Protección de VDI de los ciberdelincuentes

Las empresas están adoptando cada vez más la arquitectura de escritorios remotos virtuales. Con el fin de abordar las preocupaciones de seguridad y privacidad respecto a la movilidad de los trabajadores en la empresa, los profesionales de seguridad junto con los equipos de TI, equipos legales e incluso de gestión, están valorando continuamente los procesos, metodologías y tecnologías a favor y en contra. La tecnología de Infraestructura de escritorio virtual (VDI) es considerado una de esas soluciones prácticas. Dado que VDI proporciona una estación de trabajo remota para que no se almacenen datos localmente en un dispositivo de punto final, es una solución ideal en cuanto a seguridad contra el robo de datos. Por eso, es esencial conocer medidas para proteger la infraestructura VDI de amenazas como los ciberdelincuentes.

Si bien dicha solución es útil cuando se roba un dispositivo móvil, ¿cómo de seguro es VDI cuándo el dispositivo en sí mismo se ve comprometido por una amenaza externa?

Las soluciones de escritorio remoto todavía están expuestos a una gran variedad de malware estándar y vectores de ataque. Entre estos destacan los de correo electrónico, web, medios externos, aplicaciones instaladas por el usuario y muchos otros.

Cómo atacan los ciberdelincuentes en la infraestructura VDI

En muchos casos, los usuarios pueden conectarse a sus escritorios VDI corporativos desde dispositivos no administrados, como portátiles personales, que pueden estar comprometidos. En tal caso, el atacante primero obtiene el control sobre el portátil personal del usuario final y luego solo tiene que hacerse pasar por el usuario real conectarse al escritorio remoto de VDI. Los ciberdelincuentes no requieren de una gran sofisticación. Es tan sencillo como instalar un software de control remoto estándar en el PC portátil del usuario. Luego esperar a que el usuario se autentique y controlar la sesión de VDI en el nombre del usuario.

Las operaciones del portapapeles entre el PC portátil personal del usuario y el escritorio remoto VDI realmente no ayudan. Los atacantes pueden enviar sigilosa e instantáneamente una secuencia de comandos completa mediante pulsaciones de teclas emuladas y luego iniciar la secuencia de comandos en el escritorio remoto de VDI. A partir de ahí, la forma de completar el control del escritorio VDI es rápida y sencilla. Este tipo de ataque no requiere ninguna vulnerabilidad de día cero.

Medidas de seguridad del proveedor del VDI

Lo mismo se aplica a los proveedores externos que utilizan VDI para acceder a recursos confidenciales. Los ciberdelincuentes solo necesitan infectar una de las máquinas del proveedor y desde allí tienen un control completo de los recursos compartidos disponibles a través de VDI. La autenticación de dos factores para las sesiones de VDI puede ayudar a mitigar este riesgo. No obstante, el atacante, que ya está presente en la máquina, simplemente esperará una autenticación exitosa y luego lanzará el ataque.

La falsa sensación de seguridad proporcionada por VDI puede ser muy engañosa y, en algunos casos, puede tener consecuencias catastróficas. Algunas empresas permiten que sus administradores de TI se conecten a consolas de administración privilegiadas a través de hosts de salto alojadas en servidores de terminal VDI. Si bien los hosts de salto son una práctica saludable, el problema comienza cuando el dispositivo utilizado para acceder a estos hosts es un dispositivo personal comprometido. Los malos buscan administradores de TI y los atacan personalmente. Una vez que infectan el dispositivo personal de un administrador de TI, pueden controlar toda la organización a través de VDI.

VDI no es una solución de aislamiento. No aísla los recursos confidenciales remotos del dispositivo utilizado por el usuario para acceder a ellos. Si controlas el dispositivo del usuario, controlas los recursos de VDI y evitas así los ciberdelincuentes y sus ataques.

Es primordial que las empresas se den cuenta de este riesgo y incomuniquen completamente el acceso a recursos sensibles. El acceso local o remoto de recursos sensibles no debe mezclarse con otro uso, como el uso personal o corporativo que está expuesto al mundo exterior. Los proveedores de seguridad aconsejan esta práctica, incluidos proveedores como Microsoft que recomiendan utilizar una instancia separada de un sistema operativo para acceder a recursos confidenciales.

Buenas prácticas para qué los ciberdelincuentes no ataquen tu VDI

En resumen, hay que aplicar de nuevo el sentido común por parte de los usuarios finales. Y esto potenciado con medidas de seguridad del proveedor de escritorios virtuales remotos. Un control de acceso a aplicaciones, vigilar el acceso a webs de poca reputación o de dudosa seriedad, tener un buen antivirus para el correo y evitar compartir recursos físicos del PC remoto con el escritorio remoto virtual, son entre otras, medidas básicas para proteger la infraestructura VDI de los ciberdelincuentes.

Por supuesto, conectarse a escritorios virtuales remotos sin una línea protegida con VPN puede resultar peligrosísimo. Y así mismo, se debe disponer de una política de backups sólida y segura. Se están dando muchos casos de usuarios que acceden a malwares que cifran los servicios esenciales de las empresas y luego hay que decidir si pagar el rescate para recuperar la información. O bien perder la información de unos días atrás (o unas horas), pero recuperar un backup limpio de malware.