La pandemia de Covid-19 obligó a muchas empresas a utilizar una VPN para permitir el teletrabajo. Problema: no estaban necesariamente preparadas. La causa: servidores infradimensionados, falta de formación y malas prácticas. Charlie Le Hoangan*, experto en telecomunicaciones y formador de ORSYS, analiza las VPN, un componente esencial de las estrategias de ciberseguridad de las empresas.
Cuando el teletrabajo era aún una práctica aislada en Francia, Covid-19 ha llevado a las empresas en una dirección decisiva. En pocos días, la mayoría de los empleados, en su mayoría directivos, que podían trabajar a distancia han trasladado su entorno de trabajo a su domicilio.
Sin embargo, para que todos sus empleados puedan quedarse en casa conservando el acceso a la red interna, la empresa sólo tiene una solución: la VPN. Mientras que algunas empresas ya disponen de VPN, otras han tenido que adaptar su sistema al número de teletrabajadores... o incluso interesarse por él por primera vez. "Cuando llegó la crisis", explica Charlie Le Hoangan, consultor y formador de ORSYS, "Las empresas no estaban preparadas. Hicieron lo que pudieron para adaptarse al teletrabajo cuando se vieron obligadas a hacerlo y, con las prisas, simplemente se encontraron con problemas logísticos. "
Dar acceso a los empleados significa establecer un sistema tanto en los locales de la empresa como en sus ordenadores portátiles.
¿Qué es una VPN?
VPN, o Red Privada Virtual, no es una tecnología nueva. "Hace tiempo que disponemos de los medios técnicos para implantar el teletrabajo. El problema es más bien de resistencia de la dirección.dice Le Hoangan.
UN VPN se utiliza para proporcionar un uso privado de una red pública o compartida. En la práctica, la VPN permite al teletrabajador acceder a la red de la empresa a través de la red pública creando una tubería virtual segura. "La idea es que los teletrabajadores puedan acceder a las herramientas, aplicaciones y servidores de su empresa como si estuvieran físicamente presentes.
¿Confusión entre VPN "in situ" y "en línea"?
A menudo se equipara a las VPN con herramientas en línea para lograr el anonimato en Internet. A Charlie Le Hoangan le sorprende la confusión: "El objetivo no es en absoluto el mismo. Lo que venden estos servicios de "VPN en línea" es anonimización; permiten a los usuarios que no quieren ser rastreados o localizados conectarse a través de un servidor que actúa como repetidor. El término "VPN" en este caso es puramente comercial.
¿PVN de tamaño insuficiente?
El uso masivo del teletrabajo ha provocado a menudo problemas con el dimensionamiento de las VPN. Ante este tipo de afluencia, la saturación de los servidores es inevitable.
No se puede improvisar una VPN eficaz a largo plazo. "Para aumentar el número de accesos, la empresa se ve obligada a equiparse más, con hardware profesional y servidores dimensionados para soportar miles de conexiones. Así que hay que pasar de una simple instalación de software para un puñado de personas a equipos mucho más caros que no tienen nada que ver. (...) La potencia de cálculo necesaria para cifrar las comunicaciones es mucho mayor, y debe hacerse en máquinas especialmente adaptadas. "
VPN en la práctica
A nivel de empresa
¿El primer problema? Las ideas preconcebidas sobre la seguridad... "Una VPN no es necesariamente segura. Algunas técnicas se limitan a separar el tráfico. Utilizar una VPN segura significa que has implementado técnicas de criptología para, de forma simplificada, cifrar los datos de modo que no puedan ser interceptados."
Una solución es que la empresa recurra a un operador. Para conectarse a la red de la empresa, los teletrabajadores utilizarán los sistemas del operador. Son ellos quienes separarán el tráfico. Es lo que se conoce como VPN de confianza. Pero para utilizar esta técnica con seguridad, las empresas también necesitan equiparse in situ. Para empezar, se trata de instalar un software cliente en los ordenadores de los empleados. Esto permitirá un diálogo seguro con los servidores VPN instalados en los locales (intercambio de claves, cifrado, etc.). Cuando todo esté listo, el teletrabajador sólo tendrá que activar el software instalado en su ordenador portátil.
A nivel individual
Individualmente, es igual de importante contar con algunas buenas prácticas básicas de VPN. "Hay que recordar que es una herramienta para conectar con la empresa. A partir de ahí, todo lo que hagas puede repercutir en la empresa. Esto significa que la VPN solo debe abrirse para un uso estrictamente profesional.. Debe cortarse para cualquier uso personal, y pensar también para cortarle al final de su jornada laboral. Partición. Un ataque, una intrusión a través de su ordenador mientras la VPN está en marcha repercute en los servidores de la empresa".
Cuando se trata de ciberseguridad, es esencial concienciar y formar periódicamente a los empleados. Y la VPN no es una excepción. Al fin y al cabo, dar acceso a los empleados al cliente VPN significa ampliar la red de la empresa. Eso no significa que tenga que ser menos segura. Una herramienta bien configurada o mal utilizada ya no es una ventaja, sino un riesgo.
Sobre todo porque, según Le Hoangan, las VPN van a seguir democratizándose con la práctica del teletrabajo: "La crisis sanitaria y el consiguiente bloqueo nos han hecho ver que el teletrabajo es inevitable hoy en día. Pero anticiparse a la introducción del teletrabajo significa darnos los medios para desarrollar correctamente las herramientas que lo acompañan, y de la forma más segura posible: configuración óptima de las VPN, pero también de cortafuegosinstalar programas antivirus en los sistemas de comunicación, etc. "Porque, al fin y al cabo, la VPN no es más que una herramienta de un vasto sistema que hay que poner en marcha. Y hay que empezar por algún sitio.
*Charlie el Hoagan
Consultor especializado en telecomunicaciones. Tras 10 años trabajando para varios fabricantes importantes, creó su propia empresa en 1989, a través de la cual ofrece sus servicios como consultor en redes informáticas, con especial atención a la seguridad. Fue también en 1989 cuando empezó a impartir cursos de formación sobre estos mismos temas.
Nuestra mejor formación
- VPN, seguridad inalámbrica y movilidad, resumen
- Cisco, implantación de soluciones MPLS
- Fortinet, seguridad de redes
