Hoy en día las conexiones privadas (VPN) son realizadas mediante conexiones SSL, es decir son ofrecidas por un navegador web para acceder a los recursos de la empresa de manera remota. Estas conexiones funcionan mediante una autenticación a través del protocolo HTTPS y en algunas ocasiones doble factor de autenticación (Token) es requerido. Una vez autenticado, el usuario podrá descargar el cliente de la VPN para luego acceder a un túnel SSL. Este proceso completo permite que el despliegue a todos los usuarios de la empresa esté de forma remota como conexión de manera rápida.

Implementar la conexión SSL VPN (Portal VPN) requiere utilizar las mismas buenas prácticas para aplicaciones web. Estos portales usualmente ignoran en agregar un certificado autoridad de tercero, ya que el uso estos portales VPN es mayormente utilizado por el personal de la empresa. Es por esto que es importante utilizar certificado con autoridad de un tercero el cual válida la conexión legítima de la empresa. Al no utilizar un certificado autoridad a este portal VPN los usuarios no podrán validar a simple vista si el portal VPN es legítimo.

El usuario que acceda al portal VPN tendrá una alerta de seguridad informando que el certificado de esta se encuentra firmado por si mismo. Esto significa que no existe un tercero que pueda garantizar que este portal pertenezca a la empresa de manera legítima. Solo si el usuario tiene el conocimiento de que la dirección IP del portal VPN que accede pertenece a la empresa no será engañado por un ataque phishing. Aunque tengas el conocimiento de la dirección exacta hace que los usuarios entiendan que estos errores son considerados normales.

He aquí la primera brecha de seguridad que puede ser explotada ante un ataque de phishing. Este tipo de ataques usualmente son exitosos ya que el usuario se encuentra acostumbrado a ver estas alertas de certificados para acceder a la página.

El ciberdelincuente solo requerirá copiar la página web donde se encuentra el portal VPN de tal manera que podrá engañar a los usuarios. Es decir que no es importante si el dominio o la dirección IP es diferente ya que las víctimas se encuentran acostumbradas a ver estos tipos de alerta de seguridad. Ya por este simple problema de certificado pudiera incrementar el porcentaje de víctimas en una campaña phishing dirigida a la empresa. Este ataque con que solo comprometa a un solo usuario es mas que suficiente para comprometer una infraestructura de la empresa.