Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Recomendaciones de seguridad en el empleo de redes VPN

Fecha de publicación 10/11/2020
Autor
INCIBE (INCIBE)
Recomendaciones de seguridad en el empleo de redes VPN

Para muchas empresas el teletrabajo ha supuesto tener que adoptar medidas especiales para que sus trabajadores pudieran seguir desarrollando sus funciones desde casa. El mayor reto es permitir el acceso a la información empresarial con el menor riesgo e inversión posibles. Para ello, la solución más eficaz y comúnmente adoptada es la implementación de redes privadas virtuales (VPN, del inglés Virtual Private Network), llamadas así porque se emplea una red privada (virtualmente hablando) en un canal público (Internet).

Una VPN no es una red física como tal, como podría ser la intranet corporativa, sino una red de transmisión de la información sensible, de forma encapsulada y cifrada para evitar que pueda ser vista y utilizada por terceros.

El uso de este tipo de redes VPN en la empresa abarata los costes logísticos, permitiendo el acceso seguro a la información desde cualquier sitio con acceso a Internet y aportando privacidad absoluta a las comunicaciones. Conseguir que todo esto funcione conlleva la adopción de medidas de seguridad eficaces en cuanto a la adecuada autenticación de los usuarios y el cifrado de la información para evitar el robo de la misma.

Ventajas de una VPN

En la actualidad podemos optar por emplear redes VPN desplegándolas de forma propia en la empresa o empleando servicios de terceros.

Si optamos por el uso de VPN de terceros, el despliegue, configuración y seguridad son mantenidos por el proveedor, lo que facilita a la empresa comenzar con su actividad en el menor tiempo posible, despreocupándose del coste y configuración de los equipos necesarios. Sin embargo, la gestión de la red, su seguridad y su velocidad, así como la privacidad, dependerán del nivel que el proveedor haya implementado. Conviene recordar también que en la contratación de servicios de terceros, se considera una práctica recomendable firmar un acuerdo de confidencialidad y de nivel de servicios o SLA (Service Level Agreement) con el proveedor de los mismos, para poder disponer de unas garantías por escrito.

Por el contrario, desplegar una VPN a nivel privado en la empresa, supone mayores costes en cuanto a equipos y configuración, así como personal cualificado. A cambio, permite controlar la seguridad, privacidad y mejora el ancho de banda, evitando conexiones de intermediarios en la nube y posibles cortes de servicio ajenos a la empresa.

Esquema VPN

En ambos casos, emplear un túnel privado o VPN para transmitir información tiene una serie de ventajas frente a hacerlo directamente a través de Internet:

  • Autenticación verificada: el usuario que utiliza el túnel es quien dice ser gracias a un certificado intercambiado entre el cliente y servidor.
  • Integridad de los datos: el empleo de hashes permite verificar que los datos que se transmiten no han sufrido modificaciones entre las partes legítimas de transmisión.
  • Confidencialidad: gracias al empleo de técnicas de cifrado cada vez más avanzadas, nadie podrá acceder a la información.
  • Uso de la red interna empresarial, como si se estuviera delante del ordenador de la empresa, permitiendo que a la persona que conecta se le apliquen las directivas de seguridad de la red empresarial y los permisos de acceso correspondientes.
  • Permiten el uso de redes abiertas con seguridad, por ejemplo, en el aeropuerto o en una cafetería. En estos casos, la información que enviamos a través de una red wifi no segura, viaja por su propio túnel (encapsulamiento) y de manera ilegible (cifrada), y solo el destinatario legitimo al final del túnel puede descifrar la información y acceder a ella.

Sin embargo, la utilización inadecuada de redes VPN entraña riesgos de seguridad importantes, ya que no debemos olvidar que el acceso a la información se está produciendo a través de un canal público como es Internet, lo que implica que las empresas deben exponer una puerta de entrada a su información privada.

Recomendaciones de utilización y despliegue

A la hora de desplegar o escoger un servicio VPN debemos elegir cuidadosamente el protocolo que emplearemos y el tipo de cifrado, pues influyen de manera notable en la seguridad y en la velocidad. Los tipos de cifrado más seguros y usados actualmente son:

  • L2TP/IPSec: por si solo L2TP no incluye cifrado se combina con IPSec, cuya clave de cifrado es de 256bit, lo que garantiza suficientemente la seguridad de una conexión. Se considera inseguro si se usan claves precompartidas, es decir, conocidas previamente por ambas partes a través de un canal que debería ser teóricamente seguro.
  • SSTP: creado por Microsoft, con un cifrado a 256 bits y certificados seguros SSL/TLS de 2048 bits, sería suficiente para garantizar una buena seguridad en este protocolo.
  • OpenVPN: protocolo de código abierto, lo que significa que cualquier fallo se identifica y corrige con total rapidez gracias a la comunidad de desarrolladores. Considerado de los más seguros, utiliza cifrado AES a 256bits y autenticación RSA a 2048 bits.

La elección del protocolo adecuado responde a las necesidades específicas de la empresa. Existen otros protocolos menos seguros, pero más rápidos y fáciles de implementar, que podrían ser suficientes para la transmisión de datos de baja confidencialidad en la empresa.

Finalmente, como recomendaciones generales, debemos recordar:

  • Filtrar el tráfico y monitorizar las direcciones que utilizan la VPN. De esta forma, mejoramos la seguridad y ante un incidente podremos responder con más velocidad y eficacia.
  • Utilizar algoritmos de cifrado seguros, como mínimo recomendado el SHA-256 con AES 128/256 o SHA-384, en caso de información muy sensible.
  • Revisar ajustes por defecto de las configuraciones VPN, sobre todo en servidores, donde no debemos olvidar mantener una política de contraseñas seguras para clientes y servidor.
  • Eliminar aquellos algoritmos no utilizados en servidores, evitando en lo posible la negociación del protocolo de cifrado por parte de los dispositivos.
  • Actualizaciones de software y hardware de las maquinas que hospedan una VPN, evitando así vulnerabilidades.
  • Fugas de DNS: comprobar periódicamente si el servidor VPN mantiene la privacidad o existen fugas a través de DNS no especificados en la configuración inicial.
  • Segmentación de la red. Es un punto importante que, ante un acceso no autorizado, solo se vea comprometida la parte de red segmentada y no toda la red corporativa.
  • Desactivar accesos a Internet que no vayan tunelizados, aumentando la privacidad y evitando así que terceras partes puedan acceder a la información o modificarla.
  • Utilizar el doble factor de autenticación para acceder a las redes VPN, lo que permite identificar de manera más fidedigna a la persona que va a hacer uso de la conexión.

Desde la óptica del trabajador que emplea redes VPN, es necesario recalcar o concienciar acerca de unos puntos esenciales:

  • Mantener el sistema operativo y las herramientas de conexión VPN actualizadas.
  • Emplear una cuenta de usuario específica para trabajar con la VPN y sin privilegios de administrador.
  • Disponer de un software antivirus y antimalware actualizados.
  • Conectar por cable Ethernet para reforzar la seguridad y persistencia de la red VPN.
  • Ante cualquier incidencia o comportamiento extraño, contactar inmediatamente con el Departamentos Informático de la empresa, prestando atención a los detalles que han motivado la misma.

CONCLUSIONES

Actualmente, como norma general, podemos considerar que el equilibrio adecuado entre seguridad y velocidad estaría en utilizar cualquier protocolo que implemente un cifrado AES a 256 bits con autenticación SSL/TLS de 2048 bit, más que suficiente para disuadir a cualquier ciberdelincuente de sus intenciones maliciosas. En algunos protocolos se puede aumentar la clave de cifrado y de autenticación, pero esto redundará en una reducción significativa de la velocidad. Generalmente, se reserva para trabajar con información extremadamente confidencial en perjuicio de la velocidad.

Por último, siempre debemos mantener una política de seguridad basada en las actualizaciones para evitar vulnerabilidades y concienciar a los empleados. Desde INCIBE ponemos continuamente nuestra atención en este aspecto ayudando a las empresas con nuestro Kit de concienciación.

Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad