Noruega recomienda a las empresas que abandonen las VPN SSL antes de finales de 2025

Recomendaciones para la transición a soluciones VPN más seguras

La necesidad de implementar medidas más seguras para el acceso remoto a las redes empresariales ha surgido debido a la explotación recurrente de vulnerabilidades en soluciones VPN que utilizan Secure Socket Layer/Transport Layer Security (SSL/TLS), conocidas como SSLVPN, WebVPN o VPN sin cliente. El Centro Nacional de Ciberseguridad (NCSC) recomienda la transición a opciones más seguras como Internet Protocol Security (IPsec) con Internet Key Exchange (IKEv2).

Motivos para la transición y plazos para su implementación

La transición a soluciones de acceso remoto más seguras debe completarse antes de finales de 2025, y para las entidades sujetas a la Ley de Seguridad, antes de finales de 2024.

Durante un período prolongado, el NCSC ha observado y alertado sobre vulnerabilidades críticas en las soluciones VPN basadas en SSL/TLS. La gravedad de estas vulnerabilidades y su explotación reiterada por actores maliciosos hacen necesario un cambio a alternativas más seguras. Se recomienda específicamente la adopción de IPsec con IKEv2, una solución que también ha sido sugerida por autoridades de otros países.

El objetivo principal de esta recomendación es reducir la superficie de ataque y las vulnerabilidades asociadas con el acceso remoto seguro. Es probable que en el futuro se descubran nuevas vulnerabilidades de día cero en productos de la categoría SSLVPN. Aunque las soluciones basadas en IPsec con IKEv2 también pueden presentar vulnerabilidades, esta elección tecnológica conlleva una menor superficie de ataque y una menor tolerancia a errores en la configuración de la solución.

Medidas y recomendaciones para la reducción de riesgos

Para minimizar el riesgo asociado al uso de VPN como solución de acceso remoto, se recomienda planificar la eliminación de SSLVPN y la transición a IPsec IKEv2.

La implementación de esta transición variará según el tamaño de la organización, el número de empleados, la arquitectura, la elección del proveedor y el área de aplicación. Las organizaciones deben comenzar la planificación a corto plazo. El NCSC sugiere una eliminación completa de SSLVPN y la adopción de IPsec IKEv2 a más tardar para finales de 2025. Para las entidades reguladas por la Ley de Seguridad o consideradas críticas para la sociedad, la recomendación es completar esta transición antes de finales de 2024.

El NCSC no proporciona recomendaciones específicas para productos o protocolos alternativos a IPsec, y no ha evaluado soluciones propietarias para el acceso remoto seguro. Cabe destacar que muchos proveedores de soluciones VPN basadas en TLS (SSLVPN) también ofrecen configuraciones que utilizan IPsec con IKEv2.

En ubicaciones donde no sea posible establecer una conexión IPsec, se recomienda el uso de 5G a través de móvil o banda ancha móvil como alternativa, en lugar de desviarse de la recomendación de IPsec. Es importante señalar que el uso de IPsec IKEv2 no excluye el empleo de soluciones modernas y seguras integradas en el sistema operativo subyacente, como Always On VPN (no DirectAccess) en Windows, o soluciones basadas en el protocolo WireGuard que aseguren la gestión de usuarios y dispositivos, así como el registro centralizado de autenticación y actividad.

Acciones a implementar durante la transición

• Reconfigurar la solución VPN existente para soportar IPsec IKEv2. Si la solución actual no lo soporta, planificar y reemplazarla por una que sí lo haga.
• Migrar usuarios y sistemas que utilizan SSLVPN a IPsec IKEv2.
• Desactivar la funcionalidad SSLVPN y verificar que no respondan puntos finales.
• Bloquear todo el tráfico TLS entrante al servidor VPN.
• Utilizar autenticación mediante certificados.

Hasta que la organización haya establecido IPsec IKEv2, el NCSC recomienda las siguientes medidas durante el período de transición:

• Asegurar que la solución VPN registre en un receptor de registros centralizado, y permitir la detección y seguimiento rápido de actividades sospechosas.
• Permitir únicamente el tráfico entrante de los países necesarios (geofencing).
• Bloquear el acceso desde infraestructuras inseguras como servicios de anonimización (proveedores de VPN y nodos de salida de Tor) y proveedores de VPS.

Estas acciones y recomendaciones del NCSC buscan garantizar un acceso remoto seguro y confiable, reduciendo las vulnerabilidades y mejorando la seguridad general de las redes empresariales.