La administración de Joe Biden ha puesto mucha energía en resolver el caótico escenario actual de la ciberseguridad. Tras definirlo como uno de los retos principales de su Gobierno, el presidente de Estados Unidos emitió una orden ejecutiva para mejorar la protección ante ataques informáticos y definir estándares que sirvan a todo tipo de organizaciones y también a otros países.
La más reciente movida en esa dirección la dieron la Agencia Nacional de Seguridad (NSA) y la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), quienes publicaron esta semana un manual detallado para guiar los esfuerzos de las empresas que estén instalando o mejorando sus redes privadas virtuales (VPN).
El tránsito hacia el trabajo remoto que detonó el confinamiento no parece tener intenciones de retroceder, por lo que muchas organizaciones están haciendo uso de VPNs para desplegar conexiones seguras desde cualquier lugar. Este cambio de paradigma no pasó desapercibido para los cibercriminales, que han aumentado exponencialmente sus ataques dirigidos a este tipo de servicios o a obtener las credenciales de acceso para vulnerar desde ahí a las empresas.
El director de la NSA, Rob Joyce, declaró en la Aspen Cybersecurity Summit de esta semana que muchos actores peligrosos están en una búsqueda activa para explotar vulnerabilidades no parchadas en las VPN, por lo que nadie debe sentirse a salvo.
“A través de las VPNs usuarios malintencionados pueden aprovecharse de los servicios y protecciones internas que normalmente se ofrecen a los usuarios en sitio, como correos electrónicos, herramientas de colaboración, repositorios de documentos sensibles y puertas de enlace o firewalls del perímetro”, indica el documento.
Las nueve páginas de la guía incluyen consejos sobre cómo escoger una VPN confiable, cómo configurarla para otorgar la mayor seguridad posible y también qué hacer para reducir la superficie de ataque.
Un paso fundamental es, por supuesto, elegir un buen proveedor de VPN. La guía recomienda una lista de productos probados y validados en la National Information Assurance Partnership Product Compliant List, que son monitoreados constantemente para asegurar que parchen a tiempo sus vulnerabilidades y ofrezcan medidas reforzadas de protección. Actualmente son 42 los proveedores presentes en el registro, e incluyen a Apple, Cisco, Check Point, Juniper Networks y Fortinet.
Entre las recomendaciones, la NSA y la CISA destacan varios elementos clave para evitar intrusiones:
- Usar binarios firmados o imágenes de firmware
- Contar con un proceso de arranque seguro que verifique el código antes de ejecutarlo
- Validar la integridad de los procesos y archivos en ejecución
- Asegurarse de que la VPN contratada use módulos criptográficos validados por FIPS y que puedan ser configurados para usar solo algoritmos criptográficos aprobados.
Una vez que la VPN esté desplegada, la guía da una serie de consejos para mantenerse alerta y no descuidar la protección. Entre estos se encuentran requerir protocolos criptográficos, algoritmos y credenciales de autenticación fuertes y aprobados por la CNSA; usar servidores de certificados confiables y actualizarlos todos los años; y reducir la superficie de ataque de la VPN, mitigando las vulnerabilidades conocidas apenas sean reveladas, restringiendo el acceso a la VPN mediante puertos y protocolos comunes, y monitoreando de forma constante el tráfico, mediante un sistema de prevención de intrusiones o una herramienta asistida por inteligencia artificial.
Otra evidencia más de cómo se ha ido calentando la guerra contra el cibercrimen en los últimos años. Ya ninguna organización puede darse el lujo de dejar cabos sueltos en su estrategia de protección digital.