[15/04/2025] Zscaler ha publicado su titulado Zscaler ThreatLabz 2025 VPN Risk Report, encargado por Cybersecurity Insiders, que destaca los desafíos generalizados de seguridad, experiencia de usuario y funcionamiento que plantean los servicios de VPN. Según lo señalado en el comunicado de prensa, los hallazgos se basan en los resultados de una encuesta realizada a más de 600 profesionales de TI y seguridad.
"Los resultados son contundentes: mantener la seguridad y el cumplimiento es el mayor desafío (56%) al que se enfrentan las empresas que utilizan VPN en la actualidad. Mientras tanto, los riesgos de los ataques a la cadena de suministro y el ransomware son lo más importante para estas empresas, ya que al 92% de los encuestados les preocupa que las vulnerabilidades persistentes de las VPN provoquen ataques de ransomware. Estos riesgos combinados han culminado en un profundo cambio en la forma de pensar en torno a las VPN empresariales, ya que el 65% de las organizaciones planea reemplazar sus VPN en el transcurso del año, mientras que el 81% planea implementar una estrategia de confianza cero en todas partes”, sostuvo Deepen Desai, CSO at Zscaler.
Inicialmente diseñadas para el acceso remoto, el ejecutivo anotó que las VPN se han convertido en un lastre para las redes corporativas, exponiendo los activos de TI y los datos confidenciales debido al acceso con privilegios excesivos, las vulnerabilidades y una superficie de ataque cada vez mayor. "La VPN, tanto física como virtual, es opuesta a Zero Trust, ya que por arquitectura lleva a los usuarios remotos y a los atacantes a la red. Además, las VPN dificultan la eficiencia operativa con un rendimiento lento, problemas de conexión frecuentes y mantenimiento complejo, lo que sobrecarga a los equipos de TI e interrumpe la productividad de los empleados. El informe tiene como objetivo arrojar luz sobre estas preocupaciones con información confiable de pares de la industria, al tiempo que brinda a las empresas orientación para permitir el acceso seguro en los entornos de trabajo híbridos actuales”.
Preocupaciones de seguridad y usabilidad
Desai anotó que los riesgos de seguridad y cumplimiento se clasificaron como los principales desafíos de las VPN, con un 54%, lo que pone de manifiesto la creciente preocupación de que las VPN son inadecuadas y obsoletas para defenderse de las amenazas cibernéticas en evolución de hoy en día. "Los ciberdelincuentes ahora están aprovechando la IA para identificar vulnerabilidades mediante el uso de modelos GPT para ejecutar consultas centradas en identificar debilidades en las VPN, por ejemplo, realizando un reconocimiento simplemente pidiéndole a un chatbot de IA generativa que devuelva todos los CVE actuales para los productos VPN en uso por una empresa. Las tareas que antes requerían semanas o incluso meses ahora se pueden realizar en solo minutos. Un asombroso 92% de los encuestados dijeron que les preocupa ser blanco de ataques de ransomware debido a vulnerabilidades de VPN sin parches”.
El aumento de las vulnerabilidades críticas y escaneables de las VPN
Desai comentó que, para comprender cómo los atacantes explotan las vulnerabilidades en la infraestructura de VPN conectada a Internet, ThreatLabz también analizó las vulnerabilidades y exposiciones comunes de las VPN (CVE) del 2020 al 2025, basándose en datos del programa MITRE CVE.
"En general, los informes de vulnerabilidades son algo bueno, ya que la divulgación rápida de vulnerabilidades y la aplicación de parches ayudan a todo el ecosistema a mejorar la higiene cibernética, fomentar la colaboración de la comunidad y responder rápidamente a nuevos vectores de ataque. Ningún tipo de software es inmune a las vulnerabilidades, ni se debe esperar que lo sea”, sostuvo el ejecutivo.
Durante el periodo de la muestra, Desai indicó que los CVE de VPN crecieron un 82,5% (tenga en cuenta que se han eliminado los datos de principios del 2025 para esta parte del análisis). En el último año, aproximadamente el 60% de las vulnerabilidades indicaron una puntuación CVSS alta o crítica, lo que indica un riesgo potencialmente grave para las organizaciones afectadas. Además, ThreatLabz descubrió que las vulnerabilidades que permiten la ejecución remota de código (RCE) eran el tipo más frecuente, en términos del impacto o las capacidades que pueden otorgar a los atacantes. Este tipo de vulnerabilidades suelen ser graves, ya que pueden otorgar a los atacantes la capacidad de ejecutar código arbitrario en el sistema. "Dicho de otra manera, lejos de ser inocuos, la mayor parte de las CVE de VPN están dejando a sus clientes vulnerables a exploits críticos que los atacantes pueden, y a menudo lo hacen, explotar”.
Las VPN para invitados no deseados
Desai señaló que las VPN proporcionan un amplio acceso después de la autenticación, lo que amplía el acceso de los usuarios a contratistas, socios externos y proveedores. "Si bien en teoría son excelentes herramientas de conectividad, los atacantes pueden explotar fácilmente credenciales débiles o robadas, configuraciones incorrectas y vulnerabilidades sin parches para comprometer estas conexiones confiables. El informe muestra que el 93% de las organizaciones ahora se preocupan por las vulnerabilidades de puerta trasera derivadas del acceso de terceros”.
Fuera lo viejo, adentro lo nuevo - Zero Trust Everywhere
El ejecutivo señaló que los proveedores tradicionales están intentando adaptarse al panorama en evolución mediante la implementación de máquinas virtuales en la nube y su etiquetado como soluciones Zero Trust. "Desafortunadamente, una VPN alojada en la nube sigue siendo, en esencia, una VPN y no se adhiere a los verdaderos principios de Zero Trust. Para ilustrar este punto, la industria ha sido testigo recientemente de picos masivos en la actividad de escaneo dirigida a decenas de miles de direcciones IP VPN de búsqueda pública alojadas por al menos uno de los proveedores de seguridad más grandes. Históricamente, este tipo de actividad ha indicado cierta probabilidad de que los atacantes se estén preparando para explotar vulnerabilidades aún no reveladas en activos VPN específicos. Un ejemplo: si es localizable, es vulnerable, por lo que, desde una perspectiva arquitectónica, la tecnología VPN basada en la nube nunca puede lograr verdaderos principios de confianza cero, independientemente de la marca”.
El ejecutivo agregó que el cambio a una arquitectura holística de Zero Trust está ganando impulso rápidamente, y reemplazando a las herramientas de seguridad heredadas obsoletas debido a los beneficios de seguridad comprobados y las ganancias de eficiencia para las organizaciones que lo adoptan. El informe encontró que el 81% de las organizaciones están adoptando, o planean adoptar, una arquitectura Zero Trust en el próximo año y, al extender esta arquitectura a los usuarios, las aplicaciones y las cargas de trabajo, las empresas se aseguran de que Zero Trust esté realmente en todas partes, lo que permite una seguridad resistente sin VPN”.
Metodología de la investigación
Este informe se basa en una encuesta exhaustiva de 632 profesionales de TI y ciberseguridad realizada por Cybersecurity Insiders. El estudio examina los riesgos de seguridad de las VPN, las tendencias de acceso empresarial y la adopción de arquitecturas de confianza cero. Entre los encuestados se encuentran ejecutivos, profesionales de la seguridad informática y líderes de infraestructura de red de diversos sectores. Los hallazgos proporcionan una perspectiva basada en datos sobre el declive de las VPN y el cambio a la confianza cero, ofreciendo información crítica para las organizaciones que modernizan sus estrategias de seguridad de acceso.
Franca Cavassa, CTOPerú