Imagen creada con IA
Los sistemas informáticos de las organizaciones para proteger la información y los servicios que ofertan utilizan diversos mecanismo que se engranan en un mecanismo de gestión. En este andamiaje un papel muy importante lo tiene la existencia del proxy que no debe percibirse solamente como un software que se instala, sino como una pieza clave en la arquitectura del Sistema de Gestión de Seguridad de la Información (SGSI) como parte de la defensa en profundidad, que se establece a través de diversas capas.
En términos de ciberseguridad, un proxy (proxy forward) es un servidor que actúa como un intermediario entre un cliente (el ordenador de un usuario) y un servidor de destino en la red de redes. Esto explica a grandes rasgos su esencia, pero un proxy es mucho mas que eso por las funciones que tiene en la estrategia de defensa del sistema informático de una organización, entre ellas se destacan:
1. El control de acceso y filtrado de contenido, su función más visible por que analiza las peticiones HTTP/HTTPS a partir de las políticas que se establecen en la institución en torno al tráfico de internet para denegar o bloquear el acceso a sitios. El proxy corta la conexión antes de que llegue al usuario, lo que permite aplicar la política de seguridad a nivel de red de forma centralizada.
2. El almacenamiento en caché que permite que si varias personas acceden al mismo sitio web, el Proxy descarga el contenido una vez y lo sirve a los demás desde su memoria local, lo que ahorra ancho de banda y acelera la navegación, mejorando la disponibilidad del servicio. Esto previene que se colapse el tráfico a la red de redes de la organización.
3. La privacidad y el anonimato al ocultar la estructura de la red interna, porque en la navegación del usuario, el servidor de destino solo visibiliza la dirección IP del proxy y no la IP interna del usuario. Así se oculta la estructura interna de la red corporativa a ojos de los atacantes externos y se protege la topología interna.
4. El registro y la auditoría (Logging), porque el proxy guarda un registro de que usuario y desde que IP se accedió a que URL y cuándo. Esto es crítico para la investigación forense en caso de un incidente de seguridad, pero a la vez, cumple con una norma legal cubana (artículo 36, inciso h – res. 128/2019 del MINCOM).
5. La inspección de contenido, que forma parte de la seguridad avanzada, porque se puede decodificar a través de la función de inspección SSL, el tráfico HTTPS para buscar programas malignos ocultos o filtración de datos institucionales.
Estas funciones, entre otras, explican porque evadir el control del proxy es vulnerar de manera irresponsable la seguridad de la red.
Uno de los mecanismos que incide negativamente sobre la seguridad que ofrece la existencia del proxy a las redes es la utilización de redes virtuales privadas (VPN) gratuitas.
En ciberseguridad, existe una máxima inquebrantable: “Si el producto es gratuito, la persona no es cliente, es el producto».
Algunos usuarios instalan una VPN gratuita en sus dispositivos pensando en blindar su privacidad, otros lo hacen para ocultar acciones malintencionadas, ilegítimas o no compatibles con las políticas institucionales. Sin embargo, visto desde la óptica técnica y forense, estas aplicaciones constituyen una de las mayores vulnerabilidades activas para un sistema informático porque estas herramientas representan una amenaza dual: para el dispositivo del usuario y para la red a la que este se conecta.
Para entender el riesgo, lo primero es comprender el modelo de negocio de una VPN. Mantener la infraestructura de una VPN requiere servidores de alto rendimiento, ancho de banda masivo y mantenimiento de seguridad constante. Si el usuario no paga por el uso de estos servicios, ¿quién lo hace?.
Las VPN gratuitas son un negocio que recupera su inversión y genera ganancias a través de la venta de los historiales de navegación a terceros. Al vender a anunciantes o corredores de datos el registro de los sitios web que visita el usuario obtienen pingües beneficios y el usuario recibe un bombardeo de información no solicitada (SPAM), que además contribuye a saturar el ancho de banda, porque se realiza una inyección de anuncios y rastreadores que modifican el tráfico HTTP e inserta publicidad o utilizar cookies de seguimiento de terceros.
Como se aprecia el riesgo existe, porque supuestamente el usuario instala la herramienta para obtener privacidad, pero en realidad está entregando sus datos a entidades desconocidas con políticas de privacidad que se diluyen con la monetización de los mismos.
Un segundo aspecto a tomar en consideración son las amenazas al dispositivo del usuario como punto final.
La instalación de un cliente de VPN gratuito otorga a esa aplicación privilegios de red elevados que convierten a este tipo de software en un objetivo perfecto para el ataque.
Entre las incursiones más notables de los ciberdelincuentes sobre las VPN están los códigos maliciosos ocultos o los SDK (kits de desarrollo de softfware) maliciosos, en especial troyanos, botnets o aspectos enfocados a la minería de criptomonedas.
Otro aspecto importante a considerar es que las VPN deben encapsular todo el tráfico. Sin embargo, muchas de ellas tienen implementaciones técnicas deficientes o desactualizadas que generan fuga de DNS que puede ocurrir aunque el tráfico va por un túnel. La solicitud para traducir el nombre de la web a una dirección IP se realiza a través del DNS del ISP local, lo que expone al usuario ante su proveedor de internet y cualquier observador externo, anulando el propósito de la VPN. A esto se añade la fuga de IP real del usuario que puede ser expuesta incluso estando conectado a la VPN.
Pero el escenario más crítico en torno a las amenazas lo aportan las VPN gratuitas al riesgo corporativo y el movimiento lateral en las redes institucionales, que se tornan críticos para los profesionales de la seguridad informática. Si una persona conecta a la red corporativa un dispositivo personal infectado o inseguro, utilizando una VPN gratuita, o instala una VPN gratuita dentro de la red corporativa para evadir filtros, se genera una brecha de seguridad masiva.
Las VPN generan un túnel encapsulado para evadir las acciones de control de la red, en especial las reglas de control de los cortafuegos y los sistemas de prevención de intrusiones (IPS) que están diseñados para inspeccionar el tráfico que sale y entra de la red.
Cuando un usuario activa una VPN gratuita, crea un túnel cifrado hacia los servidores del proveedor. Esto condiciona que el cortafuegos institucional no puede inspeccionar los paquetes que transitan dentro de ese túnel. Esto trae como resultado que se pueden exfiltrar datos de la organización a servidores externos, o descargar programas malignos. Desgraciadamente, al evadir el mecanismo del sistema de seguridad, estos paquetes en tránsito serán vistos como «tráfico cifrado hacia una IP de la VPN», lo que puede pasarse por alto hasta que sea demasiado tarde.
Los escenarios de la VPN “gratuitas”, que como se ha mencionado se tornan inseguras por su errores en la configuración, son propicias a la realización de ataques del tipo hombre en el medio (Man-in-the-Middle – MitM). En estos casos, cuando la VPN es maliciosa o está comprometida, todo el tráfico del usuario que pasa por los servidores del proveedor es hackeado, dada la posición privilegiada del atacante para realizar ataques MitM. También se pueden interceptar sesiones, capturar tokens de acceso o modificar descargas de software en tránsito para inyectar programas malignos. Si el usuario labora fuera del recinto institucional, cuando se conecta a la red de la organización compromete su seguridad.
Es importante que se apunte como un aspecto negativo adicional la probabilidad de contaminación de la red desde el dispositivo del usuario que ha sido comprometido por el código maligno a través de una VPN gratuita. Son comunes en estos casos los troyanos de acceso remoto (RAT) que entran a la red institucional a través del intercambio del dispositivo del usuario en la red corporativa. Esto genera un puente que permite al atacante moverse de forma lateral dentro de la infraestructura de la empresa, escalando privilegios y accediendo a otros dispositivos e incluso a servidores críticos.
Esta oscuridad al control de los mecanismos de seguridad de la red, que sigue el principio de que “el fin justifica los medios” pone en peligro todos los recursos que la institución dispone para el cumplimiento de las misiones que tiene fijadas.
Solo se admite en la Universidad de Oriente el uso de la VPN institucional que está diseñada para la protección de la conexión de los usuarios desde fuera de la institución para evitar brechas en el perímetro de red y esta, además de ser altamente segura, cumple con el requerimiento de la trazabilidad y la auditoría.
Por las razones que han sido expuestas, el uso de las VPN es una falta punible que transgrede las políticas de uso aceptable de la institución.