Firewalls y VPN en la mira: así evolucionan los exploits

En el último año, se ha observado un cambio en el foco de los atacantes hacia la explotación de vulnerabilidades en los sistemas perimetrales y de infraestructura de las empresas. Además, lo hacen en períodos de tiempo muy breves. 

Según datos del Grupo de Inteligencia de Amenazas de Google (GTIG), en 2024, el 44% de los ataques de día cero afectaron a tecnologías empresariales, en comparación con el 37% registrado en 2023. Además, la mayoría se dirigieron a productos de seguridad y redes, como firewalls, redes privadas virtuales (VPN) y dispositivos vinculados a servicios en la nube.  

¿A qué se debe este cambio de objetivo? 

Los dispositivos de seguridad perimetral, como las VPN, los routers empresariales, los balanceadores y los WAF, suelen contar con privilegios elevados, lo que otorga a los ciberdelincuentes un acceso amplio a la red una vez comprometidos. Asimismo, estos equipos a menudo operan fuera del alcance de las herramientas de seguridad tradicionales, como los antivirus o incluso las soluciones EDR instaladas en los endpoints. Por ello, atacar un sistema de seguridad o de red permite comprometer de forma más eficaz sistemas y redes enteras, lo que proporciona a los atacantes un retorno elevado por cada exploit desarrollado. En cambio, vulnerar navegadores o aplicaciones móviles solo afecta a un único usuario a la vez, con un menor impacto.  

Dado este contexto, las empresas necesitan comprender cómo influye la evolución de la explotación de vulnerabilidades para identificar en qué aspectos deben reforzar su postura de seguridad:  

• Los atacantes son más rápidos y selectivos: aprovechan rápidamente vulnerabilidades críticas, por lo que las empresas deben mejorar la gestión de parches, especialmente en sistemas clave.
• Los sistemas perimetrales bajo ataque: dispositivos como VPN y firewalls necesitan MFA, monitorización constante y protección temporal (como reglas IPS) hasta aplicar parches. Además, deben estar aislados del control total de Active Directory.
• Entornos híbridos, mayor riesgo de puntos ciegos:  la conexión entre entornos locales y la nube complica la visibilidad. Es clave auditar y generar alertas tanto en red interna como en la nube para detectar actividades sospechosas. 

XDR para una defensa más efectiva 

En un entorno donde las amenazas son capaces de atravesar diferentes capas, desde el perímetro hasta la nube, el uso de herramientas aisladas dificulta  una respuesta eficaz. Por ello, es necesario una visión unificada que permita correlacionar señales de distintas fuentes, detectar patrones de ataque y responder con agilidad.  

Las soluciones de detección y respuesta extendida (XDR) al integrar datos de endpoints, dispositivos perimetrales y servicios en la nube, mejoran la identificación de incidentes y agilizan la respuesta. 

Para los proveedores de servicios gestionados (MSP), XDR también representa una herramienta clave para supervisar múltiples entornos de cliente desde una sola plataforma. Esto les permite no solo detectar amenazas con mayor anticipación, sino que también les da la posibilidad de implementar acciones de contención coordinadas sin depender de múltiples sistemas desconectados fortaleciendo la postura de seguridad de sus clientes. 

Si quieres conocer más sobre XDR y cómo contribuye a mejorar la seguridad de las organizaciones, no dejes de visitar los siguientes artículos de nuestro blog:  

• IA en XDR: el paso hacia una ciberseguridad más avanzada
• ¿Cómo elegir el proveedor XDR adecuado para tu organización?
• Utilizar XDR para conseguir servicios gestionados más potentes
• ¿Cuál es la diferencia entre XDR y SIEM?