser claros: no todos los empleados necesitan acceso a VPN.
Es esencial que los administradores y los administradores de red trabajen en dos frentes, tanto en la VPN como en la nube. Es lo que llamamos “Split tunneling”. Mientras que VPN da acceso a todos los datos de la empresa, incluido el acceso más sensible, un acceso controlado a la nube permite que un empleado debidamente autenticado acceda solo a los datos necesarios y herramientas de colaboración, todas almacenadas correctamente en la nube. Es decir, la segunda fase, la migración del total de servicios y datos a la nube, debe completarse satisfactoriamente. La tercera fase, la autenticación de usuarios, también debe ponerse en práctica rápidamente.
Con el distanciamiento social recomendado por la Organización Mundial de la Salud, estamos compartiendo nuestro tiempo en casa y, a menudo, nuestras computadoras, con miembros de nuestras familias. De ahí la necesidad de crear herramientas de autenticación seguras, asegurando así la integridad de la información. Las soluciones como la doble autenticación de Log in ya eran esenciales, y ahora se vuelven más que obligatorias.
No puedes negar que estamos pasando por un momento único que nadie ha predicho. Y su excepcionalidad nos obliga a muchos de nosotros a acelerar la adopción de prácticas y medidas de seguridad que se estaban previendo a largo plazo. Pero es importante tener en cuenta que todavía puede perseguir y «no moverse» no es una opción. En tiempos como estos, los riesgos de seguridad se hacen mayores, pero también existe la oportunidad de crear una estructura de legado para que, al final de las dificultades, tengamos empresas y estructuras adecuadamente preparadas para el futuro de la “oficina en cualquier lugar”.
Contacto: motaibhaltair@gmail.com / jefecentrocsice.1@gmail.com