Una red privada virtual (VPN) puede ayudar a proteger los datos y gestionar el acceso de los usuarios, pero hay alternativas a las VPN.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
Una red privada virtual (VPN) es un servicio de seguridad en Internet que permite que los usuarios accedan a Internet como si estuvieran conectados a una red privada. Las VPN utilizan encriptación para crear una conexión segura a través de una infraestructura de Internet no segura.
Las VPN son una forma de proteger los datos corporativos y gestionar el acceso de los usuarios a dichos datos. Las VPN protegen los datos cuando los usuarios interactúan con aplicaciones y propiedades web en Internet, y pueden mantener ocultos determinados recursos. Se suelen utilizar para el control de acceso; sin embargo, también hay otras soluciones, como la gestión de identidades y accesos (IAM), que pueden ayudar a gestionar el acceso de los usuarios.
La encriptación es una forma de codificar los datos para que solo puedan entender la información las partes autorizadas. Toma los datos legibles y los altera para que les parezcan aleatorios a los atacantes o a cualquier otra persona que los intercepte. Por ello, la encriptación es como un "código secreto".
Una VPN funciona mediante el establecimiento de conexiones encriptadas entre dispositivos. (Las VPN a menudo utilizan los protocolos de encriptación IPsec o SSL/TLS). Todos los dispositivos que se conectan a la VPN establecen claves de encriptación, que se utilizan para codificar y descodificar toda la información que se envía entre ellos. Este proceso puede añadir una pequeña cantidad de latencia a las conexiones de red, lo que ralentizará el tráfico de red (más información sobre el rendimiento de las VPN).
Con esta encriptación se logra que las conexiones VPN sigan siendo privadas, aunque se extiendan por la infraestructura pública de Internet. Imaginemos que Alice trabaja desde casa, y se conecta a la VPN de su empresa para poder acceder a una base de datos de la empresa que está almacenada en un servidor a 160 kilómetros de distancia. Supongamos que todas sus solicitudes a la base de datos, así como las respuestas de la base de datos, viajan a través de un punto de intercambio de Internet (IXP) intermedio. Ahora, supongamos que un delincuente se ha infiltrado en secreto en este IXP y controla todos los datos que pasan por el mismo (algo así como intervenir una línea telefónica). Los datos de Alice siguen siendo seguros gracias a la VPN. El delincuente solo puede ver la versión encriptada de los datos.
Imaginemos que hay dos servidores en el edificio de oficinas de Acme Co: el servidor A y el servidor B. Acme Co. no utiliza WiFi, así que todos los dispositivos tienen que utilizar cables Ethernet para acceder a la red. El servidor A está conectado físicamente mediante cables y enrutadores a una red de dispositivos, que incluye ordenadores de escritorio y la impresora de la oficina.
El que no esté conectado físicamente a la red del Servidor A no podrá conectarse con el Servidor A, y lo mismo ocurre con el Servidor B. Si Bob quiere imprimir un documento almacenado en el Servidor A con la impresora de la oficina, debe conectar su ordenador de escritorio a la red correcta antes de poder acceder al Servidor A y a la impresora. Si quiere recuperar un documento del Servidor B, debe conectarse también a esa red.
Las VPN funcionan de forma similar, solo que la red es virtual y no física. Igual que Bob no puede conectarse al Servidor A si no está conectado a la red, un ordenador no puede conectarse a un recurso situado tras una VPN a menos que se conecte a esa VPN. Si Acme Co. utilizara WiFi y VPN en lugar de cables y enrutadores físicos, Bob tendría que conectarse a la VPN A para poder conectarse al Servidor A. Del mismo modo, tendría que conectarse a la VPN B para acceder al Servidor B.
Debido a que las VPN funcionan de esa manera, muchas empresas las utilizan para controlar el acceso, es decir, para controlar qué usuarios tienen acceso a qué recursos. La empresa establece varias VPN diferentes, y cada una de ellas se conecta a distintos recursos internos. Al asignar los usuarios a estas VPN, diferentes usuarios pueden tener diferentes niveles de acceso a los datos.
El control y la gestión del acceso son fundamentales para proteger y asegurar los datos corporativos. Sin control de acceso, usuarios no autorizados podrían ver o alterar datos confidenciales, lo cual supondría una fuga de datos.
1. Punto único de fallo.
Los atacantes no pueden vigilar el tráfico encriptado por la VPN desde fuera de la VPN. Pero si consiguen conectarse a la VPN, obtienen acceso a cualquier recurso conectado a esa red. Solo hace falta una cuenta o un dispositivo afectado para que un atacante obtenga acceso a los datos protegidos por la VPN.
Esta situación suele conocerse como modelo "perimetral". Pensemos en un castillo protegido por un foso. Las fuerzas atacantes que ataquen el castillo no podrán entrar porque se lo impide el foso, pero una vez que lo crucen, todo el castillo estará en peligro. Con un enfoque de seguridad VPN, el "foso" consiste en cuentas VPN de usuarios internos. Si un atacante roba las credenciales de inicio de sesión de un usuario, entonces es capaz de rebasar la VPN: puede "cruzar el foso" y conseguir acceso a todos los datos conectados.
La seguridad Zero Trust es un marco para el control de acceso que pretende sustituir el enfoque perimetral por una estrategia más segura, en la que no se confía en ningún usuario por defecto. Más información sobre la seguridad Zero Trust.
2. Las VPN son difíciles de gestionar.
Es difícil gestionar varias VPN a gran escala. En las grandes organizaciones, los diferentes usuarios necesitan tantos tipos de acceso distintos que los equipos de TI se ven obligados a 1) establecer y mantener muchas VPN, o 2) exigir a los usuarios que se conecten a varias VPN a la vez, lo que resulta incómodo y puede afectar negativamente al rendimiento de los dispositivos y de la red.
3. Las VPN no son granulares.
Las VPN funcionan de forma aceptable para dar acceso a un gran grupo de usuarios a la vez. Sin embargo, en la práctica, los equipos de TI a menudo necesitan adaptar los permisos a los usuarios individuales: un empleado necesita acceder al código base, otro necesita acceder al código base y al sistema de gestión de contenidos (CMS), otro necesita acceder a ambos y a la plataforma de automatización de marketing, otro solo necesita el CMS, etc.
Establecer una VPN para cada empleado no es práctico: se necesita mucho tiempo, es lento y requiere mucho trabajo. Para gestionar el acceso a nivel de usuario individual se requiere un enfoque diferente, más granular.
Debido a que las VPN son virtuales, se suelen utilizar para que los trabajadores en remoto tengan acceso a los recursos necesarios de la empresa. Sin embargo, con este enfoque las empresas suelen encontrarse con uno o varios de los problemas descritos anteriormente.
Muchas soluciones de gestión de identidades y accesos (IAM) ofrecen un control más granular, que es más fácil de implementar. Por ejemplo, Cloudflare Zero Trust es fácil de configurar y está diseñado para aumentar la seguridad sin afectar al rendimiento. Cloudflare Zero Trust ofrece un acceso seguro a las aplicaciones internas sin necesidad de usar una VPN. En lugar de una VPN, la red global de Cloudflare protege los recursos y datos internos.
Las puertas de enlace web seguras también pueden ayudar a mantener la seguridad de los empleados en remoto, al filtrar los contenidos de riesgo e impedir que los datos salgan de las redes controladas por la empresa. Y, por último, implementar un perímetro definido por software (SDP) puede mantener la infraestructura y los datos internos invisibles para todos los usuarios no autorizados
Más información sobre la seguridad de los trabajadores en remoto.